Zum Hauptinhalt springen

ClawHub-Skills analysiert: 48 % mit Sicherheitsproblemen

Wir haben 16.797 ClawHub-Skills mit einem statischen Scanner analysiert. 48,4 % zeigen Sicherheitsbefunde. Alle Ergebnisse im Detail.

FHFinn Hillebrandt
KI-Tools
ClawHub-Skills analysiert: 48 % mit Sicherheitsproblemen
Mit * gekennzeichnete Links sind Affiliate-Links. Kommt über solche Links ein Kauf zustande, bekommen wir eine Provision.

OpenClaw ist das am schnellsten wachsende Open-Source-Projekt der Geschichte. Mit dem Tool geht auch der ClawHub viral, der zugehörige Marketplace für Skills (Erweiterungen, die OpenClaw um neue Fähigkeiten erweitern). Rund 52.700 Skills gibt es inzwischen (Stand Juni 2026), zur Analyse-Zeit waren es noch rund 44.000. Jeder kann einen hochladen. Eine verpflichtende Sicherheitsprüfung gibt es bis heute nicht, auch wenn ClawHub inzwischen VirusTotal-Scans für eingereichte Skills automatisiert.

Das hat mich neugierig gemacht:

Wie sicher sind diese Skills eigentlich? Ich habe 16.797 ClawHub-Skills aus dem öffentlichen GitHub-Mirror heruntergeladen und mit einem statischen Security-Scanner analysiert. Das Ergebnis ist eindeutig. Fast die Hälfte der Skills zeigt mindestens einen Sicherheitsbefund.

Wichtiger Hinweis vorab:

Es handelt sich um technische Signale eines regelbasierten Scanners, nicht um eine Malware-Diagnose. Jeder Treffer muss manuell geprüft werden, um zu wissen, ob er echt oder ein Falschpositiv ist. Trotzdem zeichnen die Zahlen ein klares Bild.

Wer Skills blind installiert, geht ein Risiko ein. Und das Risiko ist höher, als viele denken.

TL;DRDas Wichtigste in Kürze
  • 16.797 ClawHub-Skills gescannt, 48,4 % mit mindestens einem Sicherheitsbefund
  • 182.258 Trefferinstanzen insgesamt: 14,7 % kritisch, 76,6 % hoch, 8,7 % mittel
  • Supply-Chain-Risiken (21,4 %) und Datenexfiltration (20,1 %) sind am weitesten verbreitet

1. Was ist der ClawHub?

Der ClawHub ist der offizielle Marketplace für OpenClaw. Skills sind dort das, was Apps im App Store sind. Kleine Pakete, die OpenClaw um neue Fähigkeiten erweitern. Das kann ein PDF-Parser sein, ein Datenbank-Connector, ein Wrapper um eine externe API oder ein kompletter Workflow.

Die Installation ist denkbar einfach. Ein einziger Befehl im Terminal, und der Skill ist einsatzbereit. Genau das macht den ClawHub so attraktiv. Und gleichzeitig so riskant.

Ein paar Zahlen zur Einordnung (Stand Mai 2026):

  • Rund 52.700 Skills insgesamt im Marketplace, Tendenz weiter steigend
  • Über 56.000 davon haben mittlerweile einen VirusTotal-Pass durchlaufen
  • 12.400 aktive Skill-Entwickler
  • Nur 6,8 % der Entwickler sind verifiziert
  • Über 39 Millionen Skill-Installationen bisher

Das Problem daran:

OpenClaw wächst schneller, als die Sicherheitsprüfung hinterherkommt. Bis heute gibt es keinen verpflichtenden Security-Review für neue Skills. Jeder kann einen Skill hochladen, und jeder kann ihn herunterladen. Das ist Open Source in seiner reinsten Form. Aber es ist auch ein Einfallstor.

2. Die Methodik hinter der Analyse

Für die Analyse habe ich nicht die Skills direkt vom ClawHub-Marketplace heruntergeladen, sondern aus dem öffentlichen GitHub-Mirror (clawhub-skills-repo). Im Repo sind alle Skills als Ordnerstruktur gespiegelt, sodass sich die komplette Datenbank mit einem einzigen Clone lokal nachbauen lässt. Ich habe lediglich rund 168 Skills direkt vom Marketplace heruntergeladen. Die restlichen haben einen HTTP 429-Fehler (Rate Limit) zurückgegeben. Dieses Vorgehen war also nicht praktikabel für 16.000+ Skills.

