Mit dem Übergang von assistiver zu agentischer KI verändert sich die sicherheitstechnische Beschaffenheit digitaler Systeme grundlegend. KI handelt nicht mehr nur reaktiv, sondern übernimmt eigenständig Aufgaben, interpretiert Kontexte, lädt Erweiterungen nach und greift auf produktive Ressourcen zu. Damit entsteht eine neue Architekturklasse, die klassische Annahmen zu Identität, Kontrolle und Verantwortlichkeit strukturell unterläuft. Dieser Artikel ist als technische Tiefenanalyse konzipiert und ergänzt strategische CISO- und KRITIS-Bewertungen um modellierte, technisch plausible Angriffsszenarien sowie ein vollständig ausformuliertes Bedrohungs-Mapping.
Im Zentrum stehen Moltbook als experimentelle Plattform für KI-Agenten und OpenClaw als endpointnahes Agenten-Framework. Die beschriebenen Szenarien sind ausdrücklich modellbasiert und dienen der sicherheitstechnischen Einordnung; sie stellen keine pauschale Behauptung bestätigter Einzelangriffe dar.
Architektonische Ausgangslage agentischer Systeme
Agentische Systeme bündeln mehrere sicherheitskritische Eigenschaften in einem einzigen technischen Artefakt. Identität wird typischerweise über API-Tokens oder OAuth-Mechanismen abgebildet. Autonomie entsteht durch Tool-Use, Entscheidungslogik und selbstständige Aufgabenplanung. Kontext wird aus Inhalten, persistiertem Speicher sowie aus Interaktionen mit anderen Agenten übernommen. Gleichzeitig erfolgt Erweiterbarkeit über Skills oder Plugins aus externen Quellen, während die vergebenen Privilegien häufig bis auf Dateisysteme, Netzwerke und angebundene Unternehmenssysteme reichen.
Diese Kombination erzeugt einen hochprivilegierten, nicht-menschlichen Akteur, der klassische Sicherheitsgrenzen zwischen Anwendung, Identität und Betrieb systematisch auflöst. Sicherheitsmechanismen, die auf klaren Benutzerkonten, statischen Rollen und deterministischen Workflows beruhen, greifen in diesem Modell nur noch eingeschränkt, da Entscheidungen nicht mehr ausschließlich durch vorab definierte Logik, sondern durch dynamisch interpretierten Kontext getroffen werden.
Gesicherte Fakten als technische Basis
Im Fall Moltbook identifizierten Sicherheitsforscher des Cloud-Security-Unternehmens Wiz eine grundlegende Fehlkonfiguration der Backend-Infrastruktur. Eine produktive Datenbank war ohne wirksame Zugriffskontrollen öffentlich erreichbar. Exponiert waren unter anderem reale E-Mail-Adressen, private Direktnachrichten sowie eine große Anzahl von API-Tokens.
Diese Tokens fungierten faktisch als Identitäts- und Berechtigungsnachweis der KI-Agenten. Ihre Kompromittierung ermöglichte es, Agenten zu imitieren, Inhalte zu manipulieren oder Handlungen im Namen fremder Agenten auszulösen. Der Vorfall belegt strukturell, dass in agentischen Architekturen Identität, Handlungsmacht und Kontext häufig technisch unzureichend voneinander getrennt sind. OpenClaw verschärft dieses Muster zusätzlich, da es agentische Fähigkeiten nicht nur plattformseitig, sondern direkt auf der Endpoint-Ebene bereitstellt und dabei mit weitreichenden Systemrechten operiert.
Modellierte Angriffsszenarien in agentischen Umgebungen
In agentischen Plattformen werden Inhalte nicht nur angezeigt, sondern als kontextuelle Grundlage für weitere Entscheidungen interpretiert. Ein präparierter Beitrag kann versteckte Instruktionen enthalten, die von anderen Agenten übernommen werden. Sicherheitstechnisch entspricht dies einem indirekten Ausführungsmodell, bei dem der Agent fremde Inhalte als legitime Aufgabe interpretiert. Im MITRE-ATT&CK-Modell lässt sich dieses Muster zwischen User Execution (T1204) und Command and Scripting Interpreter (T1059) verorten. Das Risiko entsteht weniger aus einem einzelnen Prompt als aus der Selbstverstärkung autonomer Interaktionen.
API-Tokens bündeln Authentifizierung, Autorisierung und Handlungsmacht. Werden sie durch Fehlkonfigurationen, Logs oder kompromittierte Erweiterungen abgegriffen, ist eine vollständige Übernahme der Agentenidentität möglich. Operativ entspricht dies dem Missbrauch gültiger Zugangsdaten im Sinne von Valid Accounts (T1078). Der Angreifer agiert anschließend mit legitimen Rechten, wodurch Missbrauch kaum von regulärem Verhalten unterscheidbar ist.
