Clawdbot-Moltbot: Openclaw nach rasanten Namensänderungen unter Beschuss
Inhalt
Das Open-Source-Projekt von Peter Steinberger hat innerhalb weniger Wochen bereits zweimal den Namen gewechselt(öffnet im neuen Fenster) – von Clawdbot über Moltbot zu Openclaw(öffnet im neuen Fenster) . Die erste Umbenennung erfolgte auf Druck von Anthropic. Im Rahmen der Umbenennungen und wegen der Komplexität gerieten Projekt und Nutzer in gefährliches Fahrwasser.
Der KI-Agent sammelte mehr als 100.000 Github-Stars und lockte binnen einer Woche nach der Erstveröffentlichung zwei Millionen Besucher an. Als lokale Alternative zu Cloud-basierten Assistenten konzipiert, ermöglicht das Tool die Computersteuerung über Messaging-Plattformen wie Whatsapp und Slack.
Typosquatting und gefälschte Repositories
Das rapide Wachstum und die Namensverwirrung schufen Einfallstore für böswillige Akteure. Malwarebytes dokumentierte(öffnet im neuen Fenster) Versuche, Typosquat-Domains zu registrieren.
Die Idee dahinter: Nutzer, die sich vertippen oder nicht genau hinschauen, landen auf der gefälschten Seite oder laden schädliche Software herunter. Bei Open-Source-Projekten wie Openclaw ist das besonders tückisch, weil Entwickler den Code direkt aus dem Repository installieren. Wenn sie versehentlich das falsche Repository erwischen, installieren sie möglicherweise Malware statt der echten Software.
Zunächst wird vom Angreifer das Original-GitHub-Repository geklont und dann umbenannt. Diese gefälschten Repositories wirken legitim, schädlicher Code wird erst in späteren Updates hinzugefügt – eine gängige Technik bei Supply-Chain-Angriffen.
Im Fall von Openclaw war das Problem durch die häufigen Namensänderungen noch größer. Das sorgte für Verwirrung und gab Betrügern weitere Gelegenheiten, ähnlich klingende Namen zu registrieren.
Hunderte offene Kontrollpanels im Internet
Ein Sicherheitsforscher identifizierte Hunderte falsch konfigurierter Moltbot-Installationen(öffnet im neuen Fenster) im Internet. Axios berichtete(öffnet im neuen Fenster) , dass diese exponierten Kontrollpanels Gesprächsverläufe, API-Schlüssel und Zugangsdaten offenlegen könnten. Einige Konfigurationen erlaubten angeblich die Befehlsausführung über die Agent-Schnittstelle.
Bitdefender(öffnet im neuen Fenster) bestätigte ähnliche Funde und beschrieb öffentlich zugängliche Administrationspanels, die Konfigurationsdaten und Chat-Protokolle preisgaben. Die Bedenken gehen über einfache Fehlkonfigurationen hinaus. Der Agent benötigt Root-Zugriff und erhält damit Kontrolle über Shell-Befehle, Dateisysteme, Browserdaten, E-Mails und Kalender.
Token Security(öffnet im neuen Fenster) stellte fest, dass 22 Prozent seiner Kunden Mitarbeiter hatten, die das Tool innerhalb einer Woche nach Veröffentlichung nutzten. Noma Security(öffnet im neuen Fenster) behauptete, 53 Prozent der Unternehmenskunden hätten privilegierten Zugriff ohne formelle Genehmigung erteilt. Das Muster deutet auf weitverbreitete Nutzung durch einzelne Mitarbeiter ohne IT-Aufsicht hin.