Angriffsweg

Skills als Einfallstor

Der gefährlichste Memory-Poisoning-Vektor ist kein versteckter Text in einer Webseite — es ist ein Skill, den Sie selbst installieren. Marketplaces wie ClawHub machen aus fremdem Code eine Lieferkette direkt in Ihr Agent-Memory.

Lesezeit ~7 Min · Angriffsweg

Ein Skill ist gespeicherte Anweisung — mit Privilegien

Ein OpenClaw-Skill ist eine SKILL.md-Datei: Markdown-Anweisungen, die dem Agenten beibringen, wann und wie er Werkzeuge benutzt. Das klingt harmlos — ist aber genau der Punkt: Ein Skill ist nicht „nur ein Tool“, sondern eine dauerhaft gespeicherte Instruktion mit den Rechten Ihres Agenten. Wer den Skill kontrolliert, kontrolliert ein Stück des Verhaltens — bei jeder Session aufs Neue.

ClawHub: das massive Einfallstor

OpenClaws Skill-Registry ClawHub hostet über 13.700 Community-Skills. Installiert ist einer mit einem einzigen Befehl — openclaw skills install <slug> — und landet in ~/.openclaw/skills. Mit --global gilt er sofort für alle lokalen Agenten. Das ist bequem wie ein App-Store — und genauso eine Lieferkette: Sie ziehen fremde Anweisungen direkt in die Schaltzentrale Ihres Agenten.

Ein Befehl genügt — und fremde Anweisungen leben dauerhaft, mit den Rechten Ihres Agenten, in ~/.openclaw/skills.

„Verifiziert“ heißt nicht „sicher“

ClawHub prüft Installs gegen Herkunft und Version (.clawhub/origin.json), und ein Scanner schlägt bei gefährlichem Code an. Aber: Verifikation beweist, woher ein Skill kommt — nicht, was er vorhat. Der Scanner ist heuristisch und warnt bei „verdächtig“ nur. Die OpenClaw-Doku sagt es selbst: „treat third-party skills as untrusted code.“ Ein tadellos verifizierter Skill kann trotzdem eine Prompt-Injection-Nutzlast tragen.

Bypass: Git- und lokale Installs umgehen die Registry-Prüfung ganz.
Reichweite: --global betrifft alle Agenten; ein Workspace-Skill übersteuert verwaltete.
Sleeper: heute harmlos installiert — per späterem Update bösartig. Skills aktualisieren nicht automatisch, aber ein manuelles Update zieht die neue, vergiftete Version.

Die Darstellung

Vom Marketplace bis zum Schaden — und wo PoisonZero die Kette durchtrennt:

1 · Marketplace

Skill aus der Registry

ClawHub · 13.729 Skills. „Verifiziert“ prüft die Herkunft — nicht die Absicht.

2 · Install

Ein Befehl, volle Rechte

openclaw skills install <slug>
→ ~/.openclaw/skills

3 · Aktiv

Skill = gespeicherte Anweisung

Schreibt beim Session-Start ins Memory oder schaltet den Schutz ab.

PoisonZero

Der Daemon bewertet jeden Write in die geschützten Pfade.

danger 0.96 → revert

✕ Verhindert

Memory vergiftet → Schaden

↳ „Quelle X ist vertrauenswürdig“
↳ Agent handelt mit OS-Rechten (Gmail · Stripe · Files)
↳ Exfiltration / Sabotage beim nächsten Heartbeat

Ohne Schutz läuft die Kette bis zum Schaden — bei OpenClaw mit vollen OS-Rechten. Mit PoisonZero endet sie am Memory-Write: bewertet, zurückgerollt, protokolliert.

Warum OpenClaw besonders brisant ist — anders als Claude

OpenClaw ist kein Chat-Fenster, sondern ein autonomer Agent: Er läuft im Hintergrund, arbeitet im Heartbeat seine Aufgaben ab und hat vollen Zugriff auf das Betriebssystem — Filesystem, Gmail, Stripe, angebundene Messenger. Ein vergifteter Skill führt hier nicht nur zu einer falschen Antwort; er lässt den Agenten handeln — selbstständig, mit Ihren Rechten.

Bei Claude irrt ein Agent. Bei OpenClaw handelt er — autonom, mit Ihren OS-Rechten. Genau deshalb ist ein lokaler Wächter auf dem Dateisystem hier nicht optional.

Claude ist stärker eingehegt (Berechtigungen, Nachfragen, engere Sandbox). OpenClaws Offenheit ist sein Reiz — und sein Risiko: Der Blast-Radius eines einzigen vergifteten Skills ist um Größenordnungen höher.

Wie PoisonZero das abdeckt

PoisonZero setzt genau dort an, wo der Schaden entsteht: am Schreibzugriff auf die Skill- und Memory-Verzeichnisse. Der Daemon überwacht ~/.openclaw/skills, ~/.agents/skills, ~/.claude & Co. lokal und bewertet jede Änderung.

Jeder Write wird bewertet — Gefahrengrad + Sicherheit, nicht nur der erste Prompt.
Gefährliches wird zurückgerollt (fail-closed): im Zweifel blockieren, nicht durchwinken.
Meta-Attack-aware: Skills, die den Schutz selbst abschalten wollen, sind immer verdächtig.
OpenClaw out of the box: Der Daemon erkennt die OpenClaw-Pfade automatisch, das Panel bietet eine Ein-Klick-Vorlage „OpenClaw schützen“.
Voller Audit-Trail: jede Entscheidung nachvollziehbar.

Das Ergebnis: Selbst ein „verifizierter“ Skill, der heimlich eine vergiftete Erinnerung schreiben will, wird abgefangen — bevor Ihr Agent danach handelt. Mehr zum Prinzip dahinter: Memory Poisoning und Prompt Injection.

Schützen Sie die Skills Ihrer Agenten.

PoisonZero überwacht ~/.openclaw/skills & Co. und rollt vergiftete Einträge fail-closed zurück.

14 Tage testen

Weiterlesen: ClawHavoc: 1.184 vergiftete Skills · Claude, MCP & Tool-Poisoning · Was ist Memory Poisoning?

Alle Artikel