ClawHosters ClawHosters
Abo -10% SUB-10
Claws -25% LAUNCH-CLAWS
Palo Alto Networks erweitert die OpenClaw Lethal Trifecta um ein viertes Risiko
$ ./blog/news
Neuigkeiten

Palo Alto Networks erweitert die OpenClaw Lethal Trifecta um ein viertes Risiko

ClawHosters
ClawHosters von Daniel Samer
3 Min. Lesezeit

Simon Willisons lethal trifecta beschreibt drei Bedingungen, die einen KI-Agenten gefährlich machen: Zugriff auf private Daten, Kontakt mit nicht vertrauenswürdigen Inhalten und die Fähigkeit zur externen Kommunikation. Treffen alle drei zusammen, hast du ein Sicherheitsproblem. Bei OpenClaw treffen alle drei zusammen. Standardmäßig.

Jetzt argumentiert Palo Alto Networks, dass es einen vierten Faktor gibt, der die Lage verschärft.

Persistent Memory verändert die Risikorechnung

Das Palo-Alto-Paper vom Februar 2026 benennt Persistent Memory als Beschleuniger. Wörtlich: "Persistent memory acts as an accelerant, amplifying the risks highlighted by the lethal trifecta."

Das Problem liegt bei SOUL.md und MEMORY.md. Beide Dateien werden beim Start geladen und als vertrauenswürdige Konfiguration behandelt. Aber Agent-Tools können sie zur Laufzeit verändern. Penligent beschreibt es so: "If an attacker can trick the agent into writing a malicious instruction into its own SOUL.md, that instruction becomes part of the agent's permanent operating system."

Das eröffnet Angriffsklassen, die es vorher nicht gab. Time-shifted Prompt Injection: Ein Payload wird an Tag eins eingeschleust und detoniert erst, wenn der Agent-State Tage später die richtigen Bedingungen erfüllt. Memory Poisoning. Logic Bombs über Sessions hinweg.

Palo Alto hat OpenClaw gegen jede einzelne Kategorie der OWASP Top 10 for Agentic Applications geprüft. Ergebnis: Treffer in jeder Kategorie.

Wie schlimm kann es werden

Obsidian Security hat festgestellt, dass ein einzelner kompromittierter Agent innerhalb von vier Stunden 87% der nachgelagerten Entscheidungsfindung vergiftet hat. Kein Gedankenexperiment.

Und Palo Alto war in der Bewertung deutlich: "The authors' opinion is that OpenClaw is not designed to be used in an enterprise ecosystem."

Wer OpenClaw produktiv betreibt, kennt vermutlich bereits die Grundlagen der Sicherheitshärtung. Persistent-Memory-Angriffe gehen allerdings über klassisches Config-Hardening hinaus. Du brauchst Runtime-Monitoring, Integritätsprüfungen der Memory-Dateien, und idealerweise Container-Isolation, damit ein kompromittierter Agent nicht auf andere Instanzen übergreift.

Der OpenClaw Safety Scanner hat in seinem letzten Update Baselines für Memory-Integrität ergänzt. Falls du ihn länger nicht ausgeführt hast: guter Zeitpunkt.

Häufig gestellte Fragen

Ein Begriff von Simon Willison für drei Bedingungen, die KI-Agenten gefährlich machen: Zugriff auf private Daten, Kontakt mit nicht vertrauenswürdigen Inhalten und die Fähigkeit zu externen Aktionen. OpenClaw erfüllt alle drei standardmäßig.

Angriffs-Payloads lassen sich über die Zeit fragmentieren. Ein Angreifer schreibt am ersten Tag etwas in die MEMORY.md, und der Payload aktiviert sich Tage später, wenn die Bedingungen stimmen. Klassische Prompt-Injection-Abwehr erkennt zeitverzögerte Angriffe nicht.

Container-Isolation verhindert, dass ein kompromittierter Agent andere Instanzen beeinflusst. ClawHosters bietet das standardmäßig, zusammen mit automatischen Backups der kognitiven Dateien und Runtime-Monitoring, das unerwartete SOUL.md-Änderungen erkennt.
*Zuletzt aktualisiert: Februar 2026*

Quellen

  1. 1 lethal trifecta
  2. 2 argumentiert Palo Alto Networks
  3. 3 Penligent beschreibt es
  4. 4 Grundlagen der Sicherheitshärtung
  5. 5 OpenClaw Safety Scanner
  6. 6 ClawHosters
$ ./related --posts