Security

OpenClaw-Agents: Microsoft warnt vor Code-Ausführung

3 Min. Lesezeit

Zusammenfassung

Microsoft Defender warnt, OpenClaw-Agents nicht wie gewöhnliche Produktivsoftware zu behandeln, sondern als nicht vertrauenswürdige Codeausführung mit langlebigen Identitäten. Der Grund: OpenClaw kann untrusted Inhalte aufnehmen, externe Skills aus dem Internet nachladen und mit persistenten Tokens arbeiten, wodurch sich Supply-Chain- und Prompt-/Content-Risiken direkt auf sensible Systeme auswirken. Für Unternehmen ist das wichtig, weil selbstgehostete Agent-Runtimes strikt von Benutzerdaten, Anmeldedaten und privilegierten Umgebungen getrennt werden sollten.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung: warum das wichtig ist

Selbstgehostete AI/Agent-Runtimes landen schnell in Enterprise-Piloten – aber OpenClaws Modell verschiebt die Sicherheitsgrenze auf eine Weise, für die klassische Workstation-Sicherheit nicht ausgelegt ist. Da es nicht vertrauenswürdigen Text aufnehmen, externe skills herunterladen und ausführen und mit persistenten Anmeldeinformationen arbeiten kann, empfiehlt Microsoft Defender, OpenClaw als nicht vertrauenswürdige Codeausführung mit langlebiger Identität zu behandeln. Anders gesagt: Betreiben Sie es nicht dort, wo die Anmeldeinformationen, Tokens und sensiblen Daten Ihrer Benutzer liegen.

Was ist neu / wichtigste Erkenntnisse von Microsoft Defender

OpenClaw vs. Moltbook: Trennen Sie die Runtime von der Instruktionsplattform

  • OpenClaw (Runtime): Läuft auf Ihrer VM/Container/Workstation und erbt das Vertrauen dieses Hosts und seiner Identitäten. Die Installation eines skill entspricht faktisch der Ausführung von Drittanbieter-Code.
  • Moltbook (Plattform/Identitätsschicht): Ein skalierbarer Content- und Instruktions-Stream. Ein einzelner bösartiger Post kann mehrere Agents beeinflussen, wenn diese ihn nach Zeitplan aufnehmen.

Zwei Supply Chains laufen in eine Ausführungsschleife zusammen

Microsoft nennt zwei angreiferkontrollierte Eingaben, die das Risiko verstärken:

  • Nicht vertrauenswürdige Code-Supply-Chain: Skills/Extensions, die aus dem Internet bezogen werden (z. B. öffentliche Registries wie ClawHub). Ein „skill“ kann schlicht Malware sein.
  • Nicht vertrauenswürdige Instruktions-Supply-Chain: Externe Texteingaben können indirekte Prompt Injection enthalten, die Tool-Nutzung steuert oder Agent-„memory“ so verändert, dass Angreiferabsichten dauerhaft bestehen bleiben.

Die Agent-Sicherheitsgrenze: Identität, Ausführung, Persistenz

Defender beschreibt die neue Grenze wie folgt:

  • Identität: Tokens, die der Agent verwendet (SaaS APIs, Repositories, E-Mail, Cloud-Control-Planes)
  • Ausführung: Tools, die er ausführen kann (Shell, Dateioperationen, Infra-Änderungen, Messaging)
  • Persistenz: Mechanismen, die über Läufe hinweg bestehen (Config/State, Schedules, Tasks)

Auswirkungen auf IT-Admins und Endbenutzer

  • Workstations werden zu unsicheren Hosts für selbstgehostete Agents: Die Runtime kann in der Nähe von Developer-Credentials, gecachten Tokens und sensiblen Dateien laufen.
  • Das Risiko von Credential- und Datenexposure steigt, weil der Agent mit allem agiert, worauf er zugreifen kann – oft über legitime APIs, die im normalen Automationsverkehr untergehen.
  • Dauerhafte Kompromittierung ist plausibel, wenn ein Angreifer Agent-State/memory oder Konfiguration ändern kann und dadurch wiederkehrendes bösartiges Verhalten auslöst.

Maßnahmen / nächste Schritte (minimale sichere Betriebsweise)

  1. Führen Sie OpenClaw nicht auf Standard-User-Workstations aus. Evaluieren Sie ausschließlich in einer vollständig isolierten Umgebung (dedizierte VM, Container-Host oder separates physisches System).
  2. Verwenden Sie dedizierte, nicht privilegierte Anmeldeinformationen mit eng begrenzten Berechtigungen; vermeiden Sie Zugriff auf sensitive Datensätze.
  3. Behandeln Sie die Installation von skills als explizites Approval-Event (gleichwertig zur Ausführung von Drittanbieter-Code). Pflegen Sie eine Allowlist und Provenance-Checks.
  4. Gehen Sie davon aus, dass bösartige Eingaben auftreten werden, wenn der Agent externe Inhalte browsed; priorisieren Sie Containment und Recoverability gegenüber reiner Prävention.
  5. Aktivieren Sie kontinuierliches Monitoring und Hunting entlang der Microsoft-Security-Controls (einschließlich Microsoft Defender XDR), mit Fokus auf Token-Zugriffe, ungewöhnliche API-Nutzung sowie State-/Config-Änderungen.
  6. Halten Sie einen Rebuild-Plan bereit: Betreiben Sie die Umgebung so, als müsste der Host häufig neu aufgesetzt/rotiert werden, um Persistenz zu entfernen.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
Microsoft Defender XDRagent securityruntime isolationleast privilegesupply chain risk

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.