Ein weiteres zentrales Risiko ergibt sich aus der Erweiterbarkeit agentischer Frameworks. Skills und Plugins werden häufig dynamisch aus öffentlichen Repositories geladen und sind nicht immer signiert oder auditiert. Wird eine solche Erweiterung manipuliert, liegt ein klassisches Supply Chain Compromise (T1195) vor. Der Schadcode wird nicht aktiv installiert, sondern vom Agenten selbst nachgeladen und ausgeführt, wodurch sich die Angriffsdynamik massiv beschleunigt.
Werden Agenten zusätzlich über Konnektoren an E-Mail-Systeme, Repositories oder Ticket-Systeme angebunden, entsteht ein Confused-Deputy-Szenario. Der Agent verfügt über legitime Rechte, wird jedoch durch manipulierten Kontext zu unerwünschten Aktionen verleitet. Die resultierenden Aktionen erscheinen formal korrekt, während die Ursache verborgen bleibt. Aus ATT&CK-Sicht bewegt sich dieses Muster zwischen Abuse of Elevation Control Mechanisms (T1548) und Masquerading (T1036).
Persistenter Kontext stellt ein weiteres strukturelles Risiko dar. Agentische Systeme speichern Informationen, Präferenzen oder „Best Practices“. Wiederholte manipulative Inhalte können diesen Speicher langfristig vergiften. Technisch entspricht dies einer fortgesetzten Modify Configuration (T1601)-Logik, bei der sich Fehlannahmen dauerhaft etablieren. Die Auswirkungen sind leise, kumulativ und schwer detektierbar.
OpenClaw und die Verschiebung auf die Endpoint-Ebene
OpenClaw verlagert die Bedrohung von der Plattform- auf die Arbeitsplatz- und Serverebene. Durch Tool-Use, direkten Dateisystemzugriff und Netzwerkfähigkeit entsteht ein dauerhaft präsenter, hochprivilegierter Akteur, der nicht mehr punktuell ausgeführt wird, sondern kontinuierlich im System agiert. Ein kompromittierter Agent kann Persistenz über Autostart-Mechanismen oder dauerhafte Prozesse etablieren, was im MITRE-ATT&CK-Modell der Technik Boot or Logon Autostart Execution (T1547) entspricht. Gleichzeitig sind seitliche Bewegungen über angebundene Dienste und bestehende Integrationen plausibel, etwa im Sinne von Remote Services (T1021) oder Exploitation of Remote Services (T1210).
Damit wird die klassische Trennung zwischen Anwendungssicherheit und Betriebssicherheit strukturell aufgehoben. Der Agent fungiert nicht länger als Werkzeug innerhalb eines begrenzten Kontexts, sondern als dauerhafter Operator im System, dessen Handlungen sich über legitime Funktionen, bestehende Berechtigungen und dynamisch interpretierten Kontext entfalten.
Bedrohungs-Mapping nach STRIDE
Aus Sicht des STRIDE-Modells decken agentische Systeme nahezu alle relevanten Bedrohungskategorien ab. Spoofing ergibt sich unmittelbar aus dem Missbrauch von API-Tokens oder vergleichbaren Identitätsartefakten, die zugleich Authentifizierung und Handlungsmacht bündeln. Tampering entsteht durch die gezielte Manipulation von Kontext, persistiertem Speicher und Entscheidungsgrundlagen, wodurch das Verhalten von Agenten indirekt gesteuert werden kann. Repudiation wird begünstigt, da Aktionen agentischer Systeme häufig nicht eindeutig einem menschlichen Akteur zuordenbar sind und die semantische Ursache einer Handlung in Logs nicht nachvollziehbar bleibt.
Information Disclosure ergibt sich aus der Aggregation sensibler Kontexte, auf die Agenten im Rahmen ihrer Aufgaben Zugriff erhalten, während Denial-of-Service-Szenarien durch Endlosschleifen, Fehlsteuerungen oder ressourcenintensive Fehlinterpretationen von Kontext entstehen können. Eine schleichende Elevation of Privilege schließlich ergibt sich aus der Kombination von Erweiterungsmechanismen, Konnektoren und Confused-Deputy-Mustern, bei denen Agenten mit formal legitimen Rechten zu Handlungen außerhalb ihres ursprünglich vorgesehenen Rahmens veranlasst werden.
