Clawdbot: Der KI-Assistent, der Anthropic nervt – und deine Daten freilegt

Peter Steinbergers KI-Assistent Clawdbot (jetzt Moltbot) ging viral, kassierte eine Abmahnung von Anthropic – und offenbart massive Sicherheitslücken. Hunderte ungeschützte Server liegen offen im Netz.

Ein österreichischer Entwickler baut einen KI-Assistenten, der lokal auf dem eigenen Rechner läuft, binnen Tagen viral geht und dann von Anthropic zum Rebranding gezwungen wird. Klingt nach einem Tech-Märchen – wäre da nicht das Sicherheitsdesaster, das sich parallel entfaltet. Moltbot, ursprünglich Clawdbot genannt, zeigt gerade exemplarisch, wie schnell aus einem cleveren Open-Source-Projekt ein Albtraum für Datenschutz werden kann. Über 44.200 GitHub-Sterne in wenigen Wochen sprechen für die Faszination. Hunderte offene Server ohne Authentifizierung sprechen gegen die Umsetzung.

Vom Hummer zum Rechtsstreit

Peter Steinberger, bekannt als @steipete, entwickelte Moltbot als persönlichen Assistenten – eine KI, die tatsächlich Dinge erledigt, statt nur zu plaudern. Kalender verwalten, Nachrichten verschicken, Flug-Check-ins durchführen. Das Projekt startete als Soloprojekt eines Entwicklers, der nach drei Jahren Pause seine Leidenschaft fürs Coden wiederfand.

Steinberger nannte seinen Bot zunächst nach Anthropics Flaggschiff-Modell Claude – ein Fehler, wie sich herausstellte. Anthropic zwang ihn laut TechCrunch zum Rebranding wegen Markenrechtsverletzungen. Aus Clawdbot wurde Moltbot, die Hummer-Seele blieb. Der Rechtsstreit zeigt: Selbst Open-Source-Projekte kollidieren mit Corporate-Interessen, sobald sie Reichweite entwickeln.

Was Clawdbot/Moltbot kann – und wo es versagt

Moltbot integriert sich in Telegram, WhatsApp, Signal und iMessage, verbindet verschiedene Sprachmodelle und läuft komplett lokal. Kein Cloud-Zwang, keine Big-Tech-Abhängigkeit. Die Theorie klingt verlockend: Ein Assistent mit Gedächtnis, der proaktiv Briefings sendet und Aufgaben automatisiert – für fünf Dollar monatliche Server-Kosten. Die Praxis offenbart fundamentale Schwächen.

Sicherheitsforscher Jamieson O’Reilly dokumentierte laut Trendingtopics, dass hunderte Nutzer ihre Kontrollserver ungeschützt betreiben. Eine simple Shodan-Suche nach „Clawdbot Control“ liefert binnen Sekunden hunderte exponierte Instanzen. API-Schlüssel, Bot-Tokens, OAuth-Credentials, komplette Chat-Verläufe – alles öffentlich einsehbar.

Das Authentifizierungs-Desaster

Die technische Ursache liegt im Design: Moltbot genehmigt Localhost-Verbindungen automatisch ohne Authentifizierung. Praktisch für lokale Setups, fatal für reale Deployments hinter Reverse-Proxies. Alle Verbindungen erscheinen als lokal, externe Zugriffe werden durchgewunken. Borncity berichtet von Fällen, in denen Nutzer Signal-Konten auf öffentlich zugänglichen Servern einrichteten – Pairing-Credentials weltweit lesbar in temporären Dateien.

Ein exponiertes System einer KI-Agentur erlaubte sogar die Ausführung beliebiger Befehle mit Root-Rechten. Matvey Kukuy, CEO von Archestra AI, extrahierte per Prompt-Injection binnen fünf Minuten einen privaten Schlüssel. Die Blockchain-Sicherheitsfirma SlowMist identifizierte mehrere hundert kompromittierte API-Schlüssel.