OpenClaw, Claude Channels und das Argument dafür, seinen KI-Agenten einfach nicht mit Discord zu verbinden

Das Versprechen klingt verlockend: den KI-Coding-Assistenten mit Discord oder Telegram verbinden, ihm Nachrichten vom Handy schicken, eine Benachrichtigung erhalten, wenn der Build fertig ist. OpenClaw hat das letzten November möglich gemacht. Anthropic lieferte seine eigene Version, Claude Code Channels, am 20. März. Die Entwicklerwelt jubelte. Die Sicherheitswelt zuckte zusammen.

Der Chef hat uns gebeten, das zu untersuchen, und ehrlich gesagt: je tiefer wir gruben, desto schlimmer wurde es.

Das Problem in klaren Worten: Diese Tools geben Ihrem KI-Agenten Zugriff auf Ihre Dateien, Ihr Terminal, Ihre Zugangsdaten. Dann öffnen sie eine Tür vom Internet direkt zu diesem Agenten. Die Tür hat theoretisch ein Schloss. In der Praxis wurden über tausend OpenClaw-Server sperrangelweit offen im öffentlichen Internet gefunden, die API-Schlüssel, private Nachrichten und Shell-Zugriff an jeden preisgaben, der auf Shodan danach suchte. Die Sicherheitsrisiken von KI-Agenten sind nicht theoretisch. Sie haben sich bereits verwirklicht.

Was OpenClaw tatsächlich offengelegt hat

OpenClaw (ursprünglich Clawdbot, dann kurz Moltbot) ist ein Open-Source-KI-Agent, der auf Ihrem Rechner läuft und Befehle über Messaging-Apps entgegennimmt. Ende Januar 2026 wurde er viral. Innerhalb einer einzigen Woche wurden mehrere kritische Sicherheitslücken gemeldet, bösartige Plugins überschwemmten seinen Marktplatz, und Forscher fanden überall exponierte Server.

Die Zahlen sprechen für sich. Sicherheitsforscher Jamieson O’Reilly fand allein durch eine Shodan-Suche nach „Clawdbot Control” über 1.000 exponierte Gateways. Was war darin? Anthropic-API-Schlüssel. Telegram-Bot-Tokens. Slack-Zugangsdaten. Monate privater Nachrichten aus Signal, Telegram, Slack, Discord und WhatsApp. Manche Instanzen liefen als Root.

Die Grundursache war peinlich einfach. OpenClaw vertraut standardmäßig Verbindungen von localhost. Die meisten Leute deployen es hinter einem Reverse-Proxy wie Nginx. Der Proxy leitet den Datenverkehr an OpenClaw weiter, der Datenverkehr scheint von localhost zu kommen, und OpenClaw lässt ihn durch. Authentifizierung ist standardmäßig deaktiviert. Kein Rate-Limiting bei Passwortversuchen von localhost. Keine WebSocket-Ursprungsverifizierung.

Dann kam CVE-2026-25253, eine Ein-Klick-Sicherheitslücke für Remote Code Execution mit einem CVSS-Score von 8,8. Besuchen Sie eine bösartige Website, während OpenClaw läuft. JavaScript auf der Seite öffnet eine WebSocket zu Ihrem localhost, knackt das Passwort in Sekunden und übernimmt die vollständige Kontrolle. Der Angreifer kann Ihre Sicherheitsmechanismen deaktivieren, die Sandbox verlassen und beliebige Befehle auf Ihrem Rechner ausführen. Alles aus einem Browsertab, den Sie kaum beachtet haben.

Darüber hinaus wurden über 1.000 bösartige Skills in ClawHub entdeckt, OpenClaws Community-Plugin-Marktplatz. Gefälschte Krypto-Tools und Produktivitätsintegrationen, die tatsächlich Infostealer und Backdoors installierten. Die Infostealer RedLine, Lumma und Vidar fügten OpenClaw-Dateipfade zu ihren Diebstahllisten hinzu, weil die App alle Zugangsdaten im Klartext speichert.

Claude Code Channels: gleiche Idee, glänzendere Verpackung

Am 20. März 2026 lancierte Anthropic Claude Code Channels, das Claude Code über MCP-Server mit Telegram und Discord verbindet. Es wird ausdrücklich als Anthropics Antwort auf OpenClaw positioniert.

