OpenClaw Security: 13 praktische Schritte, um Ihren KI-Agenten abzusichern

Ein detaillierter Reddit-Beitrag aus r/clawdbot bietet 13 konkrete Sicherheitsempfehlungen zur Absicherung von OpenClaw-AI-Agent-Installationen. Der Beitrag betont, dass viele Nutzer OpenClaw lokal mit Standardeinstellungen betreiben und dadurch ihre Dateien, APIs und Systembefehle potenziellen Kompromittierungen aussetzen.
Wichtige Sicherheitsschritte
- Separater Rechner: Führen Sie OpenClaw auf einem VPS (Hetzner, DigitalOcean, Linode) für 5 $/Monat oder einem Ersatzrechner aus, nicht auf Ihrem persönlichen Laptop.
- Nicht-Root-Benutzer: Erstellen Sie einen dedizierten Benutzer mit eingeschränkten Berechtigungen, anstatt als Root zu laufen.
- Standardport ändern: Wechseln Sie vom Standardport 8080 zu einer zufälligen Zahl zwischen 10000 und 65535.
- Tailscale-Installation: Verwenden Sie Tailscale, um Ihren Server für das Internet unsichtbar zu machen und nur zugelassenen Geräten die Verbindung zu ermöglichen.
- SSH-Schlüssel & Fail2ban: Deaktivieren Sie die Passwortanmeldung, verwenden Sie nur SSH-Schlüssel und installieren Sie fail2ban, um IPs nach drei fehlgeschlagenen Anmeldeversuchen für 24 Stunden zu sperren.
- Firewall mit UFW: Schließen Sie alle unnötigen Ports. Mit Tailscale benötigen Sie nur SSH zugänglich.
- Benutzer-Allowlisting: Konfigurieren Sie OpenClaw so, dass es nur auf bestimmte Telegram-Konten reagiert; andere erhalten keine Antwort.
- Selbstaudit: Fragen Sie Ihren Bot: „Überprüfe dein eigenes Sicherheitssetup und sag mir, was korrigiert werden muss.“ Für systematische Prüfungen nutzen Sie SecureClaw, ein Open-Source-Plugin von Adversa AI, das 55 automatisierte Sicherheitschecks gegen OpenClaw-Installationen durchführt.
- Echtzeit-Benachrichtigungen: Konfigurieren Sie Benachrichtigungen für fehlgeschlagene Anmeldungen, Konfigurationsänderungen oder neue SSH-Verbindungen.
- Nur Direktnachrichten: Beschränken Sie den Bot-Zugriff auf Direktnachrichten. Wenn Gruppen-Zugriff benötigt wird, führen Sie eine separate Instanz mit eingeschränkten Berechtigungen aus.
- Docker-Sandboxing: Führen Sie Subagenten in Docker-Containern aus, indem Sie
agents.defaults.sandbox: truein Ihrer Konfiguration setzen. Dies isoliert die Tool-Ausführung, um Prompt-Injection-Angriffe zu verhindern. Prüfen Sie Drittanbieter-Skills von ClawHub, bevor Sie sie ausführen. - Täglicher Sicherheitsaudit-Cron: Richten Sie einen Cron-Job ein, um täglich vollständige Sicherheitsaudits durchzuführen, um Konfigurationsabweichungen oder versehentlich geöffnete Ports zu erkennen.
- Aktualisiert bleiben: Halten Sie OpenClaw-Updates ein oder nutzen Sie verwaltete Dienste wie StartClaw, wenn Sie keine DevOps-Aufgaben übernehmen möchten.
Der Beitrag stellt Docker-Sandboxing als den wichtigsten Schritt dar und merkt an, dass Subagenten, die Webseiten durchsuchen, ohne ordnungsgemäße Isolierung über Prompt-Injection-Angriffe getäuscht werden könnten.
📖 Read the full source: r/clawdbot
👀 Siehe auch

Weit geöffnete Klaue: Sicherheitsrisiken durch zu lockere Discord-Bot-Berechtigungen
Ein Sicherheitsforscher demonstriert, wie OpenClaw ausgenutzt werden kann, wenn Nutzer den KI-Assistenten-Bot mit übermäßigen Berechtigungen zu ihrem Discord-Server hinzufügen, und dabei Nutzer ins Visier nimmt, die Root-/Admin-Zugriff gewähren, ohne Sicherheitskontrollen zu berücksichtigen.

Bösartiges PyTorch Lightning-Paket stiehlt Anmeldedaten und infiziert npm-Pakete
Das PyPI-Paket 'lightning' in den Versionen 2.6.2 und 2.6.3 enthält Malware im Shai-Hulud-Stil, die Anmeldedaten, Token und Cloud-Geheimnisse stiehlt und über injizierte JavaScript-Payloads auf npm-Pakete übergreift.

Open-Source-KI-Tools bergen Sicherheitsrisiken durch "trügerische Sicherheit durch Transparenz"
Ein Reddit-Beitrag warnt vor Malware, die als Open-Source-KI-Agenten und -Tools getarnt ist, wobei bösartiger Code in großen Codebasen versteckt sein kann, die Nutzer für sicher halten, weil sie auf GitHub gehostet werden. Der Beitrag beschreibt, wie 'Vibe-Coding' und autonome KI-Agenten Nutzer dazu bringen, unbekannte Programme ohne Überprüfung auszuführen.

Clawvisor: Zweckbasierte Autorisierungsschicht für OpenClaw-Agenten
Clawvisor ist eine Autorisierungsschicht, die zwischen KI-Agenten und APIs sitzt und zweckbasierte Autorisierung durchsetzt, bei der Agenten Absichten deklarieren, Benutzer bestimmte Zwecke genehmigen und ein KI-Gatekeeper jede Anfrage gegen diesen Zweck überprüft. Anmeldedaten verlassen Clawvisor nie und Agenten sehen sie nie.