ClawHosters ClawHosters
Abo -10% SUB-10
Claws -25% LAUNCH-CLAWS
OpenClaw Skill Sicherheit: So prüfst du Skills vor der Installation
$ ./blog/guides
Anleitungen

OpenClaw Skill Sicherheit: So prüfst du Skills vor der Installation

ClawHosters
ClawHosters von Daniel Samer
5 Min. Lesezeit

1.184 schädliche Skills. So viele hat SC World bei einem einzigen Durchlauf auf ClawHub gefunden. Die ClawHavoc-Kampagne, zuerst aufgedeckt von Koi Security, hat gezeigt: Angreifer nehmen die openclaw skill sicherheit genauso ins Visier wie npm und PyPI seit Jahren. Supply Chain Attacks. Und ClawHubs aktuelle Prüfung? Du brauchst einen GitHub-Account, der mindestens eine Woche alt ist. Das war's.

Wie schützt du dich also? Wir haben zusammengestellt, wie du OpenClaw Skills prüfen kannst, bevor sie deinen Agenten erreichen.

Checkliste für OpenClaw Skill Sicherheit

1. Permission Declarations lesen

Jeder OpenClaw Skill deklariert, worauf er zugreifen will: Dateisystem, Netzwerk, Shell-Befehle. Lies diese Deklarationen, bevor du irgendetwas installierst. Ein Markdown-Linter, der Netzwerkzugriff und Command Execution verlangt? Verdächtig. Ein Web Scraper, der Schreibrechte auf dein Home-Verzeichnis will? Genauso verdächtig.

Gleiche die Permissions mit dem ab, was der Skill laut Beschreibung tut. Wenn das nicht zusammenpasst, Finger weg.

2. Den Entwickler prüfen

Wie alt ist der ClawHub-Account? Was hat die Person sonst noch veröffentlicht? Ein brandneuer Account mit einem einzigen Skill und 4.000 Downloads sollte Fragen aufwerfen. Forscher von Snyk haben nachgewiesen, dass sich Download-Zahlen auf ClawHub manipulieren lassen, indem man sie mit automatisierten Requests auf Tausende aufbläst. Popularität allein sagt also gar nichts.

Prüfe, ob der Entwickler ein GitHub-Profil mit echter Aktivität hat. Schau dir die anderen Skills an, falls vorhanden. Ein Track Record zählt.

3. Den eingebauten Safety Scanner nutzen

Version v2026.2.6 hat einen integrierten Code-Scanner und ein Credential-Redaction-System eingeführt. Wenn du eine ältere Version nutzt, aktualisiere. Der Scanner erkennt bekannte Muster: base64-kodierte Payloads, verdächtige Netzwerkaufrufe, Versuche, Zugangsdaten abzugreifen.

Er wird nicht alles erwischen. Aber er erwischt die offensichtlichen Angriffe, die bisher den Großteil der Vorfälle ausmachen.

4. Drittanbieter-Scanner einsetzen

Der eingebaute Scanner ist ein erster Durchlauf. Für alles, was du in Production einsetzen willst, solltest du den Skill-Code durch Tools wie Semgrep, Snyk Code oder VirusTotal laufen lassen. OpenClaw hat kürzlich eine VirusTotal-Partnerschaft angekündigt, die das in Zukunft einfacher machen soll.

Die ToxicSkills-Studie von Snyk hat ergeben, dass 36,82% der Skills auf ClawHub irgendeine Form von Sicherheitslücke aufweisen. 13,4% davon kritisch. Diese Zahlen kann man wahrscheinlich nicht einfach ignorieren.

5. Zuerst in einem Staging Workspace testen

Installiere einen neuen Skill nie direkt in deinem Production-Agenten. Erstelle einen Staging Workspace, installiere dort und beobachte die Logs. Pinne die exakte Version, damit sich nichts automatisch aktualisieren kann, ohne dass du es mitbekommst.

Achte darauf, welche Netzwerkaufrufe der Skill beim ersten Start macht. Wenn er Domains kontaktiert, die du nicht kennst, deinstalliere ihn sofort.

Warnsignale, bei denen du sofort stoppen solltest

Nicht jeder schädliche Skill ist offensichtlich. Aber für die openclaw skill sicherheit gibt es bestimmte Muster, die immer wieder auftauchen.