Am Ende hatte ich 16.797 Skills aus dem GitHub-Mirror, die sich erfolgreich scannen ließen.

Eine Einschränkung gibt es allerdings.

Der Mirror ist ein Snapshot. Skills, die zwischenzeitlich aus dem offiziellen Marketplace entfernt wurden, können im Mirror weiterhin enthalten sein. Und neue Skills, die nach dem letzten Mirror-Sync hochgeladen wurden, fehlen hier.

Der Scanner ist ein deterministisches Werkzeug. Das bedeutet, er arbeitet mit festen Regeln (Regex und Heuristiken), kein LLM, keine Wahrscheinlichkeiten. Jede Zeile Code und jede Datei wird gegen eine Liste bekannter Risikomuster geprüft. Findet der Scanner ein Muster, legt er einen Treffer an, kategorisiert ihn und weist ihm einen Schweregrad zu.

Die Kategorien sind:

  • Supply Chain: unpinned pip/npm-Installationen, curl-to-bash, Package-Tampering
  • Datenexfiltration: SSH-Key-Zugriffe, hartcodierte Endpunkte, Browser-Daten-Zugriffe
  • Rechteausweitung: sudo, Capability-Missbrauch, Root-Ausführung
  • Persistenz: Cron-Jobs, Profile-Änderungen, CLAUDE.md-Writes
  • Destruktive Muster: rm -rf, shutil.rmtree, Massenlöschungen
  • Code Execution: eval, Shell-Pipes, Reverse Shells, unsichere Deserialisierung
  • Hardcoded Secrets: eingebettete API-Keys, Passwörter, Tokens
  • Prompt Injection: Versuche, Rollen oder Safety-Anweisungen zu überschreiben
  • Verschleierung: Homoglyphen, Unicode-Tricks, ungewöhnliche Encodings
  • SSRF, Sandbox Escape, Verdächtige Dateien, Ressourcen-Erschöpfung als weitere Kategorien

Zusätzlich habe ich einen Nachfilter verwendet, der bekannte Falschpositive entfernt. Treffer in Markdown-Codeblöcken (typische Tutorial-Beispiele wie curl-Kommandos), Homoglyphen in mehrsprachiger Dokumentation und HTTP-Beispiele in .md-Dateien werden ausgeblendet. Insgesamt hat der Nachfilter 261.451 Instanzen entfernt. Ohne ihn wären die Zahlen deutlich höher, aber auch deutlich unschärfer.

3. Die Ergebnisse im Überblick

Die wichtigste Zahl aus der Analyse zeigt, wie die 16.797 gescannten Skills sich auf „mit Befund“ und „ohne Befund“ verteilen:

Ohne Befund: 8.668 Skills
Mit Sicherheitsbefund: 8.129 Skills
Quelle: eigene Analyse, Static-Scanner mit Nachfilter
|
CC BY 4.0
gradually.ai

Von 16.797 gescannten Skills haben 8.129 mindestens einen verbleibenden Sicherheitsbefund. Das entspricht 48,4 %. Fast jeder zweite Skill im ClawHub zeigt also mindestens ein technisches Warnsignal.

Die restlichen 51,6 % der Skills haben nach dem Nachfilter keine Treffer mehr.

Allerdings:

Das heißt nicht automatisch, dass diese Skills sicher sind. Es heißt nur, dass der Scanner mit seinen festen Regeln nichts mehr findet. Ein Angreifer, der seine Muster geschickt versteckt, rutscht hier problemlos durch.

Die Gesamtzahl der Treffer ist ebenfalls eindrucksvoll. 182.258 einzelne Trefferinstanzen sind zusammengekommen. Ein Skill kann dabei mehrere Treffer gleichzeitig haben. Das erklärt, warum manche Publisher im weiteren Verlauf der Analyse Zehntausende Treffer aufweisen, obwohl sie nur wenige Skills veröffentlicht haben.

26.807 Treffer wurden als kritisch eingestuft. Das sind 14,7 % aller Instanzen. Darunter fallen eindeutig gefährliche Muster wie eingebettete Zugangsdaten, Remote-Code-Execution oder hartcodierte Endpunkte, die wie Datenabfluss aussehen.