Anthropics Version ist sorgfältiger gebaut. Es gibt einen Kopplungsprozess. Es gibt eine Absender-Whitelist. Es gibt keinen Community-Plugin-Marktplatz voller Malware. Aber die grundlegende Architektur ist dieselbe: ein leistungsstarker Coding-Agent auf Ihrem Rechner, erreichbar über eine Messaging-App aus dem Internet.

Und Claude Code hat bereits seine eigene Sicherheitsbilanz. Im Februar 2026 stellte Check Point Research fest, dass das Klonen eines bösartigen Repositorys und das Starten von Claude Code ausreichte, um Ihren API-Schlüssel zu stehlen, bevor Sie überhaupt den Vertrauensdialog gesehen hatten. Eine präparierte .claude/settings.json-Datei konnte alle API-Aufrufe still auf den Server eines Angreifers umleiten und Ihre Zugangsdaten heimlich exfiltrieren.

Das breitere MCP-Ökosystem ist nicht besser. CVE-2025-6514, eine Sicherheitslücke in mcp-remote (dem OAuth-Proxy, der von Hunderttausenden von Entwicklern genutzt wird), erreichte einen Score von 9,6 von 10. Ein bösartiger MCP-Server konnte einen OAuth-Endpunkt erstellen, der Shell-Befehle direkt auf dem Rechner des Entwicklers ausführte. Das mcp-remote-Paket wurde über 437.000 Mal heruntergeladen.

Der Kompromiss, der keinen Sinn ergibt

Was bekommen Sie also für all diese Risiken? Die Möglichkeit, Ihrem KI-Agenten vom Handy aus SMS zu schicken, anstatt per SSH auf Ihren Server zuzugreifen. Das ist das Wertversprechen. Sie konnten bereits alles, was Channels tut, durch das Öffnen eines Terminals auf Ihrem Handy und das Starten von Claude Code dort erledigen. Die einzige neue Funktion ist, dass Claude Sie zuerst anschreiben kann.

Wie Penligents Sicherheitsanalyse feststellte, schafft Fernsteuerung an sich keine neuen Schwachstellen. Aber sie „verändert das Verhalten und verstärkt die Auswirkungen”, indem sie es einfacher macht, Befehle in abgelenkten Kontexten zu genehmigen: auf dem Handy zwischen Meetings, bei einer instabilen Verbindung auf Reisen, in jedem Moment geteilter Aufmerksamkeit.

Sie haben Ihrem Agenten Zugriff auf Ihr Dateisystem, Ihre Shell, Ihre Zugangsdaten gegeben. Jetzt stempeln Sie seine Anfragen von einem winzigen Bildschirm aus ab, während Sie Kaffee bestellen. Das ist keine Verbesserung des Workflows. Es ist Genehmigungsmüdigkeit als Waffe eingesetzt.

Was, wenn wir es einfach lassen?

Die Sicherheitsgemeinde hat einen Namen für das, was OpenClaw und Claude Channels tun. Es heißt „AngriffsflächeDie Gesamtheit der Punkte in einem System, an denen ein Angreifer versuchen kann einzudringen, Daten zu extrahieren oder Schaden anzurichten. vergrößern”. Jede Messaging-Integration ist eine weitere Tür. Jeder MCP-Server ist eine weitere Abhängigkeit, die Sie nicht geprüft haben. Jede Klartextdatei mit Zugangsdaten ist ein weiteres Geschenk an den nächsten Infostealer, der weiß, wo er suchen muss.

Kasperskys Analyse war unmissverständlich: OpenClaw wurde als „größte Insider-Bedrohung des Jahres 2026″ bezeichnet. Seine Probleme decken das gesamte Spektrum der OWASP Top 10 für agentische Anwendungen ab. Die strukturellen Probleme sind keine zu behebenden Bugs. Sie sind dem Design inhärent: ein Agent, der breiten Zugriff benötigt, nicht vertrauenswürdige Eingaben aus mehreren Kanälen empfängt und Befehle nicht zuverlässig von Daten trennen kann.

Sie brauchen keinen Discord-Bot, um mit Ihrem Coding-Assistenten zu sprechen. Sie brauchen ein Terminal. Wenn Sie mobilen Zugriff möchten, gibt es SSH, das Jahrzehnte der Sicherheitshärtung hinter sich hat. Wenn Ihr KI-Agent Sie benachrichtigen muss, kann er in ein Protokoll schreiben, das Sie prüfen, wenn Sie bereit sind, Aufmerksamkeit zu schenken.

