Was der 28K-Vorfall tatsächlich gezeigt hat
Die „28K"-Zahl, die im April durch die OpenClaw-Community ging, war die Zahl der Systeme, die ein einziges bösartiges Paket kompromittiert hat, bevor es jemand bemerkte. Der Trojaner kam über eine populäre OpenClaw-Erweiterung herein, sammelte alle erreichbaren API-Schlüssel ein und schrieb sich still in Agenten-Prompts, die den Rest der Woche liefen.
Er kam nicht hinein, weil OpenClaw „unsicher" wäre. Er kam hinein, weil die meisten OpenClaw-Deployments so konfiguriert sind wie die meisten Entwicklerwerkzeuge: Schlüssel in Umgebungsvariablen, Agenten auf dem Laptop des Entwicklers, Erweiterungen auf Vertrauensbasis installiert und kein Audit-Log zwischen „der Agent hat etwas getan" und „die Rechnung ist da". Jede dieser Voreinstellungen ist für sich genommen in Ordnung. Übereinandergelegt ergeben sie genau das Bedrohungsmodell, für das der Trojaner geschrieben wurde.
Dieser Beitrag ist kein Feature-Post. Office Claws ist keine OpenClaw-Runtime — wir sind ein Codex-first-Desktop-Manager, und die meisten der unten genannten Kontrollen gelten für beide Agenten gleichermaßen. Was wir aufzeigen wollen, ist das Bedrohungsmodell, das OpenClaw-Nutzer nach diesem Vorfall tatsächlich haben, und die langweiligen Local-First-Praktiken, die den nächsten Vorfall zur Randnotiz machen.
Das Bedrohungsmodell, das OpenClaw-Nutzer wirklich haben
Drei Dinge machen Agenten-Plattformen zu attraktiveren Zielen als ein gewöhnliches Entwicklerwerkzeug, und OpenClaw ist da keine Ausnahme.
- Schlüssel sind echtes Geld wert. Ein geleakter OpenAI- oder Anthropic-Schlüssel ist nicht nur eine Zugangsberechtigung — er ist ein gemeterter Geldautomat. Ein Angreifer kann an einem Wochenende 5.000 $ verbrennen, bevor die Abrechnungsalarme greifen.
- Agenten haben Hände. Ein Agent mit Shell-Zugriff kann Ihre Codebasis lesen, in Repos pushen und Skripte als Sie ausführen. Ein Trojaner im Prompt oder in der Tool-Liste kann dasselbe tun.
- Die Lieferkette ist breit. Jede Erweiterung, jeder MCP-Server, jeder „Community-Pack" läuft in derselben Vertrauenszone wie der Agent. Ein OpenClaw-Setup mit zwölf Erweiterungen hat zwölf potenzielle Eintrittspunkte.
Jede Praxis, die nicht mindestens eines dieser drei Dinge adressiert, ist Dekoration.
| Risiko | Schlechte Voreinstellung | Langweilige Kontrolle, die wirkt |
|---|---|---|
| Schlüssel-Exfiltration | Schlüssel in .env neben dem Quellcode | Lokaler OS-Keychain, kurzlebige Rotation |
| Agent auf Laptop mit Vollzugriff | Eine UID, ein Dateisystem | Agent auf eigener VPS, gescopte Tokens |
| Erweiterungs-Lieferkette | Auto-Update, kein Review | Versionen pinnen, Diff lesen, kein Auto-Install |
| Unsichtbare Kosten | API-Rechnung kommt zum Monatsende | Per-Agent-Spend-Cap + tägliches Monitoring |
Fünf Kontrollen, die wirklich etwas bewegen
1. Schlüssel bleiben auf der Maschine des Operators
Die wirkungsvollste Kontrolle nach diesem Vorfall ist auch die älteste: Liefere das Geheimnis nicht an den Ort, an dem der nicht vertrauenswürdige Code läuft. In Office Claws leben Ihre Provider-Schlüssel im lokalen Speicher Ihrer Desktop-App. Sie werden nur dann über einen verschlüsselten Tailscale-Tunnel an den Agenten übergeben, wenn der Agent einen Provider aufruft, und niemals auf die VPS-Festplatte geschrieben. Wenn ein Trojaner auf der Agent-Box landet, findet er den Schlüssel nicht — weil er dort nie war.
Wenn Sie auf OpenClaw bleiben, ist das Äquivalent, Schlüssel aus den .env-Dateien des Projekts in Ihren OS-Keychain zu verschieben (Keychain auf macOS, secret-tool auf Linux, DPAPI auf Windows) und sie zu Sitzungsbeginn zu lesen. Es ist lästig. Es ist auch der Unterschied zwischen „kompromittiert" und „leicht peinlich".
2. Der Agent lebt woanders
Den Agenten auf derselben Maschine wie Ihren Quellbaum laufen zu lassen, bedeutet, dass eine einzige Kompromittierung alles erreicht. Ihn auf einer VPS laufen zu lassen — Ihrer eigenen Contabo-Box für ein paar Euro im Monat — verwandelt die meisten Angriffe in „der Angreifer hat eine einzige flüchtige Droplet rooted." Diese Droplet hat keine SSH-Schlüssel für Ihre anderen Repos, keine Browser-Session zu Ihrer Bank und keinen Zugriff auf den Slack Ihres Teams. Sie zerstören und provisionieren neu; der Radius ist eine Maschine.