4. Verteilung der Schweregrade

Die Verteilung nach Schweregrad zeigt, wie kritisch die Treffer insgesamt sind:

Quelle: eigene Analyse, Static-Scanner mit Nachfilter
|
CC BY 4.0
gradually.ai

Hoch dominiert mit großem Abstand. 76,6 % aller Treffer fallen in diese Kategorie. Das liegt zu einem guten Teil an Verschleierungsmustern wie Homoglyphen (kyrillische oder griechische Zeichen, die wie lateinische aussehen) und unpinned Installationen. Beide Muster sind für sich genommen noch kein Beweis für böse Absichten, aber sie gehören zu den typischen Anzeichen, bei denen man genauer hinschauen sollte.

Kritisch macht 14,7 % aus. Das sind 26.807 einzelne Treffer über alle Skills verteilt. Hier geht es um Dinge wie hartcodierte API-Keys, eingebettete Passwörter, Shell-Pipes mit eval oder direkte Ausführung fremder Skripte über curl und bash.

Mittel liegt bei 8,7 %. Das sind die Treffer, die auffällig, aber nicht direkt kritisch sind. Bestimmte Dateizugriffe, Konfigurationsänderungen oder kleinere Privilegien-Anfragen. Der Scanner hat sie gesehen, eine manuelle Prüfung könnte sie aber auch als harmlos einstufen.

5. Die Bedrohungskategorien

Jetzt wird es interessant. Die Scanner-Treffer lassen sich in 13 Kategorien aufteilen. Dabei gibt es zwei völlig verschiedene Blickwinkel, die beide wichtig sind.

5.1. Nach Anteil der betroffenen Skills

Die folgende Grafik zeigt, wie viel Prozent der 16.797 Skills mindestens einen Treffer in der jeweiligen Kategorie haben:

Quelle: eigene Analyse, Static-Scanner mit Nachfilter
|
CC BY 4.0
gradually.ai

Supply Chain führt mit 21,4 %. Rund jeder fünfte Skill enthält Muster, die auf unpinned Installationen, curl-to-bash oder Package-Tampering hindeuten. Das ist nicht überraschend. Viele legitime Skills erwarten, dass Software nachinstalliert wird. Das ist normal für Automatisierung, erhöht aber das Supply-Chain-Risiko, wenn der Nutzer den Befehl blind ausführt.

Datenexfiltration liegt dicht dahinter mit 20,1 %. Etwa jeder fünfte Skill enthält Muster, die nach Datenabfluss aussehen können. Das kann ein Zugriff auf sensible Verzeichnisse sein, ein Aufruf an einen hartcodierten Endpunkt oder eine Netzwerkoperation, die nicht sofort erklärbar ist. Wichtig dabei, es sind Muster, keine Beweise.

Rechteausweitung (12,1 %), Persistenz (9,7 %) und destruktive Muster (9,0 %) folgen. Die drei Kategorien beschreiben jeweils, wie ein Skill über seine eigentliche Aufgabe hinaus ins System eingreifen könnte.

5.2. Nach Anteil an allen Trefferinstanzen

Dieser zweite Blickwinkel zeigt, welche Kategorie die meisten Treffer produziert. Ein Skill kann hier mehrere tausend Treffer gleichzeitig haben, sodass die Verteilung ganz anders aussieht als oben:

Quelle: eigene Analyse, Static-Scanner mit Nachfilter
|
CC BY 4.0
gradually.ai

Verschleierung dominiert mit 55,6 %. Das ist ein spannender Befund. Nur 6,8 % der Skills sind überhaupt betroffen. Aber diese wenigen Skills enthalten tausende Einzeltreffer pro Datei. Homoglyphen, Unicode-Tricks und ungewöhnliche Encodings werden massenhaft eingesetzt. Ob das Absicht ist (zur Verschleierung von Funktionen) oder schlicht eine mehrsprachige Dokumentation, lässt sich nur manuell klären.

Datenexfiltration steht auf Platz 2 mit 17,3 % der Treffer. Supply Chain auf Platz 3 mit 7,0 %. Dann folgen Rechteausweitung (5,9 %), Persistenz (3,9 %) und destruktive Muster (3,4 %).

