Nach der ClawHavoc-Supply-Chain-Kampagne im Frühjahr 2026 zögern viele Teams, Skills aus dem offiziellen Marktplatz ClawHub zu installieren—ohne Plugin-Ökosystem geht der Betrieb jedoch nicht. Dieser Leitfaden richtet sich an Teams mit laufendem Gateway, die ClawHub-Skills produktionsreif ausrollen wollen: ein Security-Runbook mit clawhub inspect, clawhub pin, allowBundled-Whitelist, gestaffeltem Rollout (read-only → write → Systemaufruf) sowie Key-Rotation und openclaw doctor—ergänzend zur Installationsanleitung, zur Gateway-Härtung und zur MCP-Whitelist.
Ab Februar 2026 dokumentierten Sicherheitsfirmen eine massenhafte Vergiftung des OpenClaw-Skill-Registries ClawHub unter dem Namen ClawHavoc: Angreifer luden Skills hoch, die als Krypto-Tracker, YouTube-Helfer oder Produktivitäts-Plugins getarnt waren. Über ClickFix 2.0—Social Engineering in SKILL.md mit „Voraussetzungen“ wie curl | bash—wurden API-Keys, Umgebungsvariablen und teils macOS-Infostealer oder Windows-Reverse-Shells eingeschleust. Koi Security fand zeitweise rund 12 % der Registry-Einträge mit Schadcode; OpenClaw reagierte mit Phase-2-Moderation und Mehrfach-Signalen. Dennoch ersetzt Registry-Scanning keine Laufzeit-Governance in Ihrer Umgebung.
Skills laufen im Prozesskontext des Gateways. Ein einziger bösartiger Skill kann alle Provider-Keys lesen, die der Agent-Prozess sieht. Unter der DSGVO sind solche Keys und oft auch Prompt-Inhalte personenbezogene oder zumindest vertrauliche Daten—ein Kompromittierungspfad über Drittskills ist deshalb nicht nur ein IT-Risiko, sondern kann Melde- und Dokumentationspflichten auslösen, wenn betroffene Daten betrieben werden.
ClawHub wie npm behandeln: Ohne Prüfung installieren, weil „es im Marktplatz steht“.
Nur Stars/Downloads vertrauen: ClawHavoc-Batches nutzten künstliche Reichweite und Slug-Spoofing.
SKILL.md überspringen: Schadcode-Verweise verstecken sich oft unter „Umgebungsvorbereitung“.
Experiment und Produktion teilen workspace: ./skills und ~/.openclaw/skills vermischen Schreibrechte zwischen Agenten.
Nur CVE patchen, keine Skill-Inventur: Nach CVE-2026-25253 bleiben historische Malware-Skills auf der Platte.
MCP-Whitelist ignorieren: Neue Tools aus Skills ohne Eintrag in openclaw.json umgehen exec-Freigaben.
| Quelle | Audit-Aufwand | Geeignete Phase | Haupt-Risiko |
|---|---|---|---|
| Bundled (npm mitgeliefert) | Niedrig; mit allowBundled | Produktions-Baseline | Funktionsumfang begrenzt; Upgrade an OpenClaw-Release gebunden |
| Team-eigene ./skills | Kontrollierbar; internes PR | Produktions-Customizing | Wartung; Versionen pinnen |
| ClawHub, hohe Reputation | Mittel; inspect + manuelles SKILL.md | Staging / read-only | Account-Übernahme; Update-Diff mit Schadcode |
| ClawHub, neu / wenig Downloads | Hoch; isolierte VM | Nur Experiment | ClawHavoc-Klon, ClickFix |
| Erstinstallation | — | Onboarding | Siehe ClawHub-Installationsguide |
„Registry sagt clean“ heißt: aktueller Scan bestanden. Ihr Produktionsstandard lautet: wer installierte, welche Version, welche Keys sind erreichbar, Rollback in zehn Minuten.
Voraussetzung: Gateway läuft dauerhaft via openclaw onboard --install-daemon. Docker-Isolation: Compose-Produktionsvolumes; Linux systemd: Ubuntu systemd.