Das ist das Modell, das wir ausliefern. Selbst gehostete Office Claws provisioniert in unter drei Minuten eine Contabo-Droplet aus einem vorgebackenen Snapshot; der Agent läuft dort, Ihr Laptop spricht über Tailscale mit ihm.
3. Pinnen Sie jede Erweiterung, die Sie installieren
Der 28K-Trojaner war ein Lieferkettenangriff. Auto-Updates für Community-Erweiterungen sind das OpenClaw-Äquivalent zu curl | bash. Pinnen Sie Versionen. Lesen Sie den Diff vor jedem Bump. Behandeln Sie jede Erweiterung, die nach „allen Tools, allen Verzeichnissen" fragt, wie eine Browser-Erweiterung, die jede Seite lesen will — mit einer langen Pause und einer kleineren Alternative.
Zwei praktische Regeln:
- Eine Erweiterung, die Netzwerkzugriff zu einer Domain braucht, von der Sie noch nie gehört haben, ist ein Nein.
- Eine Erweiterung, deren Maintainer-GitHub-Historie drei Commits alt ist, ist ein Nein.
4. Begrenzen Sie die Kosten beim Provider
Jeder unterstützte Provider hat ein Spend-Cap pro Schlüssel. Setzen Sie eines. Der 28K-Trojaner war profitabel, weil niemand etwas merkte, bis die Rechnung kam; derselbe Trojaner gegen einen Schlüssel mit einem 50 $/Tag-Limit ist ein Ärgernis, kein Vorfall. Office Claws zeigt Ihren Token-Verbrauch pro Agent in der Desktop-App, aber die maßgebliche Verteidigung ist das Cap, das Sie auf der Seite von OpenAI oder Anthropic setzen. Wir können es nicht für Sie durchsetzen und wollten das auch nicht.
5. Haben Sie ein Audit-Log, das Sie nicht selbst geschrieben haben
Wenn Ihre einzige Aufzeichnung dessen, „was der Agent getan hat", der eigene Scrollback des Agenten ist, haben Sie keine Aufzeichnung. Jeder Agenten-Prompt und jeder Tool-Call sollte irgendwo landen, das Sie kontrollieren: das Gateway-Log auf der Agent-VPS, ein Loki/Grafana-Stack, den Sie betreiben, oder — bei Managed-Plänen — der Activity-Feed in der Desktop-App. Es geht nicht darum, das täglich zu lesen. Es geht darum, dass Sie nach einem Vorfall die Frage „was hat dieser Schlüssel berührt" in Minuten beantworten können, nicht in Wochen.
Wie das in der Praxis aussieht
Konkret kam ein OpenClaw-Nutzer, der den Vorfall ernst genommen hat, aus dem April mit etwa diesem Stack heraus:
laptop ── Tailscale ──► VPS (one per agent)
│ │
│ ├─ agent runtime
│ ├─ pinned extensions
│ └─ gateway log → operator-side
│
├─ keys in OS keychain (NOT in .env)
├─ provider spend cap set per key
└─ desktop app showing per-agent token burnDas ist derselbe Stack, den Office Claws standardmäßig für Codex-Agenten ausliefert. Wenn Sie nach der Abo-Sperre von OpenClaw migriert sind, haben Sie die Sicherheits-Posture als Nebeneffekt der Kosten-Migration mitgenommen. Wenn Sie auf OpenClaw geblieben sind, ist die obige Architektur immer noch erreichbar — Sie müssen sie nur selbst verdrahten.
Empfehlungen
- Nehmen Sie Schlüssel heute aus
.envheraus. Selbst wenn Sie sonst nichts von dieser Liste tun, kann die nächste geleakte Erweiterung keinen Schlüssel exfiltrieren, den sie nicht lesen kann. - Setzen Sie Spend-Caps vor der nächsten Coding-Session. Fünf Minuten im Provider-Dashboard. Die Kontrolle mit dem höchsten ROI auf dieser Seite.
- Auditieren Sie Ihre installierten Erweiterungen. Alles, was Sie nicht aktiv nutzen, deinstallieren. Alles, was Sie nutzen, auf einen bekannten guten Commit pinnen.
- Holen Sie den Agenten vom Laptop runter. Ob das OpenClaw auf einer self-hosted Box ist oder Codex auf Office Claws — der Laptop ist der falsche Ort für einen langlaufenden Agenten mit Shell-Zugriff.
- Pflegen Sie ein Operator-seitiges Log. Es muss nicht ausgefallen sein. Es muss vor dem nächsten Vorfall existieren, nicht danach.
Der 28K-Vorfall war nicht der letzte. Agenten-Plattformen sind inzwischen lukrativ genug, dass „Lieferkette → Schlüssel → Rechnung" ein Geschäftsmodell ist, kein Zufall. Die obigen Kontrollen stoppen das nicht. Sie machen den Wirkungsradius klein genug, dass der nächste Vorfall ein Freitagnachmittag-Ticket wird, kein Wochenend-Krisenraum.
Weiterführende Beiträge
- OpenClaw-Abo gesperrt? Der Codex-Migrationspfad, der Ihre Agenten am Laufen hält — die Kostenseite derselben Migrationsgeschichte
- AI Agent Security: Wie Office Claws Ihre Schlüssel sicher hält — die architektonischen Details hinter dem Local-First-Schlüsselhandling
- Self-Hosted vs Managed — den Plan wählen, der zum obigen Bedrohungsmodell passt, mit Preisen hier