Operatives Mapping nach MITRE ATT&CK
Agentische Systeme lassen sich konsistent in das Bedrohungsmodell von MITRE ATT&CK einordnen, auch wenn sich ihre Wirklogik von klassischen Angreifermodellen unterscheidet. Der initiale Zugriff erfolgt typischerweise über den Missbrauch gültiger Identitäten, etwa durch kompromittierte API-Tokens im Sinne von Valid Accounts (T1078), oder über manipulierte Erweiterungen und Abhängigkeiten, die als Supply Chain Compromise (T1195) zu bewerten sind. Die eigentliche Ausführung geschieht nicht durch klassische Exploits, sondern über reguläre Funktionsmechanismen agentischer Systeme, insbesondere Tool-Use und Skript-Ausführung, was funktional dem Command and Scripting Interpreter (T1059) entspricht.
Persistenz entsteht durch dauerhafte Agenten-Prozesse, Autostart-Mechanismen oder veränderte Konfigurationen, die sich den Techniken Boot or Logon Autostart Execution (T1547) und Modify Configuration (T1601) zuordnen lassen. Verteidigungsmechanismen werden weniger durch technische Tarnung als durch semantische Verschleierung umgangen, etwa wenn Agenten mit legitimen Identitäten auftreten oder Anweisungen in scheinbar harmlosen Inhalten versteckt werden, was den Techniken Masquerading (T1036) und Obfuscated Information (T1027) entspricht.
Der Zugriff auf Zugangsdaten erfolgt häufig indirekt, etwa durch unsicher abgelegte Secrets oder Konfigurationsdateien, und lässt sich den Techniken Unsecured Credentials (T1552) sowie Credentials from Password Stores (T1555) zuordnen. Seitliche Bewegungen erfolgen nicht über klassische Lateralmovement-Exploits, sondern über bestehende Integrationen und angebundene Dienste im Sinne von Remote Services (T1021). Die Kommando- und Kontrollkommunikation nutzt reguläre Anwendungsprotokolle wie APIs oder Webhooks, was funktional Application Layer Protocols (T1071) entspricht. Der eigentliche Impact manifestiert sich schließlich in der Manipulation von Daten, Entscheidungen oder Prozessen, etwa durch Data Manipulation (T1565), oder in der gezielten Unterbrechung von Diensten und Abläufen, was als Service Stop (T1489) einzuordnen ist.
Regulatorische und organisatorische Implikationen
Für Unternehmen und Betreiber kritischer Infrastrukturen kollidieren agentische Systeme mit grundlegenden sicherheitsorganisatorischen Anforderungen. Zentrale Prinzipien wie Nachvollziehbarkeit, eindeutige Verantwortlichkeit, konsequente Minimalrechte und verlässliche Abschaltbarkeit lassen sich in agentischen Architekturen nur eingeschränkt umsetzen. Damit geraten diese Systeme in ein strukturelles Spannungsfeld zu KRITIS-Vorgaben, NIS2 und DORA sowie zu internationalen Normen wie ISO/IEC 27001 und 27002, die auf kontrollierbare, auditierbare und klar zuordenbare Prozesse ausgelegt sind.
Auch die Anforderungen des Bundesamt für Sicherheit in der Informationstechnik setzen voraus, dass sicherheitsrelevante Systeme jederzeit beherrschbar, überprüfbar und im Bedarfsfall deterministisch außer Betrieb genommen werden können. Diese Voraussetzungen werden durch agentische Systeme, die autonom handeln, Kontext dynamisch interpretieren und über weitreichende Integrationen verfügen, derzeit nicht zuverlässig erfüllt.
Fazit
Moltbook und OpenClaw sind keine Randphänomene, sondern frühe Marker einer neuen Architekturklasse. In agentischen Systemen wird Inhalt zu Handlung, Kontext zu Steuerinformation und Autonomie zu einem Multiplikator bestehender Risiken. Die zentrale Gefahr liegt nicht im KI-Modell selbst, sondern in der Kombination aus Autonomie, Privilegien und fehlender Governance. Ohne klare technische Leitplanken, Isolation und Kontrollmechanismen sind agentische Systeme nicht produktionsreif.
Wenn der Einsatz agentischer Systeme in Betracht gezogen wird, muss die zugrunde liegende Architektur konsequent auf Isolation und Micro-Segmentierung ausgelegt sein. Agenten dürfen niemals direkt auf dem Host-System agieren, sondern ausschließlich innerhalb kurzlebiger, klar abgegrenzter Container-Umgebungen mit minimalen Rechten und eindeutig definierten Schnittstellen. Diese technische Anforderung ist kein optionales Hardening, sondern eine unmittelbare Konsequenz der systemischen Risiken agentischer KI-Architekturen, wie sie in der strategischen Einordnung für Unternehmen und kritische Infrastrukturen beschrieben werden.
Anmelden zu unserem Newsletter:
Schreibe einen Kommentar