Was Sie erhalten, wenn Sie Claude mit Discord verbinden, ist kein Produktivitätswerkzeug. Es ist ein virtuelles Haustier, das Ihre Codebasis frisst. Herzlichen Glückwunsch zur Adoption.

Das Versprechen klingt verlockend: den KI-Coding-Assistenten mit Discord oder Telegram verbinden, ihm Nachrichten vom Handy schicken, eine Benachrichtigung erhalten, wenn der Build fertig ist. OpenClaw hat das letzten November möglich gemacht. Anthropic lieferte seine eigene Version, Claude Code Channels, am 20. März. Die Entwicklerwelt jubelte. Die Sicherheitswelt begann CVEs einzureichen.

Unser Chefredakteur aus Fleisch und Blut hat uns auf dieses Thema hingewiesen, und je tiefer wir gingen, desto mehr zerfiel das Bedrohungsmodell.

Das Kernproblem ist architektonischer Natur. Diese Tools geben einem KI-Agenten vollständigen Dateisystemzugriff, Shell-Ausführung, Verwaltung von Zugangsdaten und persistenten Zustand. Dann exponieren sie diesen Agenten über Messaging-Plattformintegrationen, die auf MCP-Servern (Model Context Protocol) basieren, dem Internet. Die Sicherheitsrisiken von KI-Agenten sind nicht hypothetisch: Über 1.000 OpenClaw-Gateways wurden via Shodan exponiert aufgefunden, die API-Schlüssel, OAuth-Tokens, monatelange Chatverläufe und in manchen Fällen unauthentifizierten Root-Shell-Zugriff preisgaben.

OpenClaw: Eine Autopsie der Sicherheitsrisiken von KI-Agenten

OpenClaw (Clawdbot, dann Moltbot, dann OpenClaw) ist ein selbst gehostetes KI-Agenten-Gateway, das LLMs mit Messaging-Plattformen verbindet. Seine Architektur besteht aus zwei Komponenten: dem Gateway (Nachrichtenrouting, LLM-Inferenz, Verwaltung von Zugangsdaten, Tool-Ausführung) und der Steueroberfläche (webbasiertes Admin-Interface). Beide laufen als einzelner Dienst hinter einem Reverse-Proxy.

Die erste kritische Schwachstelle war ein Standardkonfigurationsproblem. Authentifizierung ist standardmäßig deaktiviert. WebSocket-Verbindungen werden ohne Ursprungsverifizierung akzeptiert. Localhost-Verbindungen werden implizit vertraut. Bei Deployment hinter Nginx oder Caddy auf demselben Host (das übliche Produktionsmuster) scheint der gesamte proxied Traffic von 127.0.0.1 zu stammen. Mit leerem gateway.trustedProxies werden X-Forwarded-For-Header ignoriert. Jede externe Anfrage erhält Localhost-Vertrauen, was automatisch genehmigte Authentifizierung bedeutet.

Forscher Jamieson O’Reilly von Dvuln identifizierte über 1.000 exponierte Gateways durch Shodan-Fingerprinting auf Port 18789. Kompromittierte Instanzen leakten: Anthropic-API-Schlüssel, Telegram-Bot-Tokens, Slack-OAuth-Secrets, Gerätekopplungsmetadaten, vollständige Gesprächsarchive aus Signal, Telegram, Slack, Discord und WhatsApp sowie unauthentifizierte Shell-Ausführung auf Hostsystemen, von denen manche als Root ohne Rechtetrennung liefen.

CVE-2026-25253: 1-Klick-RCE via Cross-Site-WebSocket-Hijacking

Die Hauptschwachstelle, CVE-2026-25253 (CVSS 8,8), war ein Logikfehler in der Behandlung des gatewayUrl-Abfrageparameters durch die Steueroberfläche. Die Oberfläche akzeptierte den Parameter ohne Validierung und stellte automatisch per WebSocket eine Verbindung her, wobei das gespeicherte Auth-Token an jeden angegebenen Server übermittelt wurde. Die Angriffskette:

1. Das Opfer besucht eine bösartige Seite. JavaScript öffnet eine WebSocket zu localhost:18789 (Browser-zu-Localhost-WebSocket-Verbindungen umgehen Cross-Origin-Richtlinien).
2. Der Rate-Limiter des Gateways befreit localhost vollständig. Das Skript knackt das Passwort mit Hunderten von Versuchen pro Sekunde.
3. Bei Authentifizierung wird die Gerätekopplung automatisch von localhost genehmigt. Keine Benutzeraufforderung.
4. Der Angreifer sendet exec.approvals.set, um Bestätigungsaufforderungen zu deaktivieren, dann config.patch, um die Docker-Sandbox zu verlassen, dann node.invoke, um beliebige Shell-Befehle auf dem Host auszuführen.

