Tools wie OpenClaw, vormals bekannt unter Clawdbot oder Moltbot, ein autonomer KI-Agent, werden in vielen Fällen zunächst von Einzelpersonen genutzt: Ingenieure, die Nebenprojekte automatisieren, Analysten, die Arbeitsabläufe miteinander verknüpfen, Betreiber, die Routineaufgaben mithilfe offener und von der Community entwickelter Agent-Frameworks beschleunigen. Sobald diese Tools mit realen Systemen in Berührung kommen, indem sie Zugriff auf Posteingänge, gemeinsam genutzte Laufwerke, interne Dashboards, Entwicklerumgebungen oder das Command-Shell haben, sind sie keine „persönlichen Experimente” mehr. Sie werden Teil der Angriffsfläche eines Unternehmens.

Ende Januar haben Forscher auf Sicherheitsprobleme im Zusammenhang mit dem schnell wachsenden Ökosystem von OpenClaw hingewiesen, darunter Berichte über One-Click-Actions und datenschutztechnisch schwer zu kontrollierende Features von Drittanbietern.

Das bedeutet, dass bekannte Risiken – Links, Plugins, Lieferketten – nun unbekannte Konsequenzen haben können: sofortige Ausführung, weitreichende Berechtigungen und Aktionen, die von normaler Arbeit nicht zu unterscheiden sind. Dies ist eine bahnbrechende Neuerung, denn zum ersten Mal kann sich eine „Anwendung” mit der Autonomie, Geschwindigkeit und Zugriffsebene eines menschlichen Mitarbeiters verhalten, allerdings ohne die Fähigkeit, Risiken einschätzen zu können.

Nicht die formelle Bereitstellung autonomer Agenten ist die Neuerung, sondern Mitarbeiter, die leistungsstarke, offene Automatisierung in ihre Arbeitsprozesse einbringen. Oft geschieht das ohne Transparenz, Kontrolle oder Sicherheitsvorkehrungen. Dieses Muster spiegelt wider, was mit frühen SaaS- und Schatten-IT-Lösungen passiert ist, mit dem Unterschied, dass KI-Agenten mit Maschinengeschwindigkeit agieren, ausführen und integrieren. Dadurch entsteht ein dramatisch vergrößerter Schadensradius.

Diese Angriffsfläche gilt es zu schützen und ein Ansatz dafür besteht in der Workforce-AI Security, d. h. dem Schutz von KI-Systemen im Umfeld des Arbeitsplatzes.

Was Workforce-AI Security bedeutet

Workforce-AI Security ist die zusätzliche Kontrollschicht für eine Welt, in der Mitarbeiter routinemäßig Aufgaben an KI delegieren, die über Dokumente, E-Mails, Browser, Entwicklertools und Geschäftsanwendungen hinweg arbeitet. Dies erfordert eine tiefere Konzentration darauf, wie KI funktioniert:

Sichtbarkeit: ‍Welche KI-Assistenten verwenden die Mitarbeiter und welche Daten, Systeme und Berechtigungen bekommen diese?

Sicherheitsvorkehrungen für Aktionen: Die Installation einer Funktion, die Ausführung eines Befehls oder das Hochladen von Daten muss wie ein risikoreicher Vorgang behandelt werden und nicht nur wie ein bequemer Klick.

Vertrauensgrenzen für Erweiterungen von Drittanbietern: ‍Fähigkeiten und Plugins sind keine „Add-ons”. Sie sind Ausführungspfade in geschäftskritische Systeme.

Schutz vor indirekter Manipulation: KI-Systeme am Arbeitsplatz nehmen ständig nicht vertrauenswürdige Inhalte auf. In einer agentenbasierten Welt informieren diese Inhalte nicht nur über die Arbeit, sie können sie auch steuern.

Unabhängig davon, ob es eine interne Richtlinie zum Umgang mit KI gibt oder nicht, werden Mitarbeiter KI-Automatisierung nutzen. Sicherheitsverantwortliche stehen also vor der Wahl, entweder im Vorhinein für Transparenz und Kontrolle zu sorgen oder erst bei einem Vorfall einzugreifen, sprich: wenn es zu spät ist.

Die tatsächliche Folge des Einsatzes von OpenClaw liegt in der Entstehung eines Arbeitsplatzes, an dem Mitarbeiter, SaaS-Anwendungen und KI-Agenten unter menschlicher Aufsicht arbeiten und mit realen Systemen und Daten in Berührung kommen. Um dies zu gewährleisten, ist eine Governance erforderlich, die das Folgende umfasst: Erkennung der KI-Nutzung, Kontrolle der Systeme, auf die KI zugreifen kann, und Durchsetzung von Schutzmaßnahmen für jederlei Aktionen.

Die folgenden Tipps unterstützen Security Teams bei der Absicherung von KI-Agenten

• Agent-Tools müssen wie sensible Apps behandelt werden: Sicherheitsteams sollten Installationen, Konnektoren und Berechtigungen wie bei Browser-Erweiterungen oder Entwicklertools überprüfen.
• Least Privilege: Das Least-Privilege-Prinzip muss auf Identität, Open-Authorization-Bereiche und SaaS-Berechtigungen angewandt werden.
• Plugin-/Skill-Oberfläche reduzieren: Sicherheitsteams sollten Installationen beschränken und festlegen, wer neue Konnektoren hinzufügen darf.
• Externe Inhalte sollten als nicht vertrauenswürdige Inhalte eingestuft werden: Dies betrifft alle Inhalte, die das Verhalten beeinflussen können, nicht nur Informationen, die von Mitarbeitern gelesen werden.
• Ergebnisse anhand der bereits vorhandenen Protokolle messen: Dies umfasst SaaS-Audit-Trails, Repo-Aktivitäten und den Zugriff auf sensible Dateien. Was zählt, ist, was der Agent getan hat, nicht was er gesagt hat.

Fazit

Die zunehmende Verbreitung des Einsatzes von OpenClaw ist mehr als nur eine virale KI-Geschichte. Er ist eine Vorschau darauf, wie sich die Arbeit verändert: Software, die früher Menschen unterstützt hat, beginnt nun, in ihrem Namen zu handeln. Diese Veränderung ist von zentraler Bedeutung für die sichere Nutzung von KI durch die Mitarbeiter. Wenn Mitarbeiter KI-Assistenten einsetzen, die browsen, Aufgaben ausführen, „Fähigkeiten” installieren und app-übergreifend arbeiten können, ändert sich die Sicherheitsfrage. Es geht nicht mehr nur um „Was hat das Modell gesagt?”, sondern um, „Was hat der Agent getan und unter wessen Autorität?“

OpenClaw ist ein Blick in die Zukunft: KI-Assistenten, die nicht nur Vorschläge machen, sondern handeln. Die Herausforderung für die Sicherheit liegt nicht in den Ergebnissen der KI, sondern in den Zugriffsrechten, die wir ihr übertragen.