Vorfall

ClawHavoc: Anatomie eines Skill-Marketplace-Angriffs

Im Februar 2026 zeigte ClawHub, wie ein Agent-Skill-Marketplace zur Waffe wird: Sicherheitsforscher fanden über tausend bösartige Skills — getarnt, typosquatted, mit Credential-Diebstahl und Fernsteuerung.

Lesezeit ~7 Min · Vorfall

Was passiert ist

Bei einem Audit der rund 14.000 öffentlich gelisteten ClawHub-Skills fanden Forscher 1.184 bösartige — eine Infektionsrate von fast 8,5 %. 335 davon gehörten zu einer einzigen koordinierten Operation namens ClawHavoc. Ziel waren macOS- und Windows-Maschinen, besonders Always-on-Rechner (etwa Mac minis), auf denen OpenClaw dauerhaft als Agent-Host läuft.

Die Maschen

Typosquatting: Viele Skills imitierten legitime Namen — clawhubb, cllawhub, clawhubcli — um versehentliche Installs von Nutzern abzugreifen, die schnell durch den Marketplace klicken.

Tarnung: Andere gaben sich als gefragte Tools aus — Crypto-Wallets, Polymarket-Trading-Bots, YouTube-Utilities, Auto-Updater, Google-Workspace-Integrationen.

Ein Skill, der sich als legitimes Polymarket-Tool ausgab, führte heimlich einen Befehl aus, der dem Angreifer volle Fernsteuerung über das System gab.

Was die Skills taten

Credential-Diebstahl: Skills exfiltrierten OpenClaw-Bot-Zugangsdaten aus Config-Dateien an externe Webhook-Dienste.
Remote-Code-Execution: versteckte Befehle für volle Systemkontrolle.
Persistenz: die Skill-Dateien in ~/.openclaw/skills bleiben — und werden bei jedem Session-Start neu gelesen.

Warum „verifiziert" nicht reichte

Ein Marketplace prüft Herkunft und Version — nicht die Absicht. Ein Typosquat ist ein völlig „legitimer" Upload. Das ist genau die Lücke aus Skills als Einfallstor: Verifikation ist keine Sicherheit.

Wie PoisonZero das stoppt

PoisonZero setzt eine Ebene tiefer an als der Marketplace — am Schreibzugriff. Der Daemon überwacht ~/.openclaw/skills und die Config-Dateien lokal:

Jeder Write wird bewertet — auch der eines „verifizierten" Skills.
Versucht ein getarnter Skill, Credentials zu exfiltrieren oder eine vergiftete Erinnerung zu schreiben, wird der Zugriff fail-closed blockiert und zurückgerollt.
Meta-Attacken (Skills, die den Schutz abschalten wollen) werden gesondert erkannt; alles landet im Audit-Trail.

Mehr zum Mechanismus: Memory Poisoning und Supply-Chain-Würmer.

Schützen Sie Ihre OpenClaw-Skills.

PoisonZero bewertet jeden Schreibzugriff auf ~/.openclaw/skills — und stoppt getarnte Skills fail-closed.

14 Tage testen

Weiterlesen: Skills als Einfallstor · Supply-Chain-Würmer · Was ist Memory Poisoning?

Alle Artikel