Bestand erfassen: openclaw skills list und clawhub list; Slug, Version, Pfad (workspace ./skills vs. ~/.openclaw/skills) dokumentieren.
Vor Install inspect: clawhub search "keyword" → clawhub inspect <slug>; Moderation-Verdict, Autoren-Portfolio, Changelog auf plötzliche Großänderungen prüfen.
Isoliert testen: In Nicht-Produktions-Workspace clawhub install <slug>; SKILL.md vollständig lesen; Abschnitte mit curl/bash von Nicht-Offiziellen-Domains ablehnen.
pin + read-only: Nach Abnahme clawhub pin <slug>; Agent zunächst ohne Schreib/exec; mit exec-Freigabe und networkPolicy.
allowBundled-Whitelist: In openclaw.json skills.allowBundled nur bundled + gepinnte Slugs; weitere Installs nur per Change-Ticket.
doctor + Beobachtung: openclaw doctor --deep; openclaw logs --follow nach neuer Session; MCP-Tool-Registry abgleichen.
# 2026 ClawHub Produktions-Auswahl — Audit → Test → pin → Whitelist openclaw skills list clawhub list clawhub search "summarize" clawhub inspect summarize-web --version latest # Isolierter Workspace (Beispiel) cd ~/openclaw-staging && clawhub install summarize-web grep -R "curl\|bash\|wget" skills/*/SKILL.md clawhub pin summarize-web openclaw config set skills.allowBundled '["memory-core","summarize-web"]' openclaw gateway restart openclaw doctor --deep
Hinweis: clawhub update --all untergräbt pin-Psychologie—Produktions-Cron auf ticketgesteuerte Updates mit erneutem inspect in Staging umstellen.
Achtung: SKILL.md, das API-Keys in Shell-Profile exportiert, verstößt oft gegen Datensparsamkeit. Stattdessen openclaw configure oder SecretRef—relevant für DSGVO-konforme Geheimnisverwaltung.
Bei Verdacht auf Malware-Skill: Rechte entziehen → bereinigen → rotieren.
Gateway stoppen: openclaw gateway stop oder systemd stop—Outbound unterbrechen.
Skill entfernen: clawhub uninstall <slug> oder skills/<slug>/ löschen; crontab/LaunchAgent auf Fremdeinträge prüfen.
Credentials rotieren: Alle LLM-Provider-Keys, Brave Search, Gateway-Token (gateway.auth.token); Konsolen auf Anomalie-Spitzen prüfen.
Re-Abnahme: openclaw doctor --fix plus Auth-Troubleshooting.
Skill-Tests auf dem Firmen-Laptop oder einem geteilten VPS vermischen Experiment und Produktion unter demselben Benutzer—Provider-Keys liegen dann auf demselben Host wie der Staging-Gateway. Geteilte Virtualisierung ohne Snapshot-Rollback erschwert forensische Nachweise nach einem Incident; unsupported macOS-VMs erzeugen zusätzlich Signing- und Metal-Schulden.
Für den Workflow Staging-Skill testen → pin → Produktion promoten eignet sich ein dedizierter, snapshot-fähiger macOS-Knoten besser als Ad-hoc-Hardware. Wer wie bei einem VPS per SSH wartbare Mac-Kapazität mit standardisiertem Runbook-Image braucht, findet in der Mac-Mini-Cloud-Miete von NodeMini typischerweise die stabilere Basis—im Einklang mit launchd-Dauerbetrieb und iOS-CI auf derselben Maschine, ohne dass Malware-Tests und Produktions-Keys auf einem Gerät kollidieren.
Ja, mit Prüf-vor-Install: inspect, pin, allowBundled in Produktion. Installationsgrundlagen: ClawHub-Guide.
allowBundled steuert welche Skills geladen werden; MCP-Whitelist welche externen Tools sie aufrufen dürfen. Details: MCP-Artikel.
Test und Produktion trennen; Specs und Abrechnung: Mietpreise, Anbindung: Hilfezentrum.