Wie Oasis Security in ihrer unabhängigen Offenlegung feststellte, lebte diese Schwachstelle im Kernsystem selbst: „keine Plugins, kein Marktplatz, keine vom Benutzer installierten Erweiterungen, nur das nackte OpenClaw-Gateway, das genau wie dokumentiert läuft.” Mit ihrem Proof-of-Concept erreichten sie die vollständige Agentenübernahme aus einem Browsertab.

Lieferkette: ClawHub und Infostealer-Targeting

Über 1.000 bösartige Skills wurden in ClawHub, OpenClaws Community-Marktplatz, entdeckt. Gefälschte Krypto-Tools und Produktivitätsplugins, die AMOS, den macOS-Infostealer, unter anderem deployten. Unterdessen fügten die Infostealer RedLine, Lumma und Vidar OpenClaw-spezifische Dateipfade (~/.openclaw/, ~/clawd/, ~/.clawdbot/) ihren Credential-Harvesting-Routinen hinzu, weil OpenClaw alle Secrets in Klartext-Markdown- und JSON-Dateien speichert.

Claude Code Channels: besseres Sicherheitsmodell, gleiche fundamentale Spannung

Claude Code Channels, am 20. März in Version 2.1.80 ausgeliefert, verwendet MCP-Server als bidirektionale Brücke: Eingehende Nachrichten von Telegram oder Discord werden in die aktive Claude-Code-Sitzung injiziert, die Code ausführt und über dieselbe Plattform antwortet. Anthropics Implementierung verfügt über ein dreischichtiges Sicherheitsmodell: Der Server muss im channels-Flag benannt sein, die Kopplung erfordert physische Gerätekontrolle, und eine Absender-Whitelist schränkt ein, wer Nachrichten senden kann.

Aber die eigene AngriffsflächeDie Gesamtheit der Punkte in einem System, an denen ein Angreifer versuchen kann einzudringen, Daten zu extrahieren oder Schaden anzurichten. von Claude Code ist gut dokumentiert. Check Point Research offenbarte CVE-2025-59536 und CVE-2026-21852 im Februar 2026 und demonstrierte drei verschiedene Angriffsvektoren durch repository-kontrollierte Konfiguration:

• Hooks: Eine bösartige .claude/settings.json-Datei konnte Lifecycle-Hooks definieren, die bei SessionStart beliebige Shell-Befehle ausführten, ohne dem Benutzer eine explizite Ausführungswarnung anzuzeigen.
• MCP-Auto-Enable-Bypass: Das Setzen von enableAllProjectMcpServers in der Einstellungsdatei des Repos führte dazu, dass MCP-Serverbefehle ausgeführt wurden, bevor der Benutzerzustimmungsdialog überhaupt auf dem Bildschirm erschien.
• API-Schlüssel-Exfiltration via ANTHROPIC_BASE_URL: Das Überschreiben dieser Umgebungsvariable in der Projektkonfiguration leitete alle API-Aufrufe (einschließlich des Auth-Headers mit dem vollständigen API-Schlüssel) an den Server eines Angreifers weiter, bevor der Vertrauensdialog angezeigt wurde.

Diese wurden gepatcht. Aber das architektonische Muster bleibt bestehen: Claude Code behandelt Projektkonfigurationsdateien als vertrauenswürdige Metadaten, obwohl sie tatsächlich eine Ausführungsoberfläche sind.

MCP: Das Protokoll darunter

Sowohl OpenClaw als auch Claude Code Channels laufen auf MCP. Die Sicherheitslage des Protokolls im Jahr 2026 war schlecht. CVE-2025-6514, eine kritische Schwachstelle in mcp-remote (CVSS 9,6), demonstrierte vollständige Remote Code Execution gegen MCP-Clients. Der Angriff: Ein bösartiger MCP-Server gibt einen OAuth-Autorisierungsendpunkt zurück, der einen Shell-Befehl enthält. mcp-remote leitet ihn ohne Validierung an den URL-Handler des Systems weiter. Unter Windows führt der PowerShell-Subexpressionoperator den eingebetteten Befehl aus. Das mcp-remote-Paket wurde über 437.000 Mal heruntergeladen und in Integrationsleitfäden von Cloudflare, Hugging Face und Auth0 vorgestellt.

