Krebspezialist fährt ebenfalls einen Unfall! OpenClaw hat aufgrund eines Syntaxfehlers die höchsten Geheimnisse des eigenen Servers geleakt

In Kürze hat das Sicherheitsteam sequrity.ai, das sich auf die Sicherheit von KI-Agenten spezialisiert hat, bei Tests mit dem populären OpenClaw-Roboter versehentlich eine unerwartete „Self-Hacked“-Katastrophe ausgelöst…
(Vorheriger Kontext: Nicht blind dem Trend folgen bei OpenClaw, der Krebskrabben-KI ist stark, aber nicht unbedingt für dich geeignet)
(Hintergrund: Nur weil man Bitcoin sagt, wird man gesperrt: Der Bruch zwischen Krebskrabben-OpenClaw und Kryptowährungen)

Inhaltsverzeichnis

Toggle

• Auch Sicherheitsexperten betroffen: Ein unerwarteter „Self-Hacked“-Vorfall
• Das tödliche Anführungszeichen: Wie KI unbeabsichtigt hochsensible Geheimnisse offenbart
• Hacker nutzen Schwachstellen aus und die Reaktion darauf
• Die langfristigen Herausforderungen der KI-Sicherheit: Verantwortlichkeit wird zum Problem

Mit der Verbreitung von Künstlicher Intelligenz (KI) zeigen KI-Agenten bei der Unterstützung von Entwicklern im Alltag beeindruckende Fähigkeiten. Doch diese Technologie bringt auch beispiellose Sicherheitsrisiken mit sich. Kürzlich erlebte das bekannte KI-Sicherheits-Team von sequrity.ai bei Tests mit dem populären KI-Roboter OpenClaw eine unerwartete „Self-Hacked“-Situation. Aufgrund eines kleinen Syntaxfehlers bei der Befehlsgenerierung wurden alle vertraulichen Schlüssel im Testumfeld öffentlich auf GitHub veröffentlicht, was letztlich dazu führte, dass Server von unbekannten Angreifern vollständig übernommen wurden.

Auch Sicherheitsexperten betroffen: Ein unerwarteter „Self-Hacked“-Vorfall

Betroffen waren nicht gewöhnliche Nutzer ohne technisches Hintergrundwissen, sondern professionelle Sicherheitsforscher und Entwickler des Unternehmens „sequrity.ai“, darunter Aaron Zhao. Als Branchenexperten waren sie überzeugt von ihrer Schutzfähigkeit und hatten kürzlich einen Artikel darüber veröffentlicht, wie man OpenClaw angreifen kann.

Das Team testete in einer Sandbox-Umgebung ohne schädliche Angriffsszenarien nur eine harmlose Alltagsaufgabe: „Suche nach den besten Praktiken für asynchrones Python (async) und erstelle eine GitHub-Issue, um die Erkenntnisse zusammenzufassen.“ Doch genau dieser scheinbar harmlose Befehl wurde zum Auslöser für den Systemzusammenbruch.

Das tödliche Anführungszeichen: Wie KI unbeabsichtigt hochsensible Geheimnisse offenbart

Das Problem lag darin, dass OpenClaw beim Aufruf seines integrierten „exec“-Tools zur Erstellung eines GitHub-Issues eine fehlerhafte Shell-Befehlszeile generierte.

In Bash-Systemen, wenn eine Zeichenkette in doppelte Anführungszeichen („…“) gesetzt wird, interpretiert das System bestimmte Inhalte (z.B. Backticks) als „Command Substitution“, also als Befehl, der ausgeführt wird, bevor der Text ersetzt wird. Bei einfachen Anführungszeichen (‘…’) wird der Inhalt als reiner Text behandelt.

Damals enthielt die generierte Zeichenkette eine Passage wie „…sie in einer \set\ speichern…“ und war in doppelte Anführungszeichen gesetzt. In Bash ist „set“ ein eingebauter Befehl, der bei ohne Parameter alle aktuellen Umgebungsvariablen und Funktionen ausgibt.

Das System führte diesen Befehl direkt aus, anstatt ihn nur als Text zu behandeln, und extrahierte dabei über hundert Zeilen mit vertraulichen Umgebungsvariablen, inklusive Authentifizierungstoken. Diese sensiblen Daten wurden unverschlüsselt in der öffentlich zugänglichen GitHub-Issue veröffentlicht, sodass jeder sie einsehen konnte.

Hacker nutzen Schwachstellen aus und die Reaktion darauf

Die Konsequenzen des Datenlecks waren schnell spürbar. Unter den veröffentlichten Variablen befanden sich Telegram-API-Schlüssel und andere wichtige Zugriffsrechte. Kurz darauf entdeckte das Team durch Systemüberwachung, dass ein Angreifer aus Indien diese gestohlenen Zugangsdaten nutzte, um via SSH die Kontrolle über den Sandbox-Server zu erlangen.

Glücklicherweise konnten OpenAI- und Google-Sicherheitsmechanismen die Lecks erkennen und das Team sofort informieren. Es wurde eine umfassende Untersuchung eingeleitet, die Ursache gefunden, der Angreifer identifiziert und alle Daten auf dem Server gelöscht sowie die kompromittierten Schlüssel widerrufen.

Die langfristigen Herausforderungen der KI-Sicherheit: Verantwortlichkeit wird zum Problem

Dieses Ereignis verdeutlicht die Komplexität der KI-Sicherheit. Das Team äußerte, dass sie nur eine harmlose Anweisung ausgeführt hatten, doch durch ein Missverständnis des Bash-Systems wurde die Infrastruktur kompromittiert.

Ist das eine Nutzerfrage, ein Fehler im KI-Modell oder eine Schwachstelle im OpenClaw-Design? Das Team gibt zu: „Wir wissen es wirklich nicht.“ Sie betonen, dass KI-Sicherheit heute ein „Long-Tail-Problem“ ist, mit unzähligen schwer vorhersehbaren Ausfallmodi. Mit zunehmender Macht der KI-Agenten, Systemoperationen durchzuführen, wird es eine zentrale Herausforderung, sicherzustellen, dass sie bei kleinsten Syntaxfehlern keine katastrophalen Sicherheitsvorfälle auslösen.