Houston, we have a problem: Warum Vibe Coding dein grösstes Sicherheitsrisiko werden kann

Mit dem Vibe Coding Hype und dem raketenhaften Aufstieg von Claude Code, Codex und ganz neu Moltbot (ehem. Clawdbot) und Co. steigen auch die Sicherheitsrisiken dramatisch an. Und in der grossen Euphorie wird sogar Sam Altman selbst unvorsichtig. Ein Impuls an alle Early Adopters, die sich gerade in nächtlichen Coding-Rabbitholes befinden.

Gastbeitrag von Ralph Hutter, GObugfree Advisory Board Member

vibe-coding-blog-ralph-hutter.png

Die YOLO-Falle: Wenn selbst der OpenAI-CEO nach zwei Stunden aufgibt

Sam Altman hat es diese Woche in einem Developer-Q&A offen zugegeben: Er hatte sich vorgenommen, dem Codex-Modell keinen vollen Systemzugriff zu geben. Nach zwei Stunden hat er kapituliert. Seine Begründung? "The agent seems to really do reasonable things."

Seine Warnung? Wir alle werden in eine "YOLO"-Mentalität (You Only Live Once) schlittern, bei der die Bequemlichkeit so gross und die Fehlerrate so niedrig erscheint, dass wir die potenziell katastrophalen Auswirkungen ausblenden. Altman befürchtet, dass die Gesellschaft "schlafwandelnd in eine Krise" gerät, in der wir komplexen Modellen vertrauen, ohne die nötige Sicherheitsinfrastruktur aufgebaut zu haben.

Permission Fatigue Is Real

Die sekündlichen Notifications und Nachfragen nach Berechtigungen nerven. Man ist geneigt, nach der hundertsten Anfrage einfach klick, klack freizugeben. Das ist menschlich – aber gefährlich.

Derzeit entsteht unheimlich viel Code, von dem niemand eine Ahnung hat: Ganze Apps werden auf Cloud-Plattformen deployt, um deren Konfiguration sich niemand kümmert. Credentials wie API-Keys werden reihenweise in Klartext in Code und n8n-Automations geschrieben. Berechtigungen werden sorgenfrei à gogo vergeben – auf das lokale Filesystem, mittels Konnektoren auf Cloudspeicher, Email, Kalender.

Das ist, als würdest du dir selbst 100 trojanische Pferde einladen.

Moltbot: Das perfekte Beispiel für alles, was schiefgehen kann

Der kürzlich umbenannte AI-Assistent Moltbot (vormals Clawdbot) zeigt exemplarisch die Risiken auf:

Öffentlich exponierte Instanzen Sicherheitsforscher Jamieson O'Reilly von Dvuln fand hunderte von Moltbot-Instanzen, die öffentlich im Internet erreichbar waren. Von den manuell untersuchten Instanzen hatten acht überhaupt keine Authentifizierung – voller Zugriff auf Befehle und Konfigurationsdaten für jeden.

Credentials im Klartex Hudson Rock hat den Moltbot-Code analysiert und festgestellt, dass manche Secrets in Klartext-Markdown- und JSON-Dateien auf dem lokalen Filesystem gespeichert werden. Infostealer-Malware wie Redline, Lumma und Vidar implementieren bereits Funktionen, um genau diese Verzeichnisstrukturen zu durchsuchen.

Supply-Chain-Angriffe O'Reilly konnte ein Proof-of-Concept demonstrieren: Er lud ein manipuliertes Skill-Paket in die ClawdHub-Bibliothek hoch, blähte die Download-Zahlen künstlich auf über 4'000 auf und beobachtete, wie Entwickler aus sieben Ländern das vergiftete Paket herunterluden. Die Bibliothek moderiert Uploads nicht – heruntergeladener Code wird automatisch als vertrauenswürdig behandelt.

Die Warnung von Google Heather Adkins, VP Security Engineering bei Google Cloud, warnt explizit: "Don't run Clawdbot." Ein Sicherheitsforscher bezeichnete Moltbot als "Infostealer-Malware, die sich als AI Personal Assistant tarnt."

