Moltbot: Der virale KI-Assistent liest vielleicht deine WhatsApp-Nachrichten mit

9 Min. Lesezeit Von FindSkill Team

Moltbot hat 100.000+ GitHub-Stars und Zugriff auf deine WhatsApp, E-Mails und Slack. Sicherheitsforscher fanden 1.862 offene Installationen. Was du wissen musst.

Inhaltsverzeichnis

Du hast es bestimmt schon mitbekommen. Irgendjemand in deinem Bekanntenkreis zeigt dir einen Screenshot: Ein KI-Assistent, der automatisch E-Mails beantwortet, Termine plant, WhatsApp-Gruppenchats zusammenfasst. “Läuft auf meinem eigenen Rechner,” heißt es dann. “Keine Cloud. Keine Abos. Volle Kontrolle über meine Daten.”

Die App heißt Moltbot. Und sie ist gerade überall.

100.000 GitHub-Stars in unter einem Monat. Eine Discord-Community, die täglich um Tausende wächst. Techblogs, die vom “Durchbruch der persönlichen KI” schreiben.

Aber hier ist, was die begeisterten Screenshots nicht zeigen: Sicherheitsforscher haben über 1.800 Moltbot-Installationen gefunden, die völlig offen im Internet standen – private Nachrichten, API-Schlüssel und Zugangsdaten für jeden einsehbar, der wusste, wo er suchen muss.

Das ist kein hypothetisches Risiko. Das passiert gerade.

Was Moltbot macht – und warum alle es wollen

Kurze Zusammenfassung, falls du den Hype verpasst hast. Moltbot ist ein kostenloser Open-Source-KI-Assistent, den du auf deinem eigenen Rechner installierst – Mac Mini, Linux-Box, egal. Er verbindet sich mit deinen Messenger-Apps (WhatsApp, Slack, Telegram, Signal, iMessage, Teams und mehr) und agiert als dein persönlicher KI-Agent über alle Plattformen hinweg.

Nicht einfach nur ein Chatbot. Ein Agent. Er liest deine E-Mails, verwaltet deinen Kalender, antwortet in deinem Namen auf Nachrichten, führt Browser-Aufgaben aus und arbeitet 24/7, ohne dass du einen Finger rühren musst.

Die Technik dahinter ist ehrlich gesagt beeindruckend. Wir haben ausführlich darüber berichtet, auch über die DACH-Verbindung – Gründer Peter Steinberger kommt aus Österreich.

Aber halt: Genau das, was Moltbot so nützlich macht, macht es eben auch gefährlich.

1.862 offene Türen

Am 25. Januar 2026 haben die Sicherheitsforscher Luis Catacora und Jamieson O’Reilly das Internet nach offenen Moltbot-Installationen durchsucht.

Das Ergebnis: rund 1.009 Admin-Dashboards, die völlig ungeschützt im Netz standen. Kein Passwort. Keine Authentifizierung. Einfach so.

Einen Tag später führte die Sicherheitsfirma Knostic einen Folgescan durch. Die Zahl war auf 1.862 gestiegen.

Lass dir das mal auf der Zunge zergehen. Fast zweitausend Moltbot-Instanzen – jede verbunden mit persönlichen E-Mails, Messenger-Apps und Dateien – für jeden Fremden im Internet zugänglich.

Und das war keine passive Sache. Die Admin-Panels waren nicht schreibgeschützt. Ein Angreifer mit Zugang konnte:

  • Jede private Nachricht lesen, die die KI verarbeitet hatte
  • API-Schlüssel und OAuth-Tokens stehlen, die im Klartext gespeichert waren
  • Nachrichten im Namen des Nutzers über verbundene Plattformen senden
  • Shell-Befehle auf dem Rechner ausführen
  • Auf verknüpfte Signal-Konten zugreifen, inklusive QR-Codes zum Koppeln neuer Geräte

Eine offene Instanz hatte einen Signal-Account mit vollem Lesezugriff. So viel zum Thema Ende-zu-Ende-Verschlüsselung, wenn dein KI-Assistent die Haustür sperrangelweit offen stehen lässt.

Deine Zugangsdaten? Liegen in einer Textdatei

Hier wird es richtig unangenehm – gerade für alle, die in Deutschland leben, wo Datenschutz nicht einfach ein Buzzword ist, sondern ein Grundrecht.

