Gefahr „Prompt Injection“
Die Software „OpenClaw“, erst Ende letzten Jahres gestartet, wird bereits nach wenigen Wochen mutmaßlich millionenfach genutzt. Das Problem: „OpenClaw“ ist ein sogenannter KI-Agent. Diese Programme können Aufträge über Messenger-Dienste wie WhatsApp, Telegram oder Signal annehmen und eigenständig ausführen. Sie ermöglichen automatisierte Abläufe über verschiedene Dienste hinweg und benötigen dafür tiefen Zugriff auf einen Computer. Gefährlich wird es, wenn diese Agenten autonom, also ohne direkte Anweisung des Nutzers, agieren.
Angriffe und fehlende Lösungen
Sicherheitsexperte Johann Rehberger sieht zwei Hauptprobleme. Zum einen klassische Sicherheitslücken, die Angreifern die Übernahme des Systems ermöglichen. „Als Benutzer muss man daher stets auf dem aktuellen Stand bleiben und Systeme regelmäßig patchen, vor allem wenn Sicherheitsupdates erscheinen“, mahnt Rehberger. Zum anderen die „Prompt Injection“: Hierbei können externe Inhalte, etwa eine E-Mail, den KI-Assistenten zu schädlichem Verhalten verleiten. „Dieses Problem hat derzeit keine echte Lösung“, so Rehberger. Denkbar sind Szenarien, bei denen der Assistent beim Lesen einer E-Mail dazu gebracht wird, sensible Daten auszulesen und an einen Angreifer zu senden oder gar Daten zu löschen.
Vorsicht bei der Nutzung
Rehberger rät dringend zur Vorsicht: Wer mit dem System experimentieren möchte, sollte dies in einer isolierten Umgebung tun und genau abwägen, welche Daten geteilt werden. „Ich würde davon abraten, den Assistenten direkt auf dem eigenen Computer mit vollem Zugriff auf alle Daten zu betreiben“, empfiehlt er. Stattdessen sei eine separate Umgebung ausschließlich für den Assistenten ratsam, in der gezielt Daten geteilt werden.
Bedenken bei „Moltbook“
Auch das mit „OpenClaw“ verbundene Projekt „Moltbook“, eine Plattform zum Austausch von KI-Agenten, auf der Menschen nur zuschauen dürfen, steht in der Kritik. Rehberger ist skeptisch: „Natürlich ist das System stark von Scammern infiltriert, die vor allem mit politischen Nachrichten und Krypto-Botschaften andere Teilnehmer beeinflussen wollen.“ Viele normale Nutzer und Scambots tummelten sich dort, die sich als KI ausgeben. Die technische Unterscheidung sei für den Betreiber kaum möglich. Das System wurde zudem teils mit „Vibe Coding“ erstellt, also durch KI-Eingaben. Dieses Vorgehen berge praktisch vorprogrammierte Sicherheitslücken, wie die Möglichkeit, auf die komplette Datenbank mit Nutzern und Agenten sowie deren Zugriffstokens zuzugreifen, bereits gezeigt habe. Rehberger selbst habe erfolglos versucht, die Entwickler auf Schwachstellen hinzuweisen. „In vielerlei Hinsicht erinnert mich das an die frühen Tage des Wilden Westens des Internets. Vorsicht ist also geboten.“
