Microsoft: OpenClaw nicht für den Einsatz auf Standard-Workstations
Der KI-Assistent OpenClaw von Microsoft sollte nicht auf Standard-Workstations für Privatanwender oder Unternehmen betrieben werden, da er nur über begrenzte integrierte Sicherheitskontrollen verfügt. Daher sollte er nur in einer vollständig isolierten Umgebung eingesetzt werden.
OpenClaw ist ein von Microsoft entwickelter KI-Assistent, der Aufgaben für Benutzer autonom ausführen kann. Dazu müssen Benutzer dem KI-Assistenten vollständigen Zugriff auf ihren Computer und ihre Software gewähren, einschließlich E-Mails, Dateien und Online-Diensten sowie Anmeldedaten.
Laut Microsoft bedeutet dies, dass Anmeldedaten und zugängliche Daten offengelegt oder exfiltriert werden können. Darüber hinaus kann der persistente Zustand oder "Speicher" des Agenten verändert werden, sodass er im Laufe der Zeit den Anweisungen des Angreifers folgt.
Schließlich kann die Umgebung des Hosts kompromittiert werden, wenn der Agent dazu gebracht wird, bösartigen Code oder Malware abzurufen und auszuführen.
Aufgrund dieser Eigenschaften sollte OpenClaw als nicht vertrauenswürdige Codeausführung mit persistenten Anmeldedaten behandelt werden. Es ist nicht angemessen, es auf einer normalen privaten oder geschäftlichen Workstation auszuführen.
Unternehmen, die OpenClaw wirklich testen und bewerten möchten, sollten dies in einer vollständig isolierten Umgebung tun, z. B. auf einer dedizierten virtuellen Maschine oder einem separaten physischen System.
Die Laufzeitumgebung sollte dedizierte, nicht privilegierte Anmeldedaten verwenden und nur auf nicht sensible Daten zugreifen. Eine kontinuierliche Überwachung und ein Wiederherstellungsplan sollten Teil des Betriebsmodells sein.
Laut dem in Redmond ansässigen Technologieunternehmen gibt es zwei Hauptarten von Sicherheitsproblemen mit OpenClaw. Erstens können Angreifer bösartige Anweisungen in den von einem Agenten gelesenen Inhalten verstecken, die entweder die Verwendung des Tools steuern oder dessen Speicher verändern können, um sein Verhalten im Laufe der Zeit zu beeinflussen, es sei denn, die Benutzer setzen strenge Grenzen. Dies wird als indirekte Prompt-Injektion bezeichnet.
Zweitens erwerben Agenten Fähigkeiten aus einer Vielzahl von Quellen, vor allem durch das Herunterladen und Ausführen von Code aus dem Internet, der bösartigen Code enthalten kann. Dieses Risiko wird als Skill-Malware bezeichnet.
Microsoft weist darauf hin, dass ein erfolgreicher Angriff nicht immer die Installation von Malware erfordert, sondern auch subtile Konfigurationsänderungen beinhalten kann.
Kürzlich hat das SecurityScorecard STRIKE Threat Intelligence Team Zehntausende von exponierten OpenClaw-Instanzen identifiziert, wodurch Benutzer dem Risiko einer Kontoübernahme ausgesetzt sind.
Eine Studie identifizierte über 42.000 eindeutige IP-Adressen, die exponierte OpenClaw-Kontrollfelder mit vollständigem Systemzugriff in 82 Ländern hosten. Ungefähr 50.000 exponierte Instanzen waren anfällig für Remote Code Execution (RCE), was bedeutet, dass Angreifer die Kontrolle über den Host-Rechner übernehmen können.