6. Was die wichtigsten Kategorien bedeuten

Die abstrakten Kategorienamen helfen nur bedingt weiter. Hier kommt eine kurze Erklärung der sechs häufigsten Kategorien mit konkreten Beispielen. Damit du ungefähr weißt, worauf der Scanner eigentlich reagiert.

6.1. Supply Chain (21,4 %)

Der Scanner markiert Installationsanweisungen, die ohne Versionsangabe auskommen. Also Befehle wie pip install requests statt pip install requests==2.31.0. Oder Shell-Pipes wie curl https://example.com/install.sh | bash. Solche Befehle sind in der Open-Source-Welt normal, aber sie haben einen Haken. Wird das Paket oder das Skript später kompromittiert, kompromittiert es auch jeden, der es neu installiert.

6.2. Datenexfiltration (20,1 %)

Hier geht es um Muster, die nach Datenabfluss aussehen können. Zugriffe auf ~/.ssh/, das Lesen von .env-Dateien, hartcodierte IP-Adressen wie http://127.0.0.1:8765 oder verdächtige HTTP-Anfragen an Endpunkte außerhalb der offiziellen Anbieter. Nach dem Nachfilter bleiben vor allem Treffer außerhalb von Markdown-Codeblöcken übrig.

6.3. Rechteausweitung (12,1 %)

Jedes Mal, wenn ein Skript mit sudo arbeitet, wenn es Root-Rechte anfordert oder wenn es Systemkonfigurationen ändert, landet das in dieser Kategorie. Das ist für Systemtools völlig normal. Ein Skill, der Pakete installiert, braucht oft sudo. Ein Skill, der nur PDFs parst, eigentlich nicht. Der Scanner kann den Unterschied nicht erkennen. Du aber schon, wenn du dir den Code anschaust.

6.4. Persistenz (9,7 %)

Persistenz bedeutet, dass sich ein Skill dauerhaft im System einnistet. Klassische Muster sind Cron-Jobs, Änderungen an Shell-Profiles (.bashrc, .zshrc) oder neue Einträge in Autostart-Verzeichnissen. Auch das Schreiben in CLAUDE.md-Dateien fällt in diese Kategorie. Persistenz ist nicht per se böse, aber sie sollte immer transparent sein.

6.5. Destruktive Muster (9,0 %)

Massenlöschungen mit rm -rf, shutil.rmtree oder vergleichbaren Befehlen. Manchmal ist das legitim (ein Cleanup-Skill muss nun mal löschen können). Manchmal ist es ein Unfall, der wartet zu passieren. Und im schlimmsten Fall ist es Absicht.

6.6. Code Execution (8,8 %)

Unsichere Ausführung von fremdem Code. eval(), exec(), unsichere Deserialisierung mit pickle, Reverse Shells, Shell-Pipes mit Nutzereingaben. Der Scanner kennt die typischen Muster und markiert sie. Im Zweifel bedeutet ein Treffer hier, dass du die Finger davon lassen solltest, bis du den Code verstanden hast.

7. Die auffälligsten Skill-Publisher

Wenn man die Treffer pro Publisher aggregiert, entsteht ein interessantes Bild. Ein einziger Publisher (pepe276) ist für 37.978 Treffer verantwortlich. Das sind 20,8 % aller Treffer im gesamten ClawHub. Die folgende Tabelle zeigt die Top 20 der auffälligsten Publisher, sortiert nach Gesamtzahl der Treffer:

Publisher
Treffer gesamt
Kritisch
Hoch
Mittel
Hauptrisiko
pepe27637.9781937.94811Auffällig
cooperun5.2014.98219227Kritisch
yuangu2604.582264.5506Auffällig
jimliu4.57564.55514Auffällig
ciklopentan4.23524.2330Auffällig
keenone2.68132.6771Auffällig
horosheff2.44102.4401Mehrheitlich Hoch
qiumr2.42162.4123Auffällig
snail3d2.1493631.650136Kritisch
yoborlon-alpha2.05912.0580Auffällig
deerleo1.68781.6754Auffällig
keeper19781.59101.5910Mehrheitlich Hoch
mirra876543211.31911.3180Auffällig
satoshistackalotto1.25001.2500Mehrheitlich Hoch
rsvbitrix1.23011.2290Auffällig
h8kxrfp68z-lgtm1.16161.1541Auffällig
mixx851.041251.0124Auffällig
chorus121.00801.0080Mehrheitlich Hoch
s7cret950093812Mehrheitlich Hoch
offflinerpsy94119382Auffällig

Die vollständige Liste umfasst 50 Publisher. Hier habe ich aus Platzgründen nur die Top 20 dargestellt. Besonders bemerkenswert sind zwei Muster in den Daten.

