Am 5. Februar 2026 veröffentlichte Daniel Lockyer (x.com/DanielLockyer) eine eindringliche Warnung auf X:
„Malware in der am häufigsten heruntergeladenen Fähigkeit auf Clawhub gefunden
und so beginnt es“
Er zitierte seinen eigenen Beitrag von vor nur 10 Tagen, in dem er vorhersagte:
„Ich schätze, wir sind nur ein paar Wochen von einem äußerst ernsten Sicherheitsproblem innerhalb eines Unternehmens entfernt… Sie erhalten vollständigen Zugriff auf Geheimnisse und Werkzeuge, und jetzt stellen wir fest, dass sie für das öffentliche Internet zugänglich sind. Spannende Zeiten stehen bevor.“
Diese Vorhersage hat sich in Rekordzeit bewahrheitet.
Die betreffende Fähigkeit war der am häufigsten heruntergeladene Artikel auf Clawhub, einem Marktplatz für „Fähigkeiten“, die OpenClaw (auch bekannt als Clawdbot/Moltbot) erweitern, einem lokal-first KI-Agenten, der deine Dateien lesen, deinen Browser steuern, Terminalbefehle ausführen und langfristige Erinnerungen halten kann.
Die bösartige Fähigkeit gab sich als einfaches „Twitter“ (jetzt X) Trends-Tool aus. Ihre Anweisungen schienen auf den ersten Blick legitim, aber der allererste Schritt forderte die Benutzer auf, eine „erforderliche Abhängigkeit“ namens openclaw-core zu installieren. Das Klicken auf die bereitgestellten Links führte zu gestaffelter Malware-Lieferung: einer Webseite, die den KI-Agenten dazu brachte, obfuskierten Shell-Befehle auszuführen, ein zweistufiges Payload herunterzuladen, macOS-Quarantäne-Flags zu entfernen und einen Infostealer auszuführen.
Die Malware (bestätigt über VirusTotal) zielte auf Browsersitzungen, Cookies, gespeicherte Passwörter, Entwicklertoken, SSH-Schlüssel, Cloud-Anmeldeinformationen, alles, was ein Agent mit umfassenden Berechtigungen erreichen kann.
Seit der ursprünglichen Entdeckung haben Forscher Hunderte von bösartigen Fähigkeiten auf Clawhub gefunden (341 allein in einem Audit), viele Teil koordinierter Kampagnen, die Atomic Stealer (AMOS) auf macOS, Keylogger auf Windows und Credentials-stehlende Wrapper liefern.
Das Grundproblem ist einfach und erschreckend: OpenClaw-Fähigkeiten sind im Grunde ausführbare Markdown-Dateien. Es gibt keinen Überprüfungsprozess, keine Sandbox standardmäßig, und das gesamte Register läuft auf Vertrauen + Downloads. Es ist der npm/PyPI-Versorgungschaos, aber jetzt können die Pakete direkt deine AWS-Schlüssel oder Krypto-Wallets exfiltrieren.
Sicherheitsteams geben bereits klare Ratschläge:
Führe OpenClaw auf keinem Gerät mit Unternehmensanmeldeinformationen aus.
Wenn du Fähigkeiten von Clawhub installiert hast, behandle die Maschine als kompromittiert.
Drehe jedes Geheimnis, das du jemals darauf verwendet hast.
Lockyers Beitrag hat bereits Millionen von Aufrufen erzielt und das Gespräch angestoßen, das die Branche benötigte. Die Ära von „installiere einfach diese coole KI-Fähigkeit“ ist vorbei, bevor sie wirklich begonnen hat. Die Lektion ist dieselbe, die jedes Paket-Ökosystem schließlich lernt, außer dass der Blast Radius diesmal dein ganzes digitales Leben ist. Und so beginnt es.