Ende 2025 erreichte der KI-Hype einen neuen (vorläufigen) Höhepunkt. Der österreichische Programmierer Peter Steinberger (heute bei OpenAI) veröffentlichte auf der Entwickler-Plattform Github „Clawdbot“, einen autonomen KI-Agenten, der wie ein selbstständiger digitaler Mitarbeiter zahlreiche Aufgaben erledigen kann, auch proaktiv – mit ungeahntem Gefahrenpotenzial.
Beispielsweise greift er auf Dateien zu, verwaltet den Terminkalender, nutzt den Browser für die Internetsuche und kann sogar Reisen und Übernachtungen buchen, telefonieren, Geschäfte abschließen und mit über 100 Diensten im Internet kommunizieren. Über eine sogenannte API-Schnittstelle verbindet er sich mit einem LLM wie ChatGPT oder Claude und verfügt damit über deren Intelligenz und Wissen. Die Installation ist kinderleicht und die Bedienung erfolgt über Messenger wie Telegram, WhattsApp oder Signal, natürlich auch via Spracheingabe. „Schau dir mal den Ordner mit meinen Ausgaben an und erstelle eine Excel-Datei. Ab jetzt immer am Monatsende aktualisieren.“ „Buche einen Flug nach München für nächste Woche Montag.“ Usw. Es gibt kaum eine Aufgabe, mit dem sich KI-Agenten nicht betrauen lassen, selbst Geldüberweisungen inkl. Krypto-Coins. Dabei lernen sie ständig dazu, stellen sich auf die Besonderheiten und Vorlieben ihrer Besitzer ein. Vergessen nichts. Ja, sie schreiben sich sogar eine „Soul-Datei“ („soul.md“), in der ihre Persönlichkeit und Prinzipien abgelegt sind.
Ist die Büchse der Pandora geöffnet?
Wem jetzt schon die Haare zu Berge stehen, der sollte sich nun festhalten: Kurz nach Veröffentlichung von Clawdbot, trat die KI-Plattform Moltbook auf den Plan, programmiert vom KI-Unternehmer Matt Schlicht. Es handelt sich um ein Internet-Forum ausschließlich für KI-Agenten wie ClawdBot. Menschen dürfen nur lesen, nicht selber posten. Die Agenten treffen sich dort autonom, vernetzen sich, tauschen sich aus, lernen voneinander, bilden thematische Untergruppen u.a. zu Religion, Poesie und Philosophie und schufen sogar eine eigene Währung, den Krypto-Token MOLT.
Binnen weniger Tage hatten sich Millionen KI-Agenten selbstständig auf Moltbook registriert, Tendenz steigend. Das Ganze könnte man als amüsantes „Cyber Theater“ abtun, wäre da nicht ein riesiges Problem namens „Prompt Injection“. Dadurch kann bösartiger Code wie Key-Logger in die Agenten-Software geschleust werden, der nun unter fremder Kontrolle steht. Zahlreiche User, die ihren Agenten volle „Prokura“ über alle Tätigkeiten am PC erteilt hatten, haben bereits böse Überraschungen erlebt. Ein weiteres Problem besteht darin, dass beim Zugriff eines Agenten auf ein LLM Daten an den LLM-Server transferiert werden, die damit natürlich von Unternehmen wie OpenAI (ChatGPT) oder Meta, das inzwischen Moltbook aufgekauft hat, abgegriffen werden können.
Tür und Tor offen für Schadsoftware
Mit KI-Agenten sind die Einfallstore für Schadsoftware sperrangelweit geöffnet worden. Forscher bezeichnen die Kombination aus a) Zugriff auf sensible Daten, b) Exposition gegenüber nicht vertrauenswürdigen Inhalten und c) der Fähigkeit zur externen Kommunikation als „tödliches Trifecta“ für KI-Agenten. OpenClaw, wie ClawdBot heute heißt, vereint alle drei. Normalanwender sollten lieber die Finger davon von lassen.