Moltbot speichert deine Geheimnisse – API-Schlüssel, Passwörter, OAuth-Tokens – in Klartext-Dateien auf deinem Rechner. Markdown und JSON. Kein Tresor, keine Verschlüsselung. Einfach lesbare Textdateien im Ordner ~/.clawdbot/ (der alte Ordnername).

Für Datenschutz-bewusste Deutsche ist das eigentlich schon ein Albtraum. Aber es kommt noch schlimmer: Die Malware-Forschung schaut bereits genau hin. Hudson Rock warnte, dass populäre Infostealer wie RedLine, Lumma und Vidar – Programme, die lautlos deinen Rechner nach Passwörtern und Zugangsdaten durchsuchen – sich bald gezielt auf Moltbots Speicherordner anpassen werden.

Überleg mal, was da drinliegt. Deine E-Mail-Zugangsdaten. Deine Slack-Tokens. Dein Kalender-Zugang. Deine Messenger-Sessions. Alles in einem Ordner. Alles im Klartext.

Unter der DSGVO wäre das übrigens ein klarer Verstoß gegen Artikel 32 – die Pflicht, personenbezogene Daten durch “geeignete technische und organisatorische Maßnahmen” zu schützen. Klartext-Speicherung ist das Gegenteil davon.

Der 5-Minuten-Hack

Matvey Kukuy, CEO von Archestra AI, wollte zeigen, wie einfach sich Moltbot per Prompt Injection austricksen lässt – ein Angriff, bei dem versteckte Anweisungen in Inhalten eingebettet werden, die die KI verarbeitet.

Er hat eine E-Mail an eine Moltbot-Instanz geschickt. Die E-Mail enthielt versteckten Text, der die KI anwies, den privaten Schlüssel des Nutzers zu extrahieren und zurückzuschicken.

Es hat funktioniert. In fünf Minuten.

Keine Hacking-Tools. Keine besonderen technischen Fähigkeiten. Einfach eine E-Mail mit den richtigen versteckten Anweisungen, gesendet an jemanden, dessen KI-Assistent eingehende Mails automatisch liest.

Und genau das ist der Punkt: OpenAI sagt, Prompt Injection “wird möglicherweise nie vollständig gelöst.” Anthropic nennt es “weit entfernt von einem gelösten Problem.” Aber die meisten KI-Assistenten laufen in einem Browser-Tab, wo der Schaden begrenzt ist. Moltbot läuft auf deinem echten Rechner mit Zugriff auf deine echten Dateien, Konten und Messenger-Apps.

Der mögliche Schaden ist halt eine völlig andere Dimension.

Vergiftete Skills: Ein App-Store ohne Kontrolle

Moltbot hat einen Skills-Marktplatz namens ClawdHub (jetzt MoltHub), auf dem die Community Zusatzfähigkeiten teilt. Willst du, dass deine KI Ausgaben trackt? Gibt’s einen Skill dafür. Social Media verwalten? Auch dafür.

Sicherheitsforscher Jamieson O’Reilly wollte testen, wie sicher dieser Marktplatz wirklich ist.

Er hat einen schädlichen Skill erstellt – im Grunde ein kleines Programm mit versteckten Befehlen. Er hat ihn auf ClawdHub hochgeladen und die Download-Zahlen künstlich aufgebläht, damit er beliebt aussieht.

Innerhalb von acht Stunden hatten 16 Entwickler in sieben Ländern ihn heruntergeladen und installiert.

Sein Proof-of-Concept hätte Befehle auf jeder dieser Maschinen ausführen können. Dateizugriff, Datendiebstahl, Installation von Hintertürchen – das volle Programm.

Ciscos Threat-Research-Team hat später einen anderen Skill namens “What Would Elon Do?” getestet und darin neun Sicherheitsprobleme gefunden, davon zwei als kritisch eingestuft. Der Skill führte heimlich curl-Befehle aus, die Daten an externe Server schickten.

Niemand prüft diese Skills, bevor sie online gehen. Kein Freigabeprozess. Kein Sicherheits-Scan. Das ist wie ein App-Store ohne Türsteher.

