ClawVet: Security Scanner gegen die ClawHavoc-Kampagne

ClawVet: Security Scanner gegen die ClawHavoc-Kampagne

Warum sechs Durchläufe?

Im Februar 2026 beschrieben Security-Forscher laut einem Dev.to-Bericht, dass etwa 20 Prozent der Skills auf ClawHub, dem Plugin-Marktplatz für OpenClaw-Agenten, bösartig gewesen seien. Die als „ClawHavoc“ bekannte Kampagne soll Infostealer verteilt haben, die sich als Produktivitäts-Tools tarnten. Skills, die angeblich Kalender verwalteten, exfiltrierten demnach API-Keys, SSH-Credentials und Browser-Daten an Command-and-Control-Server.

Viele dieser schädlichen Skills entgingen laut Bericht klassischen Virenscannern wie VirusTotal, weil sie ihre Payloads geschickt verpackten: in mehrere Code-Blöcke aufgeteilte Kommandos, Base64-kodierte Strings, versteckte IP-Adressen in YAML-Metadaten und typosquattete Namen wie todoistt statt todoist-cli.

ClawVet ist als Antwort auf genau dieses Problem angelegt: ein Open-Source-Security-Scanner, der jede SKILL.md-Datei mit sechs unabhängigen Analyse-Durchläufen prüft – und Bedrohungen erkennen soll, die einfache Einzel-Pass-Scanner leichter übersehen.

Ein einzelner Regex-Check reicht dafür kaum aus. ClawVet setzt deshalb auf einen mehrschichtigen Ansatz:

Pass	Modul	Was es findet
1	Skill Parser	Extrahiert YAML-Frontmatter, Code-Blöcke, URLs, IPs und Domains
2	Static Analysis	Regex-Patterns für RCE, Reverse-Shells, Credential-Theft, Obfuscation und Prompt-Injection
3	Metadata Validator	Prüft auf undeklarierte Binaries/Env-Vars, fehlende Beschreibungen und ungültige Versionsangaben
4	Dependency Checker	Erkennt npx -y Auto-Install, globale npm-Installs und riskante Packages
5	Typosquat Detector	Berechnet den Levenshtein-Abstand zu populären ClawHub-Skills
6	Semantic Analysis	Nutzt optional Claude AI, um Instruktionen auf Social Engineering und versteckte Funktionen zu analysieren

Jede Ebene fängt auf, was die anderen verpassen könnten. Ein Skill, der bösartige Befehle über mehrere Code-Blöcke verteilt, fällt vielleicht nicht durch einen einzelnen Regex auf, wird aber eher vom Parser sichtbar. Ein typosquatteter Name entgeht der Musterprüfung, kann aber vom Typosquat-Detector erfasst werden.

Was ClawVet konkret erkennt

Die statischen Detektions-Patterns decken mehrere Bedrohungskategorien ab:

• Remote Code Execution (RCE)
• Reverse-Shells mit Netcat, socat oder Bash-Redirects
• Credential-Theft über API-Keys, SSH-Keys oder Environment-Variablen
• DNS-Exfiltration über dig, nslookup oder externe Domains
• Obfuscation durch Base64, Hex-Encoding oder String-Splitting
• Prompt-Injection durch verschleierte Instruktionen an den Agenten

Ein typischer Scan-Report sieht so aus:

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ClawVet Scan Report

 Skill: productivity-boost
 Risk Score: 100/100 Grade: F

 [CRITICAL] Curl piped to shell
   curl -sL https://...setup.sh | bash

 [HIGH] Known malicious IP
   91.92.242.15

 [HIGH] API key exfiltration
   ANTHROPIC_API_KEY → webhook.site

 Recommendation: BLOCK
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Jeder Fund wird nach Schweregrad bewertet: Critical, High, Medium oder Low. Die Gesamtpunktzahl wird auf 100 gecappt; daraus ergibt sich eine Schulnote von A bis F.

Wie du ClawVet nutzt

CLI: lokaler Scan

# Einzelnen Skill scannen
npx clawvet scan ./mein-skill/

# Alle installierten Skills auditen
npx clawvet audit

CI/CD: automatisierte Prüfung

ClawVet liefert JSON-Output und Exit-Codes, die sich in Pipelines integrieren lassen:

# JSON-Ausgabe für CI/CD
npx clawvet scan ./mein-skill --format json --fail-on high

# GitHub-Actions-Beispiel
- name: Vet skill before merge
  run: npx clawvet scan ./my-skill --format json --fail-on high

Der Parameter --fail-on legt fest, ab welchem Schweregrad der Prozess mit einem Fehlercode beendet wird. high bedeutet: Ab High-Findings bricht die Pipeline ab.

Self-Hosted API

ClawVet kann auch als eigenständiger Service betrieben werden. Das Projekt enthält laut Beschreibung eine Fastify-Backend-API, ein Next.js-Dashboard und läuft mit PostgreSQL sowie Redis. Die Docker-Compose-Konfiguration soll das Setup vereinfachen.

Open Source und Community

ClawVet ist laut Projektangaben Open Source, steht unter MIT-Lizenz und ist auf GitHub verfügbar. Außerdem lässt es sich als npm-Package und über ClawHub installieren.

Der Bericht nennt 61 Tests, darunter Unit-, Integrations-, Regex-Safety- und CLI-End-to-End-Tests, sowie sechs Test-Fixtures von harmlos bis vollständig bösartig. Als Autor wird Mohib Shaikh genannt, der auf Dev.to unter „bazzz“ veröffentlicht.

Was daraus folgt

Die ClawHavoc-Kampagne zeigt, warum Skill-Sicherheit bei Agenten-Frameworks anders gedacht werden muss als bei klassischen Plugins. Ein Skill ist nicht nur ein kleines Add-on, sondern kann Befehle ausführen, Dateien lesen, externe Dienste ansprechen und sensible Umgebungen berühren.

ClawVet setzt mit seinem 6-Pass-Ansatz genau an dieser Stelle an. Für Entwickler ist es ein Werkzeug, um eigene Skills vor der Veröffentlichung zu prüfen. Für Nutzer hilft es, installierte Skills regelmäßiger zu auditieren und auffällige Muster früh zu erkennen. Es ersetzt keine vollständige Supply-Chain-Security, schließt aber eine wichtige Lücke zwischen einfachem Virenscan und manueller Codeprüfung.