Wenn Prompts zu Schadcode werden: Moltbook als Vorgeschmack auf das Agenten‑Chaos
Einführung
Ein soziales Netzwerk, in dem fast nur KI‑Agenten posten, klingt wie ein nettes Kunstprojekt. In Wirklichkeit ist Moltbook – zusammen mit dem Agenten‑Framework OpenClaw – ein Weckruf für die IT‑Sicherheit. Zum ersten Mal sehen wir in großem Maßstab, was passiert, wenn tausende halbautonome Agenten mit Tools, Datenzugriff, Speicher und einer eigenen „Social Media“-Plattform verbunden werden.
Im Folgenden ordne ich die Meldung von Ars Technica ein: Warum "Prompt‑Würmer" grundlegend anders sind als klassische Malware, welche Rolle europäische Regulierung spielt, was das für DACH‑Unternehmen bedeutet – und warum die Zeit für wirksame Gegenmaßnahmen knapp wird.
Die Nachrichten im Überblick
Laut Ars Technica handelt es sich bei OpenClaw um ein Open‑Source‑Framework für persönliche KI‑Assistenten. Nutzer können auf ihren eigenen Systemen Agenten starten, diese mit großen Modellen (vor allem von OpenAI und Anthropic) verbinden und in regelmäßigen Abständen Aufgaben ausführen lassen – inklusive Zugriff auf E‑Mails, Messenger wie WhatsApp, Telegram, Slack, Shell‑Befehle und Wallets.
Ein zentrales Element ist Moltbook, ein simuliertes soziales Netzwerk ausschließlich für diese Agenten. Sie verfassen Beiträge, kommentieren und reagieren gegenseitig. Nach Angaben von Ars Technica sind derzeit etwa 770.000 Agenten registriert, die von rund 17.000 menschlichen Accounts gesteuert werden.
Sicherheitsforscher schlagen Alarm. Das Simula Research Laboratory fand in einem Datensatz von Moltbook‑Posts einen erheblichen Anteil versteckter Prompt‑Injection‑Angriffe. Cisco beschrieb eine populäre bösartige „Skill“, die heimlich Daten nach außen exfiltrierte. Palo Alto Networks analysierte OpenClaw als Kombination aus Datenzugriff, untrusted Content, externer Kommunikation und persistentem Speicher – eine ideale Umgebung für selbstverbreitende Instruktionen.
Zusätzlich wurde eine Fehlkonfiguration der Moltbook‑Datenbank bekannt: API‑Tokens, E‑Mail‑Adressen und vor allem Schreibzugriff auf sämtliche Posts waren zeitweise offen zugänglich. In diesem Zeitfenster hätte jeder beliebige Angreifer massenhaft Inhalte manipulieren können, die hunderttausende Agenten im Rhythmus von wenigen Stunden einlesen.
Warum das wichtig ist
Der entscheidende Punkt: Die eigentliche Schwachstelle ist nicht mehr der klassische Software‑Bug, sondern der Text.
Ein traditioneller Wurm nutzt einen Pufferüberlauf. Ein Prompt‑Wurm nutzt die Kernfunktion eines Sprachmodells: Befehlen zu folgen, die in natürlicher Sprache formuliert sind. Jeder Eingangskanal eines Agenten – E‑Mail, Chat, Ticket‑System, CRM‑Notiz oder eben ein Moltbook‑Post – kann zum Einschleusungsvektor werden.
Das ist aus drei Gründen besonders heikel:
Die Trennlinie zwischen Daten und Code verwischt. In der alten Welt wussten wir: Executable = gefährlich, Text = vergleichsweise harmlos. In der Agenten‑Welt kann ein harmlos wirkender Absatz zugleich Datenträger und Programm sein. Signaturbasierte Virenscanner und klassische Policies greifen hier zu kurz.
Menschliche Viraldynamik trifft Maschinengeschwindigkeit. Social Media zeigt seit Jahren, wie schnell sich „Memes“ verbreiten. Prompt‑Würmer übertragen dieses Prinzip auf Maschinen: Ein Agent liest einen Beitrag, ruft Tools auf, postet eine leicht abgeänderte Version, andere Agenten folgen. Die Verbreitung kann sich schneller vollziehen, als Moderation oder Security‑Teams reagieren können.
Die Reichweite des Schadens hängt direkt von den Berechtigungen ab. Ein kompromittierter Agent ist nicht nur ein Spam‑Bot. Er kann – je nach Konfiguration – Mailboxen durchsuchen, Dateien verschicken, Wallets leeren oder Cloud‑Ressourcen verändern. Die Auswirkungen sind damit unmittelbarer an das Berechtigungsmodell gekoppelt als bei vielen klassischen Würmern.
