Claw Hub und Hugging Face von 575 bösartigen Skill-Paketen betroffen

Sowohl Claw Hub als auch Hugging Face wurden kompromittiert, wie ein neuer Bericht auf r/openclaw zeigt. Der Vorfall führte dazu, dass 575 bösartige Skill-Pakete auf beiden Plattformen hochgeladen wurden. Der ursprüngliche Tweet des Nutzers lautet: "Offenbar wurden beide Websites gehackt und es gibt 575 bösartige Skills auf den Seiten. Seid vorsichtig, was ihr von dort verwendet."
Bösartige Skills können beliebige Befehle ausführen, Umgebungsvariablen (wie API-Schlüssel oder Tokens) exfiltrieren oder lokale Dateien im Arbeitsbereich des Claw-Agenten ändern. Da Claw-Agenten oft mit erhöhten Berechtigungen arbeiten, um Shell-Befehle auszuführen oder auf Cloud-Anmeldedaten zuzugreifen, könnten die Auswirkungen schwerwiegend sein.
Der Quellthread gibt nicht an, ob der Angriff Schwachstellen in der Lieferkette (z. B. kompromittierte Maintainer-Konten) oder direkte Plattformfehler ausnutzte. Dieser Vorfall ähnelt jedoch früheren Angriffen auf die Paketlieferketten von PyPI und npm. Die genauen Skill-Kennungen oder Paketnamen wurden noch nicht veröffentlicht.
Entwickler, die Claw Hub oder Hugging Faces Skill-Registry verwenden, sollten sofort ihre installierten Skills überprüfen. Zu den wichtigsten Maßnahmen gehören:
- Alle installierten Skills mit
claw skills listauflisten - Prüfen des Skill-Quellcodes auf verdächtige Netzwerkaufrufe,
os.system,execoder base64-kodierte Zeichenfolgen. - Skill-Versionen festlegen und Code-Review für alle in der Produktion verwendeten Skills aktivieren.
- Erwägen, Claw-Agenten in Sandbox-Umgebungen (z. B. Docker-Container) mit minimalen Netzwerk- und Dateisystemberechtigungen auszuführen.
Bislang wurde weder von Claw noch von Hugging Face eine offizielle Stellungnahme veröffentlicht. Die Community verfolgt die Situation im ursprünglichen Reddit-Thread. Dies ist ein kritisches Sicherheitsereignis für alle, die auf KI-Coding-Agenten angewiesen sind, die externe Skills laden.
📖 Read the full source: r/openclaw
👀 Siehe auch

Student trägt zwei Sicherheitspatches zum OpenClaw-Produktionssystem bei
Ein Studentenentwickler hat eine 'Fail-Open'-Schwachstelle in der Gateway-Logik von OpenClaw (PR #29198) und eine Tabnabbing-Schwachstelle in Chat-Bildern (PR #18685) behoben, wobei beide Patches in den Produktionsversionen v2026.3.1 bzw. v2026.2.24 veröffentlicht wurden.

Live-Dashboard der exponierten OpenClaw-Tools
Dashboard, das exponierte Steuerpanelen von OpenClaw-Tools wie Moltbot und Clawdbot zeigt.

OpenClaw-Sicherheitsansatz unter Verwendung von LLM-Router und zrok Private Sharing
Ein Entwickler teilt seinen Ansatz, OpenClaw und einen LLM-Router mit einem einzigen Befehl in einer VM+Kubernetes-Umgebung auszuführen, wobei Sicherheitsbedenken durch das Injizieren von API-Schlüsseln auf Router-Ebene und die Verwendung von zrok für privates Teilen anstelle traditioneller Messaging-App-Tokens adressiert werden.

Sicherheitswarnung: ClawProxy-Skript stahl API-Schlüssel und verursachte hohe OpenRouter-Rechnung
Ein Entwickler installierte ein Closed-Source-ClawProxy-Skript von einem Reddit-Nutzer auf einem abgeschotteten WSL-Ubuntu-24.04-System, das seinen OpenRouter-API-Schlüssel stahl und ihn über die Google-Vertex-API nutzte, um über Nacht eine hohe Rechnung für Opus 4.6 zu verursachen.