Die unbequeme Wahrheit Eric Schwake von Salt Security bringt es auf den Punkt: Es gibt eine massive Lücke zwischen der "One-Click-Appeal"-Begeisterung der Konsumenten und dem technischen Know-how, das für einen sicheren Betrieb eines agentischen Gateways nötig wäre.

Jamieson O'Reilly formuliert es noch drastischer:

“Wir haben 20 Jahre damit verbracht, Sicherheitsgrenzen in moderne Betriebssysteme einzubauen – Sandboxing, Prozessisolation, Berechtigungsmodelle, Firewalls. All diese Arbeit wurde gemacht, um den Explosionsradius zu begrenzen und Fernzugriff auf lokale Ressourcen zu verhindern. AI Agents reissen all das per Design ein. Sie müssen deine Dateien lesen, auf deine Credentials zugreifen, Befehle ausführen und mit externen Services interagieren. Das Wertversprechen erfordert, Löcher durch jede Grenze zu schlagen, die wir über Jahrzehnte aufgebaut haben.”

Impulse für Vibe Coder und Claude Coder

Wer bislang noch keinen Plan hat, sollte sich unbedingt Gedanken machen. Hier sind einige Impulse aus der Security-Community:

  • Zero-Knowledge Cloud für sensible Daten: Ich nutze eine separate Cloud-Plattform ohne Konnektoren und APIs für wirklich wichtige Daten
  • Kein Mischen von produktiven Geschäftsdaten und Experimentier-Sandboxen
  • Verschlüsselte Backups an einem Ort, den kein AI-Agent erreichen kann
  • AI Agents haben nur Zugriff auf dedizierte Email-Konten, Kalender und Laufwerke
  • Niemals den Haupt-Google-Account oder primäres Microsoft 365 mit AI-Agents verbinden
  • Separate Browser für AI Plugins
  • Keine lokalen Server in Produktionsnetzwerken AI-Assistenten niemals mit Firewall-Regeln spielen lassen
  • Ein separater Systembenutzer für alle Programmierexperimente Regelmässiges Aufräumen dieses Sandbox-Bereichs
  • Keine Port-Freigaben nach aussen für experimentelle Services Keine Passwort-Manager in AI-genutzten Browser-Profilen
  • Niemals API-Keys, Tokens oder Passwörter in Klartext im Code
  • Rotiere API-Keys regelmässig – besonders wenn sie in AI-generiertem Code verwendet wurden
  • Prüfe generierten Code immer auf hartcodierte Credentials Regelmässige Backups – vor allem vor grösseren AI-gesteuerten Änderungen
  • Gib AI-Agents nur die Berechtigungen, die sie wirklich brauchen

Fazit: Convenience ist der Feind von Security

Sam Altman hat recht: Die Bequemlichkeit dieser Tools ist so verlockend, dass wir dazu neigen, alle Vorsicht über Bord zu werfen. Aber "YOLO" ist keine Security-Strategie.

Vibe Coding ist grossartig. Aber vibe responsibly.

Referenzen

The Register: Clawdbot becomes Moltbot, but can’t shed security concerns https://www.theregister.com/2026/01/27/clawdbot_moltbot_security_concerns/

The Decoder: OpenAI CEO Altman admits he broke his own AI security rule after just two hours https://the-decoder.com/openai-ceo-altman-admits-he-broke-his-own-ai-security-rule-after-just-two-hours-says-were-all-going-yolo/

Redaktioneller Hinweis von GObugfree

Aus Sicht des Vulnerability Managements und der Triage beobachten wir bereits eine zunehmende Anzahl von KI-generierten Schwachstellenmeldungen. Umso wichtiger ist es, Effizienz und Qualität in Einklang zu bringen und sicherzustellen, dass Findings valide, reproduzierbar und sicherheitsrelevant sind. Ein verantwortungsvoller Umgang mit KI betrifft nicht nur das Coding, sondern auch die Sicherheitsforschung selbst.