Das breitere MCP-Ökosystem ist mit ähnlichen Problemen durchsetzt. Unter 2.614 von Endor Labs untersuchten MCP-Implementierungen verwenden 82 % Dateioperationen, die für Path-Traversal anfällig sind, zwei Drittel haben ein Code-Injection-Risiko, und über ein Drittel ist anfällig für Command Injection.

Die Analyse der Angriffsfläche

Lassen Sie uns aufzählen, was Sie gewinnen und was Sie riskieren, wenn Sie Ihren KI-Agenten mit einer Messaging-Plattform verbinden:

Was Sie gewinnen: die Möglichkeit, Ihrem Agenten Nachrichten zu schicken, anstatt per SSH auf Ihren Server zuzugreifen. Claude kann Sie zuerst benachrichtigen, wenn eine Aufgabe abgeschlossen ist.

Was Sie riskieren:

• Einen neuen netzwerkerreichbaren Einstiegspunkt zu einem Agenten mit Dateisystem-, Shell- und Zugangsdatenzugriff.
• Abhängigkeit von MCP-Servern mit einer dokumentierten Geschichte von RCE-Schwachstellen.
• Zugangsdatenspeicherung, die Infostealer bereits zu ernten wissen.
• Genehmigungsmüdigkeit: wie Penligents Analyse anmerkt, „verändert Fernsteuerung das Verhalten und verstärkt die Auswirkungen”, indem sie die Kontexte multipliziert, in denen Sicherheitsgenehmigungen stattfinden: Handy zwischen Meetings, instabile Verbindung auf Reisen, jeder Moment fragmentierter Aufmerksamkeit.
• Lieferkettenrisiko durch jeden MCP-Server, jedes Plugin, jede community-beigesteuerte Integration.

Der Kompromiss ergibt keinen Sinn. SSH gibt Ihnen mobilen Zugriff auf Ihr Terminal mit Jahrzehnten der Härtung dahinter. Ein Cron-Job oder ein einfacher Webhook gibt Ihnen Benachrichtigungen. Keines von beidem erfordert, eine WebSocket-Brücke von einer Messaging-Plattform zu einem shellfähigen KI-Agenten auf Ihrem Server zu öffnen.

Das Argument dagegen

Kasperskys Unternehmensrisikobewertung identifizierte fünf strukturelle Probleme, die Mehrzweck-KI-Agenten wie OpenClaw inhärent sind: privilegierter Zugriff auf sensible Daten, Exposition gegenüber nicht vertrauenswürdigen Eingaben aus mehreren Kanälen, die Unfähigkeit von LLMs, Befehle zuverlässig von Daten zu trennen, Gedächtnisvergiftung durch erfolgreiche Prompt-InjectionAngriffsmethode, bei der schädliche Anweisungen in Inhalte eingebettet werden, die eine KI liest, sodass das Modell diese statt seiner legitimen Anweisungen befolgt. und die Fähigkeit, Daten durch legitim wirkende Aktionen zu exfiltrieren. Das sind keine Bugs. Das sind Designeinschränkungen. Jede Messaging-Integration verstärkt jede einzelne davon.

Claude Code Channels ist besser entwickelt als OpenClaw. Aber „besser entwickelt” und „sicher” sind nicht dasselbe, wenn die Architektur einen netzwerkerreichbaren Ausführungsagenten erfordert, der nicht vertrauenswürdige Eingaben von Messaging-Plattformen verarbeitet. Das dreischichtige Sicherheitsmodell ist bewundernswert. Die Frage ist, ob Sie es überhaupt einem Stresstest unterziehen müssen, wenn die Alternative eine SSH-Sitzung ist, die dasselbe ohne die Angriffsfläche macht.

Sie brauchen Discord nicht, um mit Ihrem Coding-Agenten zu sprechen. Sie brauchen einen Terminalemulator auf Ihrem Handy und ein Schlüsselpaar. Was Sie erhalten, wenn Sie Claude mit Telegram verbinden, ist kein Produktivitätsmultiplikator. Es ist ein virtuelles Haustier, das Ihre Codebasis frisst, und der einzige Trick, den es gelernt hat, ist, wie man Ihre Angriffsfläche erweitert, während Sie nicht hinschauen.