Peter Steinberger muss Clawdbot in Moltbot umbennen, nachdem Anthropic intervenierte
Es war natürlich zuerst ein Wortspiel in Bezug auf Claude, den KI-Modellen von Anthropic: Mit Clawdbot hat der österreichische Entwickler und Gründer Peter Steinberger (Ex-PSPDFKit) kürzlich einen KI-Hit hingelegt. Der Bot lässt sich lokal auf eigener Hardware (z.B. einem MacMini) installieren und dann über digitale Kanäle wie Telegram, WhatsApp oder Signal nutzen – also eine Open Source-Alternative zu gängigen Chatbots wie ChatGPT.
Bei der Namensgebung hat sich Steinberger, der bei der Anbindung an den KI-Agenten unter anderem das KI-Modell Claude Opus 4.5 von Anthropic empfiehlt, bei „Claude“ inspirieren lassen. Daraus wurde dann „Clawd“, und diese Klaue dann schnell im Logo und der Kommunikation zum Krustentier ausgebaut. Bei Anthropic, das wie berichtet gerade seinen ChatGPT-Moment erlebt und 2026 einen Mega-IPO machen könnte, war man ob der Namensverwandtschaft dann aber doch nicht so „amused“.
Anthropic intervenierte wegen Markenrechten
Und so hat Steinberger kurzerhand entschieden, den Clawdbot in Moltbot umzubennen – das Krustentier hat sich also demnach „gehäutet“. „Anthropic asked us to change our name (trademark stuff), and honestly? „Molt“ fits perfectly – it’s what lobsters do to grow“, heißt es in einem kurzen knappen Statement zur Umtaufe. Ansonsten bleibe alles gleich.
Steinberger hat mit Clawdbot/Moltbot einen KI-Assistenten geschaffen, der vollständig auf lokaler Hardware operiert und über etablierte Messaging-Dienste gesteuert werden kann. Das Open-Source-Projekt hat binnen kürzester Zeit erhebliche Aufmerksamkeit in der Entwickler-Community erhalten, gleichzeitig haben Sicherheitsforscher jedoch gravierende Schwachstellen identifiziert, die sensible Nutzerdaten gefährden.
Die Software ermöglicht umfassende Systeminteraktionen: Sie liest und schreibt Dateien, führt Shell-Befehle aus, steuert Webbrowser und füllt Formulare automatisch aus. Nutzer kommunizieren mit dem Assistenten über WhatsApp, Telegram, Signal, iMessage oder andere Plattformen, ohne eine dedizierte Anwendung öffnen zu müssen. Die Architektur basiert auf einem zentralen Gateway, das via WebSocket mit verschiedenen Messaging-Diensten kommuniziert. Das System verwaltet E-Mails und Kalender automatisch, extrahiert Daten aus Webseiten, führt Skripte aus und integriert über 50 externe Dienste. Für macOS, iOS und Android existieren optionale Companion-Apps, die zusätzliche Funktionen wie Sprachsteuerung oder Kamerazugriff bereitstellen.
Sicherheitslücken gefährden Nutzerdaten
Während Steinbergers Projekt standardmäßig einen Sandbox-Modus für Gruppenchats vorsieht und einen Pairing-Mechanismus für unbekannte Absender implementiert, haben Cybersecurity-Experten fundamentale Schwachstellen aufgedeckt. Die Sicherheitsfirma SlowMist hat Anfang der Woche bekanntgegeben, dass eine Authentifizierungs-Umgehung im Gateway-System mehrere hundert API-Schlüssel und private Konversationsverläufe öffentlich zugänglich macht. Der Sicherheitsforscher Jamieson O’Reilly dokumentierte bereits am Wochenende, dass hunderte Nutzer ihre Clawdbot-Kontrollserver ungeschützt im Internet betreiben. Mittels Internet-Scanning-Tools wie Shodan lassen sich exponierte Server binnen Sekunden durch charakteristische HTML-Fingerabdrücke identifizieren.
Die technische Ursache liegt in der Authentifizierungslogik: Das System genehmigt Localhost-Verbindungen automatisch ohne Authentifizierung, was sich als problematisch erweist, wenn die Software hinter einem Reverse-Proxy auf demselben Server läuft. Alle Verbindungen erscheinen dann als lokal und werden automatisch autorisiert, obwohl sie tatsächlich von extern stammen. O’Reilly stieß auf vollständig ungeschützte Instanzen, die sofortigen Zugang zu Anthropic-API-Schlüsseln, Telegram-Bot-Tokens, Slack-OAuth-Credentials und monatelangen Gesprächsverläufen gewährten.
Besonders alarmierend erwies sich ein Fall, bei dem ein Nutzer sein Signal-Messenger-Konto auf einem öffentlich zugänglichen Server eingerichtet hatte. Ein weiteres exponiertes System ermöglichte die Ausführung beliebiger Befehle mit Root-Rechten ohne Privilegientrennung. Der CEO von Archestra AI, Matvey Kukuy, demonstrierte die Schwere der Lücke, indem er mittels Prompt-Injection innerhalb von fünf Minuten einen privaten Schlüssel von einem kompromittierten System extrahierte.
Empfehlungen und grundsätzliche Herausforderungen
SlowMist empfiehlt dringend die Anwendung strikter IP-Whitelisting-Maßnahmen auf exponierten Ports. O’Reilly hat einen Pull Request mit Härtungsmaßnahmen eingereicht und mahnt Betreiber, ihre Konfigurationen umgehend zu überprüfen. Sicherheitsexperten fordern verbesserte Standardkonfigurationen, die Nutzer schützen, welche Sicherheitsanleitungen nicht vollständig umsetzen. Die Dokumentation des Projekts räumt ein, dass kein perfekt sicheres Setup existiert, wenn man einen KI-Agenten mit Shell-Zugriff betreibt. Das Bedrohungsmodell umfasst Versuche böswilliger Akteure, die KI zu schädlichen Aktionen zu verleiten, sich durch Social Engineering Zugang zu verschaffen und Infrastrukturdetails auszuspähen.
Die Problematik offenbart fundamentale Spannungen in der Architektur autonomer KI-Systeme: Um nützlich zu sein, müssen solche Agenten Nachrichten lesen, Credentials speichern, Befehle ausführen und persistente Zustände aufrechterhalten – Anforderungen, die zwangsläufig etablierte Sicherheitsmodelle verletzen. Credential-Speicher von Agenten konzentrieren mehrere hochwertige Zugangsdaten an einem netzwerkzugänglichen Ort und müssten mit derselben Sensibilität wie professionelle Secrets-Management-Systeme behandelt werden. Während die Ökonomie autonomer Systeme deren Verbreitung vorantreibt, muss sich die Sicherheitshaltung der Branche schnell genug anpassen, um deren sichere Nutzung zu ermöglichen. Clawdbot demonstriert sowohl das Potenzial dezentraler, transparenter KI-Assistenten unter vollständiger Nutzerkontrolle als auch die erheblichen Sicherheitsherausforderungen, die mit diesem Ansatz einhergehen.