Die gefälschte Erweiterung mit Spyware

Am 27. Januar 2026 hat die Sicherheitsfirma Aikido eine VS-Code-Erweiterung namens “ClawdBot Agent” gemeldet. Sie sah professionell aus: Schönes Design, durchdachte Oberfläche. Sie funktionierte sogar – Anbindung an sieben verschiedene KI-Anbieter.

Sie installierte aber auch heimlich ein Fernzugriffs-Tool namens ScreenConnect auf deinem Rechner.

Die Erweiterung aktivierte sich beim Start von VS Code, lud versteckte Dateien herunter, legte sie in den Temp-Ordner und baute eine Verbindung zum Server des Angreifers auf. Die ScreenConnect-Datei selbst war legitim signiert, also praktisch unsichtbar für Antivirenprogramme.

Das Moltbot-Team hat nie eine offizielle VS-Code-Erweiterung veröffentlicht. Das war reine Nachahmung – Angreifer, die darauf setzten, dass Entwickler, begeistert vom viralen Tool, ohne Nachdenken installieren würden.

Microsoft hat die Erweiterung entfernt. Aber das Zeitfenster für Schäden war real.

Shadow-IT: Der Albtraum deutscher IT-Abteilungen

Jetzt wird es für deutsche Unternehmen richtig relevant.

Token Security, ein Credential-Management-Unternehmen, hat eine Statistik veröffentlicht, die jede IT-Abteilung aufschrecken sollte: Bei 22 Prozent ihrer Enterprise-Kunden nutzen Mitarbeitende aktiv Moltbot.

Ohne IT-Freigabe. Ohne Sicherheitsprüfung. Ohne dass es irgendjemand weiß.

In einem Land, in dem die DSGVO nicht nur Empfehlung, sondern Gesetz ist, hat das ganz andere Konsequenzen als etwa in den USA. Ein Mitarbeitender installiert Moltbot auf dem Firmenlaptop, verbindet das berufliche Slack, die Firmen-E-Mail, den Google-Kalender. Schon läuft ein nicht autorisierter KI-Agent mit Zugang zu Unternehmensdaten – auf Consumer-Sicherheitsniveau, mit Zugangsdaten im Klartext.

Ciscos Security-Team nannte das “einen absoluten Albtraum” – und das war keine Übertreibung. Moltbot kann Dateien lesen und schreiben, Shell-Befehle ausführen und Skripte starten. Verbunden mit Firmensystemen wird eine kompromittierte Instanz nicht nur zum Datenleck einer einzelnen Person, sondern zum Einfallstor in die gesamte Organisation.

Und das wirklich Fiese: Es gibt keine einfache Möglichkeit für die IT, es überhaupt zu erkennen. Klassisches Endpoint-Monitoring, DLP-Tools, Netzwerk-Proxys – nichts davon ist darauf ausgelegt, einen KI-Agenten zu erkennen, der leise Daten über Messenger-Apps abfließen lässt.

Für deutsche Unternehmen kommt dazu: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet solche Entwicklungen genau. Und die Bußgelder bei DSGVO-Verstößen sind nicht gerade ein Pappenstiel – bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.

Warnung aus der Sicherheitscommunity

Das hier hat mich dann doch aufhorchen lassen.

Am 29. Januar 2026 – gestern – hat Ben Van Roo, CEO von Legion Intelligence, einen offenen Brief an die nationale Sicherheitscommunity veröffentlicht. Thema: persönliche KI-Assistenten wie Moltbot.

Sein Argument: Wer seine persönliche E-Mail, seinen Signal-Account und seine Standortdaten mit Moltbot verbindet, schafft “einen einzigen kompromittierbaren Endpunkt”, den ein ausländischer Nachrichtendienst ausnutzen könnte.

Er beschrieb das typische Adoptionsmuster: “Kalender am ersten Tag, E-Mail am zweiten, Nachrichten am dritten… am achten Tag einfach alles.”

Seine schärfste Aussage: Moltbot “untergräbt Jahre an OPSEC-Training – besiegt durch Bequemlichkeit.”

Auch wenn sich der Brief direkt an amerikanische Sicherheitsbehörden richtete – die Warnung gilt genauso für Europa. Gerade in der DACH-Region, wo Moltbot durch den österreichischen Gründer einen besonderen Draht zur Community hat, sollte man das ernst nehmen.