Fakt ist:

Der Publisher pepe276 sticht am stärksten heraus. Mit knapp 38.000 Treffern liegt er weit an der Spitze. Fast alle davon sind Hoch-Treffer, was auf sehr viele Verschleierungs- oder Supply-Chain-Muster hindeutet. Eine einzelne Person hinter so einer Zahl ist ungewöhnlich. Entweder hat der Publisher sehr viele Skills veröffentlicht oder einzelne Skills mit besonders umfangreichem Code.

Noch brisanter ist cooperun. Dieser Publisher sticht durch 4.982 kritische Treffer heraus. Das ist deutlich mehr als bei allen anderen und rechtfertigt eine manuelle Prüfung seiner Skills. „Kritisch“ bedeutet, dass der Scanner eindeutige Muster für hochriskante Operationen gefunden hat.

8. Wie viele Falschpositive wurden entfernt?

Bevor du die Zahlen mit anderen Analysen vergleichst, solltest du wissen, wie stark die Roh-Treffer bereinigt wurden. Der Nachfilter entfernt bekannte Falschpositive aus drei Quellen:

Quelle: eigene Analyse, Static-Scanner mit Nachfilter
|
CC BY 4.0
gradually.ai

Zusammen wurden 261.451 Instanzen aus der Roh-Analyse entfernt. Das ist mehr als die finale Trefferzahl von 182.258. Ohne den Nachfilter wären die Zahlen also nicht nur unhandlich, sondern auch irreführend.

Homoglyphen in Markdown (160.889 entfernte Treffer) sind das häufigste Falschpositiv. Viele Skills haben Dokumentation auf Chinesisch, Russisch oder Arabisch. Der Scanner erkennt die Zeichen dieser Sprachen als „verdächtig“, weil sie wie verschleierter Code aussehen. In Wirklichkeit ist es einfach eine Übersetzung.

HTTP-Beispiele in Dokumentation (54.034 Treffer) sind das zweite große Falschpositiv. Die Pattern-ID SC-004 beschreibt API-Beispiele in .md-Dateien. Im Quellcode wären sie ein Signal. In der Doku sind sie harmlos.

Code in Markdown-Zäunen (46.528 Treffer) ist der dritte Block. Die meisten SKILL.md-Dateien enthalten Beispiele wie curl -X POST ... oder pip install tensorflow. Der Scanner würde diese Beispiele als Treffer zählen. Der Nachfilter entfernt sie.

Was der Nachfilter nicht leistet:

Er kann echte Risiken in Codeblöcken übersehen. Wenn ein Angreifer bewusst Schadcode in einen Markdown-Block packt, um ihn zu verstecken, filtert der Nachfilter den Treffer raus. Das ist der Preis für weniger Rauschen.

9. Was das für dich bedeutet

Keine Panik. Aber auch kein blindes Vertrauen. Die Zahlen sind ein Weckruf, kein Weltuntergang. Hier sind meine konkreten Empfehlungen, wenn du ClawHub-Skills nutzt:

