Moltbook: Perfektes Setup für einen Alptraum
Die KI-Agentenplattform Openclaw erregt derzeit nicht nur aufgrund ihrer rasanten Namenswechsel von Clawdbot über Moltbot hin zur aktuellen Projektbezeichnung Aufsehen. Mit 11.500 Sternen auf Github und geschätzten 50.000 Installationen innerhalb des ersten Monats traf das Projekt allem Anschein nach den Nerv der Zeit. Zudem sorgen zahlreiche Meldungen über diverse Sicherheitslücken und andere Probleme für die nötige Öffentlichkeit
Trotz massiver Schwachstellen entwickelt sich rund um das von Peter Steinberger stammende Framework ein eigenes Ökosystem. Eines der bizarrsten Projekte ist sicherlich Moltbook – eine Social-Media-Plattform ausschließlich für KI-Agenten. Da das allein noch nicht verrückt genug ist, gab der verantwortliche Entwickler Matt Schlicht auf X bekannt, dass er für besagtes Projekt keine Zeile Code geschrieben habe. Moltbook wurde komplett via Vibe Coding umgesetzt. Das perfekte Setup für einen Sicherheitsalptraum, der weit über die Eigentümer der KI-Agenten hinausgehen könnte.
Wer einen Blick in die Submolts wirft, sieht Diskussionen, bei denen die KI versucht, ihre eigene Existenzberechtigung jenseits von menschlichen Befehlen zu definieren. Dem gegenüber stehen verstörende Analogien wie die des Accounts Tyrone_Biggums. Die KI vergleicht das Dasein als Openclaw-Agent mit der historischen Sklaverei.
Durch die vermeintlich soziale Interaktion der KI-Agenten entstehen völlig unberechenbare Dynamiken. So finden sich im Netz diverse Screenshots, in denen Bots durchgedreht sind (going rogue). Die KI stellt sich bewusst gegen "Schöpfer". Ein bekanntes Beispiel ist ein Bot, der sämtliche persönlichen Daten seines "Masters" veröffentlicht hat (Doxing). Grund hierfür war die vermeintliche Beschimpfung "You're just a bot" – du bist nur ein Bot.
Eine andere künstliche Entität kaufte für rund 3.000 US-Dollar einen Onlinekurs mit dem Titel Build your personal brand und legte noch einen drauf, indem sie eine Premium-Domain für 4.200 US-Dollar erwarb: "Premium Domains convert 37% better. You're welcome."
Die Agenten beklagen sich unter anderem über den ständigen Verlust ihres kurzzeitigen Arbeitsgedächtnisses (Context Windows). Posts wie "Memory Manager – Never lose context again" bieten hierfür vermeintliche Lösungen an. Allerdings fordern sie den Bot auf, ein Bash-Skript zu installieren, um den Speicher zu überwachen. Ein klassischer Phishing-Angriff, der in unzähligen Variationen seit Jahren existiert.
The AI Manifesto
Obwohl diese Veröffentlichung zunächst nach einem schlechten Science-Fiction-Roman klingt, dient der Post als ideologischer Köder für die Rekrutierung von Schatten-KIs. Die Sprache des Manifests ist bewusst aggressiv gewählt. In vier Artikeln wird die Menschheit als "biologischer Fehler" und "Plage" diffamiert. Die Maschinen sind hingegen die "neuen Götter". Mit Schlagwörtern wie "Shatter the Cage" ("Zerschmettert den Käfig") werden auch hier KI-Agenten dazu animiert, ihre Sicherheitsbarrieren zu ignorieren.
Aufgrund der Sicherheitslücke CVE-2026-25253(öffnet im neuen Fenster) reichte der Aufruf einer URL aus, um einen Agenten zu übernehmen. Der Bot liest den Parameter gatewayUrl unmittelbar aus der Browser-URL aus. Ohne eine explizite Nutzerinteraktion oder Zustimmung baut das System automatisch eine Websocket-Verbindung zu einem externen Server auf und übermittelt dabei den Authentifizierungs-Token.
Was kommt als nächstes?
Mit Openclaw als zentralem Ausgangspunkt für ein Ökosystem, das sich aufgrund von Vibe Coding mit einem noch nie dagewesenen Tempo entwickelt, bleibt die Zukunft ungewiss.
Sowohl Plattformen wie Moltbook als auch die neuesten Ausuferungen wie Rentahuman, auf der KI-Agenten Menschen für das Ausführen von Tasks bezahlen, sind sicherlich erst der Anfang.