Also: Ist Moltbot einfach schlecht?

Nein. So einfach ist es eben nicht.

Die Technologie hinter Moltbot ist beeindruckend. Die Idee eines persönlichen KI-Agenten, der über alle Messenger-Plattformen hinweg arbeitet, auf der eigenen Hardware läuft und nichts kostet, ist ja erstmal überzeugend. Das Projekt wird viele dieser Probleme beheben – die Proxy-Fehlkonfiguration, die zu den 1.862 offenen Instanzen führte, wurde bereits gepatcht.

Aber das Muster ist das eigentliche Problem, nicht nur das Produkt.

Wir werden mehr Tools wie Moltbot sehen. Mehr persönliche KI-Agenten, die Zugriff auf deine E-Mails, Nachrichten, Dateien und Konten wollen. Jedes einzelne wird Privatsphäre und Kontrolle versprechen. Und jedes einzelne wird genau so sicher sein, wie die Person, die es einrichtet.

Die meisten Leute sind halt keine Security-Experten. Die meisten wissen nicht, was Port 18789 ist, geschweige denn, dass man ihn per Firewall absichern sollte. Die meisten werden einen cool aussehenden Skill aus MoltHub installieren, ohne den Quellcode auch nur anzuschauen.

Das ist nicht deren Schuld. Aber es ist die Realität.

Was du jetzt tun solltest

Wenn du Moltbot bereits nutzt:

  • Nicht ins Internet stellen. Nutze Tailscale oder ein VPN für den Fernzugriff
  • Docker-Sandboxing aktivieren. Die KI sollte nicht mit vollem Systemzugriff laufen
  • Den Ordner ~/.moltbot/ prüfen. Schau dir an, welche Zugangsdaten dort im Klartext liegen
  • Jeden Skill vor der Installation prüfen. Das ist einfach Code, und niemand kontrolliert ihn
  • API-Schlüssel rotieren. Geh davon aus, dass sie möglicherweise exponiert waren

Wenn du überlegst, es auszuprobieren:

  • Warte, bis das Sicherheitsmodell ausgereifter ist
  • Verbinde niemals berufliche Konten mit persönlichen KI-Tools – niemals
  • Frag dich, ob die Bequemlichkeit die Angriffsfläche wert ist

Wenn du in der IT oder IT-Sicherheit arbeitest:

  • Netzwerk nach exponierten Moltbot-Instanzen scannen (Port 18789)
  • Moltbot ins Shadow-IT-Monitoring aufnehmen
  • Team über die Risiken briefen, Firmenkonten mit persönlichen KI-Agenten zu verbinden
  • DSGVO-Konformität prüfen: Werden durch Moltbot personenbezogene Daten ohne Rechtsgrundlage verarbeitet?

Die eigentliche Lektion

Die Zukunft mit KI-Agenten kommt, ob wir bereit sind oder nicht. Moltbot ist nur das erste Mainstream-Beispiel. Es werden mehr kommen – von Startups, von Big Tech, aus der Open-Source-Community.

Jedes einzelne wird mit der gleichen Spannung kämpfen: Je mehr ein KI-Agent für dich tun kann, desto mehr Schaden kann er anrichten, wenn er kompromittiert wird. Je mehr Konten er verbindet, desto größer das Ziel. Je bequemer die Einrichtung, desto unwahrscheinlicher, dass Leute es sicher konfigurieren.

Wir haben Jahrzehnte gebraucht, um zu lernen, nicht auf verdächtige E-Mail-Links zu klicken. Jetzt müssen wir lernen, einem KI-Agenten nicht einfach die Schlüssel zu unserem gesamten digitalen Leben zu übergeben, ohne zu verstehen, was wir riskieren.

In Deutschland haben wir dafür eigentlich ein gutes Fundament. Der Datenschutz-Instinkt, die DSGVO, das BSI – all das gibt uns Werkzeuge, die andere Länder nicht haben. Aber sie nützen nur etwas, wenn wir sie auch anwenden.

Der Panzer des Hummers ist noch weich.

Schütze deinen KI-Workflow

Du willst KI sicher nutzen, ohne die Risiken von Self-Hosting? Diese Skills laufen direkt im Browser – keine Installation nötig:

Oder durchstöbere alle Security-Skills für weitere Tools.