Clawdbot Chaos: Ein erzwungenes Rebranding, Krypto-Betrug und 24-Stunden-Kollaps

Kurzfassung

• Ein Markenstreit löste das chaotische Rebranding und die Kontohijacking-Aktion der viralen KI-App Clawdbot aus.
• Innerhalb von Minuten stieg der nicht verbundene CLAWD-Token auf eine Marktkapitalisierung von 16 Millionen US-Dollar, bevor er zusammenbrach.
• Sicherheitsexperten entdecken exponierte Clawdbot-Instanzen und Credential-Risiken.

Vor einigen Tagen war Clawdbot eines der heißesten Open-Source-Projekte auf GitHub und zählte mehr als 80.000 Sterne. Es ist ein beeindruckendes Stück Technik, das es ermöglicht, einen KI-Assistenten lokal mit vollem Systemzugriff über Messaging-Apps wie WhatsApp, Telegram und Discord auszuführen. Heute wurde es zu einem rechtlichen Rebranding gezwungen, überrannt von Krypto-Betrügern, verbunden mit einem gefälschten Token, der kurzzeitig eine Marktkapitalisierung von 16 Millionen US-Dollar erreichte, bevor er zusammenbrach, und von Forschern kritisiert, die exponierte Zugänge und zugängliche Anmeldeinformationen fanden. Die Abrechnung begann, nachdem Anthropic dem Gründer Peter Steinberger eine Markenklage schickte. Das KI-Unternehmen—dessen Claude-Modelle viele Clawdbot-Installationen antreiben—entschied, dass „Clawd“ zu sehr an „Claude“ erinnere. Fair enough. Markenrecht ist Markenrecht.

Das löste jedoch eine Reihe von Problemen aus, die bald in Kettenreaktionen übergingen.

Habe ich jemanden von GitHub in meiner Timeline, der mir helfen könnte, mein Konto bei GitHub zurückzubekommen?
Es wurde von Krypto-Betrügern gestohlen.

— Peter Steinberger 🦞 (@steipete) 27. Januar 2026

Steinberger kündigte das Rebranding von Clawdbot—der Name war eine Anspielung auf Hummer, offensichtlich (frag nicht)—zu Moltbot auf X an. Die Community schien damit einverstanden zu sein. „Gleicher Hummer, neue Schale“, schrieb das Projektkonto. Als Nächstes benannte Steinberger die GitHub-Organisation und das X-Konto gleichzeitig um. Doch in der kurzen Lücke zwischen der Freigabe der alten Handles und der Sicherung der neuen, übernahmen Krypto-Betrüger beide Konten.

Die gehackten Konten begannen sofort, einen gefälschten Token namens CLAWD auf Solana zu pushen. Innerhalb weniger Stunden trieben spekulative Händler den Token auf eine Marktkapitalisierung von über 16 Millionen US-Dollar. Einige frühe Käufer meldeten enorme Gewinne. Steinberger bestritt jegliche Beteiligung an dem Token. Die Marktkapitalisierung brach zusammen, und späte Käufer wurden zerstört. „An alle Krypto-Leute: Bitte hört auf, mich zu pingen, hört auf, mich zu belästigen“, schrieb Steinberger. „Ich werde niemals eine Münze machen. Jedes Projekt, das mich als Münzbesitzer auflistet, ist ein SCAM. Nein, ich werde keine Gebühren akzeptieren. Ihr schadet aktiv dem Projekt.“

An alle Krypto-Leute:
Bitte hört auf, mich zu pingen, hört auf, mich zu belästigen.
Ich werde niemals eine Münze machen.
Jedes Projekt, das mich als Münzbesitzer auflistet, ist ein SCAM.
Nein, ich werde keine Gebühren akzeptieren.
Ihr schadet aktiv dem Projekt.