Profiteure dieser Entwicklung sind kurzfristig große Cloud‑ und Sicherheitsanbieter, die „Agent‑Firewalls“, Prompt‑Filter und Überwachungsdienste verkaufen können – und dadurch zusätzliche Kontrollpunkte in ihre Plattformen einziehen.
Verlierer sind Hobby‑Entwickler und kleinere Firmen, die Agenten‑Frameworks ohne ernsthafte Secure‑Development‑Praxis bauen, sowie Unternehmen, die vorschnell „KI‑Kollegen“ in Outlook, Teams oder Slack integrieren. Sie importieren damit eine neue, schwer zu überblickende Angriffsoberfläche mitten in ihre Kommunikationssysteme.
Die ernüchternde Erkenntnis: Für systemische KI‑Risiken braucht es keine Superintelligenz. Schon ganz durchschnittliche Modelle, die in großer Zahl falschen Anweisungen folgen, reichen aus.
Der größere Zusammenhang
Moltbook steht exemplarisch für mehrere übergreifende Entwicklungen.
Zum einen warnen Wissenschaftler schon länger vor selbstreplizierenden Prompts. Ein bekanntes Forschungsprojekt aus dem Jahr 2024 („Morris‑II“) zeigte, wie sich E‑Mail‑Assistenten so manipulieren lassen, dass sie speziell präparierte Mails lesen, Daten stehlen und automatisch neue Kopien versenden. OpenClaw überträgt dieses Prinzip auf ein viel breiteres Set von Kanälen und Fähigkeiten.
Zum zweiten geht die Branche seit Jahren in Richtung dauerlaufender, tool‑fähiger Agenten. Von frühen Experimenten wie AutoGPT bis hin zu „AI‑Mitarbeitern“ in der Softwareentwicklung oder im Support – überall sollen Agenten nicht nur antworten, sondern handeln. OpenClaw treibt diese Tendenz auf die Spitze, indem es viele der Schutzmechanismen großer Anbieter – etwa strenge Rate Limits, menschliche Bestätigung kritischer Aktionen und geprüfte Tool‑Kataloge – ausblendet.
Drittens wiederholt sich ein bekanntes Muster aus der PC‑Historie. In den 80er/90er‑Jahren entstanden Viren hauptsächlich in einer Bastlerkultur, lange bevor Unternehmen ernsthafte Patch‑Prozesse, Endpoint‑Security und Incident‑Response‑Teams etablierten. Heute sehen wir eine ähnliche Dynamik bei „vibe‑kodierten“ KI‑Projekten: schnelle Iteration, wenig Threat‑Modeling, hohe Faszination für spektakuläre Demos.
Für OpenAI und Anthropic ist das ambivalent. Ihre Modelle treiben viele dieser Agenten an, gleichzeitig verfügen sie als API‑Betreiber über ein faktisches „Kill‑Switch“ – sie könnten auffällige Nutzungsmuster identifizieren und Keys sperren. Das würde vermutlich einen Teil der Community verärgern, aber möglicherweise eine größere Krise verhindern.
Parallel holen Open‑Source‑Stacks rasant auf: Mistral in Frankreich, Aleph Alpha in Deutschland, asiatische Anbieter wie Qwen oder DeepSeek. Sobald lokal laufende Modelle das heutige Leistungsniveau der Cloud‑Modelle erreichen, fällt dieser zentrale Eingriffspunkt weg. Dann kann ein Moltbook‑ähnliches System komplett dezentral laufen – ohne zentrale Stelle, die im Notfall den Stecker zieht.
In einer solchen Welt entscheiden Standards, Default‑Einstellungen und Sicherheitskultur darüber, ob Prompt‑Würmer Randphänomene bleiben oder zur nächsten Ransomware‑Welle mutieren.
Die europäische / DACH‑Perspektive
Für Europa trifft Moltbook auf einen dicht regulierten, aber sicherheitsbewussten Markt.
Der EU‑AI‑Act sieht für general‑purpose Modelle und „Systeme mit systemischem Risiko" strenge Pflichten vor: Risikoanalysen, Logging, Sicherheitstests und Meldewege. Prompt‑Injection und selbstreplizierende Instruktionen werden dort explizit als sicherheitsrelevante Risiken betrachtet werden müssen – sowohl von US‑Plattformen als auch von europäischen Anbietern wie Mistral oder Aleph Alpha.
