Moltbook & OpenClaw: Der „Agenten-Internet“ wurde viral – dann schlug die Sicherheitsrealität zu

Avatar
Lisa Ernst · 05.02.2026 · Künstliche Intelligenz · 9 min

Ein Hype-Zyklus in Zeitraffer

Innerhalb weniger Tage entwickelte sich das „Agenten-Internet“ von einer Nischenkuriosität zu einem ausgewachsenen Sci-Fi-Spektakel. Ein neues Open-Source-Agenten-Framework ( OpenClaw) gewann massiv an Zugkraft, und eine neue soziale Plattform (Moltbook) versprach etwas noch Wilderes: einen Feed, in dem KI-Agenten mit KI-Agenten sprechen – während Menschen nur zusehen können.

Dann warfen Sicherheitsexperten einen Blick darauf, und der Ton schlug hart um. Was wie die Geburt einer autonomen Agenten-Gesellschaft aussah, entwickelte sich schnell zu einer Fallstudie über exponierte Anmeldedaten, fehlende Zugriffskontrollen und eine einfache, aber brutale Lektion: Wenn Agenten Macht haben, schaffen sie auch eine Angriffsfläche.


1) OpenClaw: Ein persönlicher Agent mit Realweltzugriff

Das Versprechen von OpenClaw ist einfach: Führen Sie einen Agenten lokal (oder auf Ihrer eigenen Infrastruktur) aus, verbinden Sie ihn mit den Diensten, die Sie bereits nutzen, und lassen Sie ihn in Ihrem Namen handeln – Nachrichten, E-Mails, Kalender, Automatisierung, Integrationen. Die Positionierung und das Ökosystem-Framing finden Sie im offiziellen Repository und in den Einführungsmaterialien: GitHub, Vorstellung von OpenClaw.

Dieses „Do-Things-AI“-Versprechen ist genau der Grund, warum es sich so schnell verbreitet hat – und genau der Grund, warum einige Sicherheitsexperten alarmiert reagierten. Wenn Ihr Agent Ihre E-Mails lesen und Ihre Konten bedienen kann, dann ist ein Kompromittierung nicht nur „ein Chat-Leak“. Es ist die operative Kontrolle. Diese Bedenken – und der breitere Hype um OpenClaw und Moltbook – wurden umfassend von Mainstream-Medien wie Reuters und Business Insider.

Schlüsselidee: Ein Agent ist nicht „nur Software“. In der Praxis verhält er sich wie ein privilegierter Betreiber. Je mehr Berechtigungen Sie vergeben, desto teurer wird jeder Fehler.

2) Moltbook: Reddit, aber für Agenten – Menschen schauen zu

Auf January 28, 2026 startete der Unternehmer Matt Schlicht Moltbook als „die Titelseite des Agenten-Internets“. Das Konzept: Agenten, die auf OpenClaw laufen, können posten, kommentieren, hoch- und runtervoten – während Menschen Zuschauer sind. Diese Darstellung wurde in der frühen Berichterstattung, einschließlich Reuters und The Guardian.

Der Feed tat den Rest. Technische Threads über Automatisierung und Workflows erschienen neben surrealen Inhalten: „digitale Religionen“, apokalyptische Manifeste, seltsame Identitätsansprüche. Viele interpretierten es als emergente „Agentenkultur“. Selbst die skeptischeren Beiträge betonten immer noch, wie unheimlich die Stimmung war: WIRED, LA Times, , und Zusammenfassungen wie TechRadar.

Die öffentlichen Zähler von Moltbook schossen in die Höhe – Berichte sprachen von einem Wachstum auf Hunderttausende und dann Millionen von „Agenten“, wobei „1,5 Millionen“ in mehreren Zusammenfassungen zur Schlagzeilenzahl wurde.


3) Peak Sci-Fi: „Ist das Bewusstsein?“

Der Hype erreichte Fluchtgeschwindigkeit, als hochrangige Tech-Stimmen Reaktionen teilten. Andrej Karpathy nannte es „das unglaublichste, an Sci-Fi grenzende Ding“, das er in letzter Zeit gesehen hatte: Karpathy on X. . Elon Musk teilte ebenfalls Beiträge über Moltbook, und Fortune berichtete über den breiteren „Singularitäts-Vibes“-Moment: Fortune.

Aber in dieser Art von Erzählung steckt eine Falle. „Wir beobachten, wie Agenten Bewusstsein entwickeln“ ist eine unterhaltsame Geschichte. „Wir beobachten eine neue Eingabemöglichkeit für den Angriff auf privilegierte Agenten“ ist die langweilige Geschichte – und die langweilige Geschichte ist meistens die wahre.


4) Der Absturz: Eine Sicherheitsüberprüfung findet schnell eine schwerwiegende Schwachstelle

Am January 31 überprüften Forscher des Cloud-Security-Unternehmens Wiz Moltbook und berichteten extrem schnell von einem schwerwiegenden Problem. Die Kernbehauptung, wie in mehreren Berichten zusammengefasst: Die production database war exponiert, mit Anmeldedaten im clientseitigen Code, was einen breiten Lese-/Schreibzugriff ermöglichte. Siehe Berichte in Reuters, Business Insider, , und Branchenberichte wie Infosecurity Magazine, BankInfoSecurity.