— Peter Steinberger 🦞 (@steipete) 27. Januar 2026

Die Krypto-Community nahm die Ablehnung nicht gut auf. Einige Spekulanten glaubten, Steinbergers Ablehnung habe ihre Verluste verursacht, und starteten Belästigungskampagnen. Er sah sich Vorwürfen des Verrats, Forderungen, „Verantwortung zu übernehmen“, und koordinierten Drucks ausgesetzt, Projekte zu unterstützen, von denen er noch nie gehört hatte. Letztlich konnte Steinberger die Kontrolle über die Konten erlangen. Doch in der Zwischenzeit entschieden Sicherheitsexperten, dass dies ein guter Zeitpunkt sei, um darauf hinzuweisen, dass Hunderte von Clawdbot-Instanzen öffentlich zugänglich waren, ohne jegliche Authentifizierung. Mit anderen Worten, Nutzer gaben unüberwachte Berechtigungen an die KI, die leicht von bösen Akteuren ausgenutzt werden konnten. Wie Decrypt berichtete, führte der KI-Entwickler Luis Catacora Shodan-Scans durch und stellte fest, dass viele Probleme im Wesentlichen durch unerfahrene Nutzer verursacht wurden, die der Agentur zu viele Berechtigungen gaben. „Ich habe gerade Shodan geprüft und es gibt exponierte Gateways auf Port 18789 ohne Authentifizierung“, schrieb er. „Das ist Shell-Zugriff, Browser-Automatisierung, deine API-Schlüssel. Cloudflare Tunnel ist kostenlos, es gibt keine Ausrede.“

Jamieson O’Reilly, Gründer des Red-Teaming-Unternehmens Dvuln, fand ebenfalls, dass es sehr einfach war, verwundbare Server zu identifizieren. „Von den Instanzen, die ich manuell untersucht habe, waren acht offen ohne jegliche Authentifizierung“, sagte O’Reilly gegenüber The Register. Dutzende weitere hatten teilweise Schutzmaßnahmen, die die Exposition nicht vollständig eliminierten.

Das technische Problem? Das Clawdbot-Authentifizierungssystem genehmigt automatisch Verbindungen von localhost—also Verbindungen zu deinem eigenen Rechner. Wenn Nutzer die Software hinter einem Reverse-Proxy ausführen, was die meisten tun, erscheinen alle Verbindungen als kämen sie von 127.0.0.1 und werden automatisch autorisiert, selbst wenn sie extern initiiert werden. Die Blockchain-Sicherheitsfirma SlowMist bestätigte die Schwachstelle und warnte, dass mehrere Codefehler zum Diebstahl von Anmeldeinformationen und zur Fernsteuerung von Code führen könnten. Forscher demonstrierten verschiedene Prompt-Injection-Angriffe, darunter einen per E-Mail, bei dem eine KI-Instanz dazu verleitet wurde, private Nachrichten an einen Angreifer weiterzuleiten. Es dauerte nur wenige Minuten.

🚨SlowMist TI Alert🚨

Exponierte Clawdbot-Gateways erkannt: Hunderte von API-Schlüsseln und privaten Chat-Protokollen sind gefährdet. Mehrere nicht authentifizierte Instanzen sind öffentlich zugänglich, und mehrere Codefehler könnten zum Diebstahl von Anmeldeinformationen und sogar zur Fernsteuerung von Code (RCE) führen.

Wir warnen stark… https://t.co/j2ERoWPFnh

— SlowMist (@SlowMist_Team) 27. Januar 2026

„Das passiert, wenn virales Wachstum vor der Sicherheitsüberprüfung einsetzt“, schrieb der Entwickler von FounderOS, Abdulmuiz Adeyemo. „‚Build in public‘ hat eine dunkle Seite, über die niemand spricht.“
Die gute Nachricht für KI-Hobbyisten und Entwickler ist, dass das Projekt selbst nicht gestorben ist. Moltbot ist die gleiche Software wie Clawdbot; der Code ist solide und trotz des Hypes nicht besonders anfängerfreundlich. Die Anwendungsfälle sind real, aber noch nicht bereit für die breite Masse. Und die Sicherheitsprobleme bestehen weiterhin.

Der Betrieb eines autonomen KI-Agenten mit Shell-Zugriff, Browsersteuerung und Credential-Management schafft Angriffsflächen, für die traditionelle Sicherheitsmodelle nicht ausgelegt sind. Die Wirtschaftlichkeit dieser Systeme—lokale Bereitstellung, persistenten Speicher und proaktive Aufgaben—treibt die Akzeptanz schneller voran, als die Sicherheitslage der Branche sich anpassen kann.
Und die Krypto-Betrüger sind immer noch da draußen und beobachten das nächste Chaos-Fenster. Es braucht nur eine Nachlässigkeit, einen Fehler oder eine Lücke. Zehn Sekunden, so stellt sich heraus, sind mehr als genug.