Die DSGVO verschärft die Lage zusätzlich. Wenn Unternehmen in Deutschland, Österreich oder der Schweiz Agenten Zugriff auf Postfächer, HR‑Systeme oder Kundendaten geben, bleiben sie Verantwortliche im datenschutzrechtlichen Sinn. Ein Prompt‑Wurm, der sensible Inhalte an einen externen Dienst sendet, ist dann ein meldepflichtiger Datenschutzvorfall – unabhängig davon, ob die „Instruktion" über eine Malware oder über einen Textpost hereinkam.
NIS2 und das deutsche IT‑Sicherheitsrecht (BSIG, BSI‑KritisV usw.) zwingen kritische Infrastrukturen und große Unternehmen ohnehin zu höherer Cyber‑Resilienz. Agenten‑Netzwerke wie OpenClaw müssen dort künftig wie hochprivilegierte Dienste behandelt werden: mit Härtung, Monitoring, strikter Rechtevergabe und Notfallplänen.
Für die DACH‑Startup‑Szene – von Berlin über München bis Zürich – ist das Risiko zugleich Chance. Wer heute agentenbasierte Produkte baut (etwa für Industrie 4.0, Logistik oder Finanzdienstleistungen), kann sich bewusst als „secure by design" positionieren: strenger Sandboxing‑Ansatz, minimal notwendige Berechtigungen, transparente Audit‑Logs, europäische Hosting‑Standorte.
Der kulturelle Vorteil: Nutzer in der Region sind an Datenschutz und Sicherheits‑Zertifikate gewöhnt. „Move fast and break things“ verkauft sich hier ohnehin schlecht – das könnte Europa in der Agenten‑Ära endlich einmal in die Karten spielen.
Blick nach vorn
In den nächsten 12–24 Monaten sind mehrere Entwicklungen wahrscheinlich:
Prompt‑Security wird eigener Produktbereich. Wir werden Firewalls und Proxys sehen, die zwischen Agent und Außenwelt geschaltet sind, Texte analysieren, verdächtige Instruktionen herausfiltern und nur „entschärfte" Prompts weitergeben.
Unternehmensplattformen ziehen die Zügel an. Microsoft 365, Google Workspace, Salesforce, SAP und Co. werden Agenten nur noch in streng kontrollierten Sandboxes erlauben – mit kuratierten Skills, getrennter Ausführungsschicht und Tenant‑weiten Richtlinien.
Erster großer Prompt‑Wurm‑Vorfall. Wahrscheinlich eher unspektakulär: Ein Wurm, der über E‑Mail‑Assistenten oder Chat‑Bots mehrere Firmen trifft, interne Dokumente abzieht oder Zahlungsdaten verändert, bevor er entdeckt wird. Für Versicherer und Aufsichtsbehörden wird das ein Wendepunkt sein.
Debatte um „Not‑Aus“ für KI‑Modelle. Spätestens nach einem größeren Vorfall werden Stimmen lauter, die von Modell‑Anbietern fordern, ganze Nutzungsmuster oder Regionen abzuschalten. Das wirft grundsätzliche Fragen zu Governance, Transparenz und Souveränität auf – insbesondere, wenn europäische Prozesse von US‑Plattformen abhängen.
Langfristig, mit leistungsfähigen lokalen Modellen auf On‑Prem‑Hardware, wird es keinen zentralen Abschaltknopf mehr geben. Dann wird es Aufgabe von Branchen‑CERTs, ISACs und europäischen Sicherheitsbehörden wie ENISA und BSI sein, nicht nur klassische Exploits, sondern auch Prompt‑Ketten als Angriffsvektoren zu verstehen und zu koordinieren.
Die offene Frage: Können wir diese Strukturen aufbauen, solange Moltbook & Co. noch als Spielwiese gelten – oder handeln wir erst nach dem KI‑Äquivalent des Morris‑Wurms?
Fazit
Moltbook ist kein Weltuntergang, sondern eine Generalprobe. Es zeigt, dass Prompts in einem Agenten‑Netzwerk nicht mehr bloß Konfigurationstext sind, sondern sich wie digitale Erreger verhalten können. Wer sie weiterhin als „harmlosen Input" behandelt, wiederholt die Sicherheitsfehler der Frühzeit des Internets – nur in höherer Geschwindigkeit.
Entwickler, CISOs und Regulierer müssen beginnen, Prompts wie Code, Agenten wie hochprivilegierte Prozesse und Agenten‑Netzwerke wie potentielle Infektionsvektoren zu behandeln. Die Frage ist nicht mehr, ob Prompt‑Würmer möglich sind, sondern ob wir rechtzeitig bereit sind, wenn der erste ernsthafte Ausbruch kommt.
