Die 5 gefährlichsten Security-Irrtümer bei AI-Agenten

Das ist der gefährlichste Irrtum überhaupt. Ja, OpenClaw läuft auf deinem Rechner. Aber dein Agent liest externe Daten — Emails, Websites, Discord-Nachrichten, Dokumente. Der Angriff kommt nicht von außen rein, er kommt durch die Daten, die dein Agent verarbeitet.

Eine böswillige Email mit versteckten Anweisungen (sogenannte „Prompt Injection") kann deinen Agenten dazu bringen, Dinge zu tun, die du nie wolltest. Localhost schützt nicht vor vergiftetem Input.

Das Cyber Strategy Institute bringt es auf den Punkt: „Localhost ist keine Festung." Dein Agent hat Netzwerkzugriff, kann Dateien lesen und Shell-Befehle ausführen. „Lokal" heißt nur, dass die Rechenleistung bei dir stattfindet — nicht, dass du isoliert bist.

---

Docker ist eine beliebte Software, die abgeschottete „Container" auf deinem Computer erstellt. Stell dir einen Container wie eine Wohnung in einem Mehrfamilienhaus vor: eigene vier Wände, eigener Eingang, eigenes Schloss. Der Bewohner (dein Agent) kann in seiner Wohnung machen, was er will, aber kommt nicht einfach in die Nachbarwohnung (deine persönlichen Daten).

Docker kann sicher sein. Aber nicht automatisch. Wenn du dein Home-Verzeichnis in den Container mountest und der Container als root läuft, hast du exakt null Sicherheitsgewinn. Du hast nur eine Illusion hinzugefügt.

Sicheres Docker bedeutet: Eingeschränkte Mounts, nicht als root laufen, Netzwerk begrenzen. Mehr dazu in unserem Artikel über Agent-Isolation.

---

Prompts sind Wünsche, keine Verträge. LLMs sind probabilistisch — sie folgen Anweisungen meistens, aber nicht immer, und nicht garantiert. Ein System-Prompt, der sagt „lösche niemals Dateien", wird in 99% der Fälle funktionieren. Aber du willst dich nicht auf Wahrscheinlichkeiten verlassen, wenn es um deine Daten geht.

System-Prompts sind eine zusätzliche Schicht, kein Ersatz für echte Sicherheitsmaßnahmen. Das Cyber Strategy Institute nennt das treffend „Security Theater" — es sieht sicher aus, ist aber keins.

---

Deine API Keys kosten Geld. Wenn jemand deinen Anthropic-Key abgreift und damit massenweise Anfragen stellt, zahlst du die Rechnung. Deine Email-Adresse kann für Phishing missbraucht werden. Dein Name kann für Impersonation genutzt werden.

Ein reales Beispiel aus Lenny's Newsletter: Claire von ChatPRD richtete einen Agenten ein, der Emails schreiben sollte. Der Agent schickte die Emails nicht als „Claires Assistent", sondern als Claire selbst — ohne dass sie das wollte. Impersonation ist kein theoretisches Risiko. Es passiert.

---

1.800 exponierte OpenClaw-Instanzen. In der ersten Woche. Gefunden mit einem simplen Shodan-Scan. Das sind keine Hacker mit speziellen Tools — das sind Leute, die eine Suchmaschine für offene Ports benutzt haben.

Es passiert nicht „nur anderen". Es passiert auch den Leuten, die glauben, es würde ihnen nicht passieren.

---

Jeder dieser Mythen hat eine konkrete Lösung:

• Lokal ≠ sicher → Agent isolieren (separater User, Docker oder VM)
• Docker ≠ automatisch sicher → Richtig konfigurieren (kein root, eingeschränkte Mounts)
• Prompts ≠ Verträge → Echte Sicherheitsmaßnahmen implementieren (Dateiberechtigungen, Gateway-Token)
• „Nichts zu verbergen" → API Keys schützen, Impersonation verhindern
• „Passiert nur anderen" → Gateway absichern, nicht öffentlich exponieren

Sicherheit ist kein Zustand, sondern eine Gewohnheit. Fang mit den Grundlagen an — den Rest kannst du Schritt für Schritt nachrüsten.

• OpenClaw Skills sicher installieren: Der Skill-Vetter-Leitfaden
• API Keys in OpenClaw sicher verwalten: Secrets statt Plaintext
• Memory.md erklärt: So erinnert sich dein OpenClaw-Agent