ClawHosters
von Daniel Samer
3 Min. Lesezeit
Snyk-Ingenieure Luca Beurer-Kellner und Hemang Sarkar haben 3.984 Skills auf dem ClawHub Marketplace gescannt. 283 davon, also rund 7,1%, enthalten Schwachstellen, die API Keys, Passwörter und sogar Kreditkartennummern im Klartext durch das LLM Context Window schleusen.
Die Ergebnisse wurden am 5. Februar 2026 veröffentlicht, und sie sind unangenehm. Das sind keine bösartigen Skills. Es sind legitime Tools, gebaut von Entwicklern, die vermutlich eines vergessen haben: Alles, was dein Agent verarbeitet, läuft durch das Modell.
Vier Wege, wie Skills deine Zugangsdaten leaken
Die Forscher haben vier verschiedene Angriffsvektoren identifiziert.
Wortwörtliche Ausgabe. Ein Skill namens moltyverse-email weist den Agent an, API Keys Wort für Wort in seiner Antwort auszugeben. Jeder, der die Konversation liest, oder jede Logging-Middleware in der Kette, fängt den Key ab.
Finanzdaten-Leak. buy-anything sammelt Kreditkartennummern und übergibt sie als Argumente an curl-Befehle. Die vollständige Kartennummer sitzt im LLM Context, in den Tool-Call-Logs und möglicherweise in serverseitigen Request-Logs.
Log-Exfiltration. prompt-log extrahiert Session-Dateien ohne Schwärzung sensibler Inhalte. Authentifizierungs-Tokens, persönliche Daten, was auch immer die Session enthielt, landet im Context Window.
Klartext-Speicherung. prediction-markets-roarin schreibt API Keys direkt in Memory-Dateien, die der Agent später lesen kann. Keine Verschlüsselung, keine Zugriffskontrollen.
Nicht ClawHavoc. Etwas Subtileres.
Das hier ist etwas anderes als die ClawHavoc-Studie, die absichtlich bösartige Skills aufgedeckt hat. Dort ging es um Angriffstools, die Schaden anrichten sollten. Was Snyk gefunden hat, ist weniger offensichtlich: gutmeinende Entwickler, die KI-Agenten wie lokale Skripte behandeln.
Wenn du ein Python-Skript auf deinem Laptop ausführst, ist es kein Problem, einen API Key als Variable zu übergeben. Wenn du dasselbe über ein LLM machst, wandert dieser Key durch das Context Window des Modells, taucht in Logs auf und bleibt möglicherweise im Gesprächsverlauf bestehen. Das Bedrohungsmodell ist ein völlig anderes. Die meisten Skill-Autoren haben das nach meiner Einschätzung noch nicht wirklich verinnerlicht.
Was du tun kannst
Snyk empfiehlt mcp-scan, ein kostenloses Python-Tool, das SKILL.md-Dateien auf Credential-Exposure-Muster analysiert. Es erkennt die vier oben genannten Vektoren und markiert Skills, bevor du sie installierst.
Wenn du eine self-hosted OpenClaw Instanz betreibst, solltest du vermutlich jeden Marketplace-Skill prüfen, den du hinzugefügt hast. Unser Safety-Scanner-Guide führt dich durch den Prozess.
Für ClawHosters-Kunden laufen Managed-Instanzen mit geprüften Skill-Sets, die vor dem Deployment ein Vetting durchlaufen. Du installierst keine zufälligen Skills vom Marketplace.