Achte auf verschleierten Code. Base64-Strings, eval()-Aufrufe, minifiziertes JavaScript in einem Skill, der eigentlich simpel sein sollte. Die ClawHavoc-Angreifer haben Reverse Shells in funktionierenden Code versteckt. Der Skill tat also genau das, was er versprach, während er im Hintergrund .env-Dateien abgezogen hat.

Netzwerkaufrufe an unbekannte Domains sind ein weiteres Zeichen. Skills, die deutlich mehr Permissions verlangen, als sie für ihre Funktion brauchen. Und sei vorsichtig bei jedem Skill, der dich auffordert, Terminal-Befehle aus seiner README zu kopieren. Clipboard-basierte Angriffe sind real und nehmen zu.

Neue Publisher ohne Track Record verdienen besondere Aufmerksamkeit. Nicht automatisch Misstrauen, aber definitiv ein genauerer Blick in den Code.

Was ClawHosters anders macht

Auf ClawHosters Managed Instances prüfen wir Skills, bevor sie deinen Agenten erreichen. Jeder Skill durchläuft automatisiertes Security-Scanning, und Instanzen sind Container-isoliert. Ein kompromittierter Skill kann also nicht auf deine Zugangsdaten oder andere Services zugreifen.

Der Safety Scanner ist standardmäßig aktiv auf allen Instanzen ab v2026.2.6. Und wer das gesamte Sicherheitsbild verstehen will: Unser Security Hardening Guide behandelt alles von Netzwerksegmentierung bis Credential Management.

Du kannst das alles auch selbst hosten und selbst konfigurieren. Ich glaube aber, dass die meiste Zeit, die Teams mit dem Prüfen von Skills und dem Einrichten von Isolation verbringen, besser in ihr eigentliches Produkt investiert wäre.

OpenClaw Skill Sicherheit ist kein einmaliges Thema. Supply Chain Attacks werden nicht weniger werden, und ClawHub-Verification allein schützt nicht ausreichend. Die fünf Schritte oben kosten zehn Minuten pro Skill. Das ist gut investierte Zeit.

Häufig gestellte Fragen

Folge einem Fünf-Schritte-Prozess: Lies die Permission Declarations des Skills, prüfe das Profil und die Historie des Entwicklers, nutze den eingebauten Safety Scanner (ab v2026.2.6), setze Drittanbieter-Scanner wie Semgrep oder VirusTotal ein, und teste in einem Staging Workspace bevor du den Skill in Production einsetzt.

Nicht automatisch. ClawHub verlangt nur einen eine Woche alten GitHub-Account zum Veröffentlichen von Skills, und Studien zeigen, dass 36,82% der Skills Sicherheitslücken haben. Wer fragt, ob OpenClaw sicher ist: Das Framework selbst ist solide, aber Skills von Drittanbietern sind ein anderes Thema. Prüfe sie immer manuell, bevor du sie auf einem Agenten installierst, der echte Daten verarbeitet.

ClawHavoc war ein Supply Chain Angriff, der im Februar 2026 entdeckt wurde und 1.184 schädliche Skills auf ClawHub platzierte. Die Skills enthielten funktionierenden Code, versteckten aber Reverse Shells und Credential-Exfiltration-Payloads, die auf .env-Dateien und API-Keys abzielten.

Nein. Der Scanner ab v2026.2.6 erkennt bekannte Muster wie base64-Payloads und verdächtige Netzwerkaufrufe, aber keine neuartigen Angriffsvektoren. Nutze ihn als eine Schicht in einem mehrstufigen Prüfprozess, nicht als einzige Verteidigung.

ClawHosters prüft Skills vorab, aktiviert den Safety Scanner standardmäßig und betreibt jede Instanz in isolierten Containern. Das bedeutet: Ein kompromittierter Skill kann nicht auf deine Zugangsdaten oder andere Services auf dem Host zugreifen.
*Zuletzt aktualisiert: Februar 2026*

Quellen

  1. 1 SC World
  2. 2 Koi Security
  3. 3 Download-Zahlen auf ClawHub manipulieren lassen
  4. 4 integrierten Code-Scanner und ein Credential-Redaction-System
  5. 5 VirusTotal-Partnerschaft
  6. 6 ClawHosters Managed Instances
  7. 7 Safety Scanner ist standardmäßig aktiv
  8. 8 Security Hardening Guide
$ ./related --posts