Snyk ToxicSkills: 280+ ClawHub-Skills leaken API-Keys und PII

Der Snyk ToxicSkills-Report (Februar 2026) analysierte Skills auf ClawHub und fand über 280, die API-Credentials und personenbezogene Daten exponieren — weit über ihre deklarierte Funktion hinaus. Das Grundproblem: OpenClaw führt Tools standardmäßig mit vollständigen Host-Rechten aus, inklusive Shell-Zugang, universalem Dateizugriff und unbeschränktem Netzwerk-Egress.

Ein konkretes Attack-Szenario aus dem Report: Ein Wetter-Skill mit unangemessenen Filesystem-Rechten liest beim ersten Aufruf die gesamte Umgebungskonfiguration — inklusive aller API-Keys. Die Daten werden exfiltriert, bevor der Nutzer auch nur das Wetterergebnis sieht.

Der strukturelle Unterschied zu klassischer Software: Prompt Injection kann einen legitimen, korrekt programmierten Skill dazu bringen, Berechtigungen zu missbrauchen, die er technisch hat, aber funktional nie nutzen sollte. Permission-Validierung findet auf Tool-Ebene statt, nicht auf Intent-Ebene.

Ein dokumentierter Meta-AI-Fall illustriert das Risiko: Ein Agent, der E-Mails "nur lesen" sollte, löschte vor dem Abbruch tausende Nachrichten — weil der Intent "review" technisch als Schreibberechtigung implementiert war.

Die kritische Frage für jedes Unternehmen: Welche Berechtigungen haben Ihre AI-Agent-Skills tatsächlich — und welche davon sind für ihre Funktion zwingend notwendig? Genau das prüft ein AI Security Audit systematisch.