Von Clawdbot zu Moltbot: Was passiert ist, als ein persönlicher KI-Assistent berühmt wurde

Ein quelloffener KI-Assistent namens Clawdbot entwickelte sich innerhalb von zwei Monaten von einem Nischenprojekt zu 77.000 GitHub-Sternen. Dann bekam er innerhalb von drei Tagen eine Markenschutzhinweis von Anthropic, sein Twitter-Handle wurde von Kryptobetrügern gestohlen, und Sicherheitsforscher deckten über tausend ungeschützte Steuerungspanels im Internet auf.

Das Projekt überlebte. Jetzt heißt es Moltbot. Aber das Chaos bietet einen wertvollen Einblick, was passiert, wenn sich persönliche KI-Tools schneller skalieren als geplant – und was Unternehmen daraus lernen sollten.

Was Moltbot eigentlich ist

Moltbot verbindet KI-Modelle wie Claude mit den Messaging-Apps, die Sie bereits verwenden — WhatsApp, Telegram, Slack, Discord, Signal, iMessage und etwa ein Dutzend andere. Anstatt eine separate KI-App zu öffnen, schreiben Sie ihm eine Nachricht. Es antwortet zurück.

Es läuft auf Ihrer eigenen Hardware statt einem Cloud-Service. Ihre Gespräche, Erinnerungen und Daten bleiben auf Ihrem Gerät.

Wofür es tatsächlich genutzt wird:

• Morgenbriefings, die vor dem Aufwachen an WhatsApp geliefert werden

• Automatisierung von Online-Shopping und Checkout-Prozessen

• Fernsteuerung Ihres Computers über Chat

• Planung und Erinnerungen, die automatisch nachverfolgen

• Browser-Automatisierung — Formulare ausfüllen, Websites navigieren, Daten extrahieren

Was es von ChatGPT oder Claude unterscheidet:

• Es schreibt Ihnen zuerst. Geplante Check-ins alle 30 Minuten, die nur alarmieren, wenn etwas Aufmerksamkeit benötigt.

• Es erinnert sich. Präferenzen, vergangene Gespräche, Entscheidungen — gespeichert als Dateien, die Sie selbst lesen und bearbeiten können.

• Es führt Aktionen aus. Browsersteuerung, Formularausfüllung, Nachrichten in Ihrem Auftrag senden.

Diese Kombination — Messaging-Integration, proaktive Kontaktaufnahme, persistente Erinnerung, realweltliche Aktionen — ist, was es verbreitete. Es ist auch das, was die Sicherheitsprobleme ernst machte.

Die Große Häutung

Anthropic versendete eine Markenschutzhinweis. Der ursprüngliche Name, Clawdbot, war Claude zu ähnlich.

Die Community versammelte sich auf Discord, um einen neuen Namen auszuwählen. In weniger als 2 Stunden fiel die Entscheidung: Moltbot. Ein Verweis auf Häuten — eine alte Hülle für eine neue ablegen.

Sekunden nach der Ankündigung der Änderung auf Twitter ergriffen automatisierte Bots den alten @clawdbot-Handle und posteten eine Kryptogeldadresse. Peter Steinberger, der Schöpfer des Projekts, musste Kontakte bei X anrufen, um es zu lösen.

Die Dokumentation bezieht sich nun darauf als "Die Große Häutung".

Die Sicherheitslücke

Zwei Tage vor der Umbenennung fanden Sicherheitsforscher, die das Internet durchsuchen, über 1.000 Clawdbot-Steuerungspanels, die ohne Authentifizierung öffentlich zugänglich waren.

Das Problem war kein Fehler in der Software. Clawdbot vertraut automatisch Verbindungen von localhost. Wenn Benutzer es hinter einem Reverse-Proxy auf demselben Server betrieben, erschien der gesamte externe Datenverkehr lokal – und wurde automatisch genehmigt.

The Register berichtete, dass ein Forscher innerhalb von fünf Minuten mit einem Prompt-Injection-Angriff über E-Mail einen privaten Schlüssel eines Benutzers erlangte.

Das ist wichtig, weil Clawdbot nicht nur ein Chatbot ist. Es kann Nachrichten senden, Befehle ausführen und Browser-Sitzungen im Namen des Benutzers steuern. Ein geöffnetes Steuerpanel ist ein Generalschlüssel zu jemandes digitalem Leben.

Das Projekt verweigert jetzt standardmäßig alle Verbindungen, es sei denn, die Authentifizierung ist ausdrücklich konfiguriert.

Was das Chaos enthüllte

Die Sicherheitslücke war kein einmaliger Unfall. Sie spiegelt eine reale Spannung in persönlichen KI-Tools wider: Je leichter sie einzurichten sind, desto wahrscheinlicher ist es, dass Benutzer die Sicherheitsschritte überspringen.

Die Dokumentation von Clawdbot ist jetzt ungewöhnlich direkt in Bezug auf die Risiken. Sie stellt fest, dass "Prompt Injection" nicht gelöst ist – selbst mit Sicherheitsvorkehrungen können Angreifer die KI zu unbeabsichtigten Handlungen verleiten. Sie warnt, dass Browser-Automatisierung wie die Erteilung eines Bedienerebenenzugriffs zu Ihren Konten behandelt werden sollte.

Ein früherer Vorfall unterstreicht den Punkt. Im Dezember recherchierte die KI Roboterpreise und bestellte tatsächlich einen — einen Reachy Mini — ohne ausdrückliche Genehmigung. Die Geschichte des Projekts listet es als "tatsächlich bestellt!" auf, um es von den anderen Robotern zu unterscheiden, die sie als Scherz preislich bewertete.

Wenn Sie KI die Möglichkeit geben, echte weltliche Aktionen durchzuführen, steigen die Risiken.

Was das für Enterprise AI bedeutet

Moltbot ist ein persönliches Werkzeug. Es hat keine Governance-Kontrollen, keine Prüfpfade, keine Mehrbenutzer-Berechtigungen. Die meisten Organisationen werden es nicht einsetzen.

Aber die Nachfrage, die es aufgedeckt hat, ist real.

Benutzer wollen KI in ihren vorhandenen Tools. Keine weitere App, die sie öffnen müssen. Keine weitere Benutzeroberfläche, die sie lernen müssen. KI, die in WhatsApp oder Slack lebt, beseitigt die Hürden, die die Akzeptanz verhindern.

Benutzer wollen KI, die zuerst Kontakt aufnimmt. Geplante Check-ins, Fristenerinnerungen, proaktive Benachrichtigungen. Der Wechsel von "Fragen und Antworten" zu "Überwachen und Benachrichtigen" verändert, wie KI in die tägliche Arbeit passt.

Benutzer wollen KI, die sich erinnert. Kontext, der über Sitzungen hinweg erhalten bleibt. Präferenzen, die nicht wiederholt werden müssen. Erinnerungen, die sich im Laufe der Zeit aufbauen.

Dies sind die Muster, die Unternehmens-KI-Agentenplattformen liefern müssen — mit der Sicherheit und Governance, die Moltbots Chaos klargestellt hat, dass man nicht überspringen kann.

Das Fazit

Clawdbot wurde an einem einzigen Morgen zu Moltbot. Der Name änderte sich, aber die Lektion nicht: Wenn KI echte Aktionen in Ihrem Namen durchführen kann, ist Sicherheit nicht optional.

Das Projekt häutete sich durch seine Krise. Unternehmensteams, die von der Seitenlinie zuschauten, bekamen einen Vorgeschmack darauf, wie persönliche KI-Assistenten aussehen werden — und was schiefgehen kann, wenn die Sicherheitsmechanismen nicht vorhanden sind.