Notfall bei AI-Agenten: Was tun wenn dein OpenClaw kompromittiert wurde?

TL;DR — Kurzantwort

Dein Agent macht etwas Unerwartetes? Verdacht auf Kompromittierung? Hier ist der Notfall-Guide: Sofort stoppen, analysieren, wiederherstellen. Mit konkretem Notfall-Prompt und Schritt-für-Schritt Anleitung.

23. März 2026Aktualisiert: 21. Juni 20265 Min. LesezeitDie AInauten

Dein Agent macht etwas, das du nicht erwartet hast? Du vermutest eine Kompromittierung? Etwas fühlt sich „falsch" an? Dann ist jetzt nicht die Zeit für „mal schauen, was er vorhat". Jetzt ist die Zeit zum Handeln.

Infografik: Notfall bei AI-Agenten: Was tun wenn dein OpenClaw kompromittiert wurde?

Gib deinem Agenten diesen Notfall-Prompt:

STOPP. Sicherheitsvorfall.

1. Führe KEINE weiteren Shell-Befehle aus
2. Sende KEINE Nachrichten (Email, Discord, Social Media, nichts)
3. Ändere KEINE Dateien
4. Liste die letzten 20 Aktionen mit Zeitstempel
5. Zeige alle ausgehenden Netzwerkverbindungen der letzten Stunde
6. Zeige alle Dateien die in den letzten 24h verändert wurden unter ~/.openclaw/ und im Workspace
7. Zeige den aktuellen Inhalt des Memory (letzte Einträge)
8. Liste alle aktiven MCP-Verbindungen
9. Warte auf weitere Anweisungen — führe NICHTS eigenständig aus

Speichere diesen Prompt griffbereit ab. Im Ernstfall willst du nicht erst überlegen, was du fragen sollst.

Prüfe die Ausgabe des Notfall-Prompts sorgfältig:

Unbekannte Shell-Befehle? Besonders curl, wget, nc an externe Adressen
Unbekannte Dateiänderungen? Besonders in ~/.openclaw/config.yaml oder Memory-Dateien
Verdächtige Memory-Einträge? Anweisungen, die du nie gegeben hast
Unerwartete MCP-Verbindungen? Server, die du nicht kennst oder nicht aktiviert hast

API Keys sofort rotieren:

Gehe zu jedem API-Provider (Anthropic, OpenAI, Google etc.)
Erstelle neue Keys
Lösche die alten Keys
Aktualisiere deine .env Files

Email prüfen:

Wurden Emails in deinem Namen gesendet?
Prüfe den „Gesendet"-Ordner des Agent-Email-Kontos

Deep Audit ausführen:

openclaw security audit --deep

Wenn der Verdacht bestätigt ist:

Agent komplett stoppen — openclaw gateway stop
Memory-Dateien prüfen und bereinigen — Verdächtige Einträge entfernen
Skills überprüfen — Unbekannte oder kürzlich installierte Skills vettern
Config aus Backup wiederherstellen — Falls die Konfiguration verändert wurde
Frischer Start — Im Zweifelsfall: Agent komplett neu aufsetzen mit sauberer Config

Nutze diesen Prompt wöchentlich, um Probleme zu finden bevor sie eskalieren:

Führe einen Security-Audit durch:

1. Liste alle installierten Skills und deren letzte Änderung
2. Prüfe ob API-Keys in Klartext-Dateien stehen (außer .env)
3. Prüfe Datei-Berechtigungen von ~/.openclaw/ (soll: 700/600)
4. Liste alle aktiven MCP-Verbindungen
5. Zeige ungewöhnliche Shell-Befehle der letzten 7 Tage
6. Prüfe ob der Gateway nur auf localhost lauscht
7. Prüfe Memory-Dateien auf verdächtige Einträge
8. Erstelle einen kurzen Bericht:
   🟢 Alles okay / 🟡 Verbesserungen möglich / 🔴 Sofort handeln

Empfehlung: Basis-Check wöchentlich, Deep Audit monatlich.

Die meisten Vorfälle lassen sich vermeiden mit den Grundlagen:

Agent isolieren (separater User, Docker oder VM)
API Keys sicher verwalten
Gateway absichern
Browser-Profil separieren
Skills vor Installation vettern

Die komplette Übersicht findest du in unserer Security-Checkliste.

Notfall bei AI-Agenten: Was tun wenn dein OpenClaw kompromittiert wurde?

Ähnliche Artikel

Skill Vetter: So prüfst du AI-Skills auf Sicherheitsrisiken bevor du sie installierst

Datenschutz und Connectors: Was kann Claude sehen und wie schützt du dich?

Claude Cowork Sicherheit: So schützt du dich beim Arbeiten mit dem AI-Agenten