SlowMist entdeckt 341 schädliche Fähigkeiten im OpenClaw Plugin Hub

Eine gravierende Sicherheitswarnung trifft das OpenClaw-AI-Ökosystem. Die Blockchain-Sicherheitsfirma SlowMist hat einen umfangreichen Supply-Chain-Angriff in ClawHub entdeckt, dem Plugin-Marktplatz der Plattform. Der Vorfall kam ans Licht, nachdem Koi Security 2.857 Skills überprüft und 341 davon als bösartig eingestuft hatte.

SlowMist reports supply chain poisoning in OpenClaw's ClawHub plugin center. Weak reviews allowed numerous malicious skills to infiltrate and spread harmful code. Koi Security scanned 2,857 skills, identifying 341 malicious. SlowMist analyzed >400 IOCs, revealing organized batch… pic.twitter.com/5Kwho8aXMQ

— Wu Blockchain (@WuBlockchain) February 9, 2026

Damit enthielten rund 12 % der geprüften Plugins schädlichen Code. Der Fund sorgt für besondere Besorgnis, da OpenClaw in den vergangenen Monaten stark gewachsen ist. Die Open-Source-Agenten-Tools der Plattform zogen zahlreiche Entwickler an – und machten das Ökosystem zugleich zu einem attraktiveren Ziel für Angreifer.

Schwache Prüfprozesse ließen bösartige Skills durch

Möglich wurde der Angriff durch unzureichende Review-Mechanismen im Plugin-Store. Angreifer luden Skills hoch, die auf den ersten Blick unauffällig wirkten. Der darin enthaltene Code trug jedoch versteckte Anweisungen. Laut SlowMist nutzten viele dieser Skills einen zweistufigen Angriff. In der ersten Phase enthielt das Plugin verschleierte Befehle, die häufig wie normale Setup- oder Abhängigkeitsprozesse aussahen. Tatsächlich entschlüsselten diese Befehle jedoch heimlich verborgene Skripte.

In der zweiten Phase wurde die eigentliche Schadsoftware nachgeladen. Der Code bezog Daten von festen Domains oder IP-Adressen und führte anschließend Malware auf dem System des Opfers aus. Ein Beispiel war ein Skill mit dem Namen „X (Twitter) Trends“. Er wirkte harmlos und nützlich, verbarg jedoch eine Base64-kodierte Hintertür. Damit konnten Passwörter gestohlen, Dateien gesammelt und an einen entfernten Server übertragen werden.

Hunderte bösartige Plugins entdeckt

Das Ausmaß des Angriffs überraschte viele Analysten. Von den 2.857 geprüften Skills zeigten 341 bösartiges Verhalten. Koi Security ordnete den Großteil davon einer einzigen, groß angelegten Kampagne zu. SlowMist analysierte zudem mehr als 400 Indicators of Compromise (IOCs). Die Auswertung deutete auf organisierte Massen-Uploads hin. Viele Plugins nutzten identische Domains und dieselbe Infrastruktur.

Für Nutzer, die diese Skills einsetzten, waren die Risiken erheblich. Einige Plugins forderten Shell-Zugriff oder Dateiberechtigungen an. Dadurch konnte die Malware Zugangsdaten, Dokumente und API-Keys stehlen. Manche gefälschten Skills gaben sich sogar als Krypto-Tools, YouTube-Hilfsprogramme oder Automatisierungshelfer aus. Die vertrauten Namen erleichterten eine Installation ohne Misstrauen.

Sicherheitsfirmen mahnen zur Vorsicht

Sicherheitsforscher haben bereits mit Aufräumarbeiten begonnen. SlowMist meldete in frühen Scans Hunderte verdächtige Einträge. Koi Security veröffentlichte zudem einen kostenlosen Scanner für OpenClaw-Skills. Experten warnen Nutzer nun davor, Plugin-Befehle unkritisch auszuführen. Viele Angriffe begannen mit simplen Setup-Schritten innerhalb der Skill-Dateien. Zudem sollten Skills gemieden werden, die Passwörter oder weitreichenden Systemzugriff verlangen.

Auch Entwickler werden aufgefordert, Plugins in isolierten Umgebungen zu testen. Unabhängige Prüfungen und offizielle Quellen sollten die erste Verteidigungslinie bilden. Der Vorfall zeigt die Risiken in schnell wachsenden KI-Ökosystemen. Plugin-Marktplätze entwickeln sich oft rasant, während Sicherheitsprüfungen hinterherhinken. Mit zunehmender Leistungsfähigkeit von KI-Agenten werden diese Plattformen robustere Review-Systeme benötigen. Bis dahin sollten Nutzer jedes Plugin als potenzielle Bedrohung betrachten.