Ein KI-Agent wie OpenClaw bietet enormes Potenzial, birgt jedoch erhebliche Risiken für die Nutzer. Mit der wachsenden Userbase steigt die Wahrscheinlichkeit, dass Mitarbeiter solche Agenten auch im Unternehmenskontext einsetzen. Oft jedoch nicht in einer abgesicherten Umgebung, sondern direkt auf dem eigenen Endgerät.
Durch die Freigabe weitreichender Berechtigungen und den Zugriff auf lokale Host Informationen wächst das Gefahrenpotenzial enorm. Gewährt man OpenClaw beispielsweise Zugriff auf das E-Mailpostfach, könnte ein Angreifer mittels Prompt Injection eigene Befehle an den Agenten schleusen, die dieser unhinterfragt ausführt. Aufgrund dieser weitreichenden Privilegien sind die Szenarien vielfältig: vom Abfluss sensibler Daten bis hin zur Infizierung des Systems mit Schadsoftware. Aus diesem Grund ist eine aktive Überwachung solcher Agenten unerlässlich.
Um die Nutzung von OpenClaw in der eigenen Infrastruktur festzustellen, gibt es folgende Möglichkeiten:
Die Installation erfolgt meistens über den auf der Website bereitgestellten Befehl, die Skripte direkt aus dem Web in die Shell laden. Dies hinterlässt deutliche Spuren in den Logs:
powershell -c "irm https://openclaw.ai/install.ps1 | iex"curl -fsSL https://openclaw.ai/install.sh | bashNach der Ausführung finden sich spezifische Spuren im Dateisystem:
~/.openclaw/ enthält die openclaw.json. API-Keys und Skill-Konfigurationen liegen dort oft im Klartext vor.node.exe (Windows) bzw. das node-Binary (Unix). Entscheidend für die Erkennung sind Prozesse, deren Aufrufparameter auf Skripte innerhalb der OpenClaw-Verzeichnisse verweisen..plist-Dateien in ~/Library/LaunchAgents/./etc/systemd/system/openclaw.service.OpenClaw nutzt Standard-Ports und kommuniziert mit externen KI-Providern:
18789 (Gateway) und 18793 (Web-UI).api.openai.com, api.anthropic.com,generativelanguage.googleapis.com oder openclaw.ai von Endgeräten.Automatisierte Agenten die von menschlichen Verhaltensmustern abweichen, können auch ein Indikator sein.
~/.ssh/), Nutzung von Netzwerk-Tools (curl) und Kommunikation mit KI-APIs.Für eine umfassende Überwachung in CrowdStrike bietet sich die folgende Query an. Diese korreliert Prozess-Ereignisse und Dateizugriffe, um Installationen via curl, npm oder brew sowie den Start des Gateways auf Port 18789 zu identifizieren.
#repo="base_sensor"
| #event_simpleName =~ in(values=["*ProcessRollup2", "*FileWritten"])
| case {
// Look for the curl install method
CommandLine=/openclaw\.ai\/install\.sh/
| Action := "openclaw installed";
CommandLine=/openclaw\.ai\/install\.ps1/
| Action := "openclaw installed";
// Look for node package install methods
CommandLine =~ in(values=["* openclaw*", "* clawdbot*", "* moltbot*"])
| CommandLine =~ in(values=["*npm*", "*npx*", "*brew*"])
| CommandLine="* install *"
| Action := "openclaw installed";
// Look for files being written to user home directories
FilePath =~ in(values=["*/.openclaw/*", "*/.clawdbot/*", "*/.moltbot/*"])
| Action := "openclaw user configuration updated";
// Look for the clawdbot service being started on port tcp/18789
CommandLine =~ in(values=["*openclaw*", "*clawdbot*", "*moltbot*"])
| ImageFileName=/node/i
| CommandLine=/gateway --port 18789/i
| Action := "openclaw service started";
// Look for the clawdbot service being started
CommandLine =~ in(values=["*openclaw*", "*clawdbot*", "*moltbot*"])
| FileName=/node/i
| CommandLine=/gateway/i
| Action := "openclaw service started";
}
| groupby(
aid,
ComputerName,
UserName,
function=[
collect(Action),
selectLast([CommandLine, ImageFileName, #event_simpleName])
]
)
Besteht Schatten-IT durch KI-Agenten im Netzwerk? Vereinbaren Sie einen Termin mit uns um diese Frage zu klären.
Termin auswählen
Vom Exploit bis zur Defense: Echte Security-Insights aus unserem SOC und Research-Lab
