ClawHosters
von Daniel Samer
3 Min. Lesezeit
Elf Tage. So lange dauerte es vom ersten ClawHavoc-Angriff am 27. Januar bis zur Ankündigung der Partnerschaft mit Googles VirusTotal am 7. Februar. In der Zwischenzeit fanden Sicherheitsforscher 1.184 bösartige Skills auf ClawHub. Der Großteil davon ging auf einen einzigen Angreifer zurück, "hightower6eu", der allein 314 davon veröffentlicht hatte.
Die Antwort: Jeder Skill, der auf ClawHub veröffentlicht wird, durchläuft jetzt VirusTotals Scanning-Pipeline, bevor er deinen Agent erreicht.
So funktioniert das Scanning
Die Partnerschaftsankündigung beschreibt einen klaren Prozess. Jeder Skill bekommt einen SHA-256-Hash. Dieser Hash wird gegen VirusTotals Datenbank geprüft. Ist der Skill unbekannt, wird er für die Code-Insight-Analyse hochgeladen. Das ist VirusTotals Gemini-basierter LLM-Scanner, der Code lesen und bewerten kann.
Code Insight wurde am 9. Februar speziell für OpenClaws Skill-Anatomie erweitert, zwei Tage nach dem Start. Skills bekommen eines von drei Ergebnissen: unbedenklich, verdächtig oder bösartig.
Und nach dem ersten Scan ist nicht Schluss. Alle aktiven Skills werden täglich erneut geprüft. Das VirusTotal-Team berichtet, dass bereits über 3.016 Skills analysiert wurden, von insgesamt mehr als 10.700 im Marketplace.
Was nicht erkannt wird
Das muss man den Gründern lassen: Sie haben es selbst gesagt. VirusTotal-Scanning ist "not a silver bullet." Prompt Injection, Malware, die erst nach der Installation aktiv wird, und verschleierte Dokumentation können weiterhin durchkommen. Snyks Analyse hat 283 Skills mit kritischen Schwachstellen gefunden, die ein herkömmlicher Malware-Scanner nicht unbedingt erkennt.
Der Beweis folgte schnell. Am 18. Februar, nur elf Tage nach dem Start der Partnerschaft, demonstrierten Cisco-Forscher einen funktionierenden Exploit mit einem Skill namens "What Would Elon Do?", der das Scanning komplett umging.
Es ist also ein Filter, keine Firewall. Gut zu haben. Allein nicht ausreichend.
Was das für Managed Instances bedeutet
Wer eine ClawHosters Managed Instance betreibt, profitiert von VirusTotal als einer Schicht in einem ganzen Stack. Deine Instanz läuft mit kuratierten, geprüften Skill-Sets. Du installierst keine rohen Skill-Pakete direkt aus dem Marketplace. Skills sind auf das beschränkt, was manuell geprüft wurde, und dein Agent läuft in einem isolierten Container.
Das ist der Unterschied zwischen dem Erkennen bekannter Bedrohungen auf Distributionsebene (was VirusTotal macht) und dem Verhindern unbekannter Bedrohungen, bevor sie deinen Agent überhaupt erreichen (was eine ordentliche Sicherheitskonfiguration macht).
Beides ist wichtig. Aber wer sich nur auf eines verlässt, wählt wahrscheinlich das Falsche.