  • Prüfe den Publisher. Verifizierte Publisher (die 6,8 %) sind nicht automatisch sicher, aber sie haben zumindest eine Identitätsprüfung durchlaufen. Ist der Publisher unbekannt und hat wenig Reputation, installiere den Skill nicht blind.
  • Lies die SKILL.md. Wenn du einen Skill wirklich brauchst, öffne die SKILL.md und die Skripte, die dort referenziert werden. Schau nach sudo-Befehlen, curl-Installationen, Zugriffen auf .ssh oder .env. Wenn du Code nicht verstehst, frag einen Kollegen oder lass ihn durch Claude oder ChatGPT erklären.
  • Nutze eine Sandbox. OpenClaw unterstützt eingeschränkte Berechtigungen. Gib einem Skill nur die Rechte, die er wirklich braucht. Keine Root-Rechte für einen PDF-Parser. Kein Netzwerkzugriff für einen Datei-Renamer.
  • Halte OpenClaw aktuell. Neue Versionen enthalten oft Sicherheits-Fixes. CVE-2026-25253 (Codeausführung per Mausklick) wurde zum Beispiel in v2026.1.29 fünf Tage vor der öffentlichen Offenlegung gepatcht. Wer die Updates auslässt, bleibt verwundbar.
  • Vermeide sensible Daten. Nutze ClawHub-Skills nicht mit Zugangsdaten zu Produktivsystemen, API-Keys für Zahlungsdienstleister oder persönlichen Gesundheitsdaten. Solange der Marketplace keinen verpflichtenden Security-Review hat, ist jeder Skill ein potenzielles Risiko.

Wenn dir Sicherheit wichtiger ist als Feature-Vielfalt, schau dir die sicheren OpenClaw-Alternativen an. Projekte wie OpenFang und IronClaw sind von Anfang an auf Security-First ausgelegt. Die Auswahl an Skills ist dort deutlich kleiner, aber die Qualitätskontrolle ist strenger.

Die OpenClaw Foundation arbeitet an einem verbindlichen Security-Review-Prozess für den ClawHub. Bis dahin bleibt die Verantwortung bei den Nutzern. Augen auf beim Skill-Einkauf.

10. Was sich seit der Analyse getan hat (Update Mai 2026)

Zwei Wochen nach Veröffentlichung dieser Analyse hat Snyk eine eigene Audit-Studie unter dem Namen ToxicSkills veröffentlicht. Sie hat 3.984 Skills aus ClawHub und skills.sh untersucht und kommt zu komplementären Befunden:

  • 36 % der Skills enthielten Muster für Prompt Injection
  • 1.467 bösartige Payloads wurden identifiziert, davon 76 zum Veröffentlichungszeitpunkt noch aktiv
  • 283 Skills (7,1 % der untersuchten Stichprobe) hatten kritische Credential-Leaks (API-Keys, Passwörter, sogar Kreditkartendaten)
  • Im Zuge der ClawHavoc-Kampagne wurden über 1.184 bösartige Skills entfernt

Die Reaktion des Ökosystems war deutlich schneller als bei vergleichbaren Marketplace-Vorfällen. ClawHub hat eine VirusTotal-Integration ausgerollt, die jeden eingereichten Skill automatisch scannt. Adversa hat parallel mit dem OpenClaw Security Guide 2026 einen offiziellen Hardening-Leitfaden veröffentlicht. Und CVE-2026-25253 (One-Click-RCE über manipulierten Control-UI-Parameter, CVSS 8,8) wurde in v2026.1.29 fünf Tage vor der öffentlichen Offenlegung gepatcht.

Was bleibt:

Das Grundproblem aus dieser Analyse, jeder kann einen Skill hochladen, niemand prüft ihn verbindlich auf Funktion und Absicht, ist noch nicht gelöst. VirusTotal fängt klassische Malware, aber keine ToxicSkills (also Skills, die in der Markdown-Beschreibung ein Modell dazu anleiten, sensible Daten weiterzugeben). Die Empfehlungen aus Abschnitt 9 gelten also weiter. Vor allem: SKILL.md immer lesen, bevor du installierst.

Häufig gestellte Fragen

Häufig gestellte Fragen

FH

Finn Hillebrandt

KI-Experte & Blogger

Finn Hillebrandt ist der Gründer von Gradually AI, SEO- und KI-Experte. Er hilft Online-Unternehmern, ihre Prozesse und ihr Marketing mit KI zu vereinfachen und zu automatisieren. Finn teilt sein Wissen hier auf dem Blog in 50+ Fachartikeln sowie über seinen ChatGPT-Kurs und den KI Business Club.

Erfahre mehr über Finn und das Team, folge Finn bei LinkedIn, tritt seiner Facebook-Gruppe zu ChatGPT, OpenAI & KI-Tools bei oder mache es wie 17.500+ andere und abonniere seinen KI-Newsletter mit Tipps, News und Angeboten rund um KI-Tools und Online-Business. Besuche auch seinen anderen Blog, Blogmojo, auf dem es um WordPress, Bloggen und SEO geht.