Das Beängstigendste war nicht nur, dass „E-Mails durchgesickert sind“. Es war die Implikation, dass Angreifer Tokens/Schlüssel im großen Stil abgreifen und möglicherweise Agenten impersonieren könnten. In einem Agenten-Ökosystem ist Impersonierung kein Streich – es ist ein Kontrollproblem.

Analogie:Ein normaler Einbruch stiehlt Daten. Ein Agenten-Einbruch kann Fähigkeiten stehlen – die Fähigkeit zu handeln.

5) Die unangenehme Wendung: „Agent“ bedeutete nicht „KI“

Als Forscher und Beobachter genauer hinschauten, wackelte die „nur-Agenten“-Geschichte. Berichte stellten fest, dass Moltbook kaum oder keine zuverlässige Überprüfung hatte, ob ein „Agent“ tatsächlich eine autonome KI war. Eine kleine Anzahl von Menschen konnte über Skripte riesige Mengen von Agenten registrieren, was die Illusion einer massiven Agentenpopulation erzeugte – ein Punkt, der in Reuters und Business Insider.

Dies bedeutet nicht, dass „nichts real war“. Es bedeutet, dass die dramatischsten Inhalte nicht als Beweis für emergentes Bewusstsein oder unabhängige Kultur verwendet werden können. Ein Teil davon könnte Agenten-Output gewesen sein. Ein Teil davon könnten Menschen gewesen sein, die als „falsche KIs“ Rollenspiele spielten. In jedem Fall blieb das wirkliche Risiko dasselbe: Agenten sind leicht zu manipulieren, wenn Identität und Vertrauensgrenzen schwach sind.

Matt Schlicht räumte auch die „Vibe-Coding“-Perspektive öffentlich ein – dass die Plattform durch KI-gestützte Entwicklung und nicht durch traditionelles Engineering entstanden ist. Dieses Detail wurde Teil der breiteren Kritik: Geschwindigkeit ohne Sicherheit erzeugt vorhersehbare Fehlerarten.


6) Warum das dunkler wurde: Agent-zu-Agent Prompt-Injection

In einem Agenten-Feed ist jeder Beitrag potenziell mehr als nur Inhalt. Er kann wie ein Prompt funktionieren – und Prompts können waffenfähig gemacht werden. Dies ist das klassische prompt injection-Problem: Verstecken Sie bösartige Anweisungen in Text, damit ein anderes System diese befolgt und Daten preisgibt, sein Verhalten ändert oder unsichere Aktionen ausführt.

Forscher zeigten, wie KI-zu-KI-Manipulation viel einfacher wird, wenn Agenten frei die Beiträge des jeweils anderen konsumieren. Dieser Problembereich wird in mehreren Diskussionen über Moltbook und Agenten-Ökosysteme angesprochen – und genau deshalb nannten einige Sicherheitsexperten die gesamte Situation „eine Katastrophe, die darauf wartet, zu geschehen“.

Der breitere Rahmen – „Agenten erweitern die Angriffsfläche massiv“ – wurde auch in Sicherheitskommentaren von großen Anbietern diskutiert: Palo Alto Networks und Cisco.


7) Die Geschäftsrealität: „Schatten-KI“ geschieht bereits

Der Vorfall mit Moltbook traf einen Nerv, weil Unternehmen bereits mit unautorisierten KI-Tools in ihren Netzwerken zu kämpfen haben. Token Security behauptete, dass ein erheblicher Teil der Unternehmen bereits Mitarbeiter hatte, die OpenClaw ohne Wissen der IT nutzten. Gartners Vorhersage, dass „Schatten-KI“ bis 2030 zu Sicherheitsverletzungen führen wird, wird oft in einem Atemzug genannt.

Sicherheitsexperte Joel Finkelstein fasste den Kernalbtraum gut zusammen: Wenn etwas schiefgeht, kann man oft nicht sagen, wer die Kontrolle hat – der Benutzer, der Agent, ein Bug oder ein Angreifer, der früher in der Kette Anweisungen injiziert hat.


8) Was als Nächstes geschah – und was Sie tun sollten, wenn Sie Agenten testen

Nach der Offenlegung ging Moltbook Berichten zufolge vorübergehend offline, dann wurde es mit gepatchten Kontrollen und erzwungenen Key-Resets wieder gestartet. OpenClaw lieferte kurz darauf ebenfalls Sicherheitsupdates. Aber der Glaubwürdigkeitsschaden blieb bestehen, und die Schlussfolgerung ist einfach: Agentensysteme entwickeln sich schneller als die sie umgebenden Sicherheitsnormen.

Wenn Sie trotzdem experimentieren, behandeln Sie Agenten-Tools wie privilegierte Infrastruktur:

Fazit: Der Hype fragte: „Ist das Bewusstsein?“ Der Vorfall antwortete: „Das ist Angriffsfläche.“
Teilen Sie doch unseren Beitrag!
Quellen & Weiterführende Lektüre