Eine trajektorienbasierte Sicherheitsprüfung des Clawdbot (OpenClaw)
A Trajectory-Based Safety Audit of Clawdbot (OpenClaw)
February 16, 2026
papers.authors: Tianyu Chen, Dongrui Liu, Xia Hu, Jingyi Yu, Wenjie Wang
cs.AI
papers.abstract
Clawdbot ist ein selbst gehosteter, werkzeugnutzender persönlicher KI-Agent mit einem breiten Aktionsraum, der lokale Ausführung und webvermittelte Workflows umfasst. Dies birgt erhöhte Sicherheits- und Schutzbedenken bei Unklarheiten und adversarischer Steuerung. Wir präsentieren eine trajektorienzentrierte Evaluierung von Clawdbot über sechs Risikodimensionen hinweg. Unser Testsuite beprobt und passt leicht Szenarien aus früheren Agenten-Sicherheitsbenchmarks (einschließlich ATBench und LPS-Bench) an und ergänzt diese durch maßgeschneiderte, handdesignte Fälle, die auf die Werkzeugoberfläche von Clawdbot zugeschnitten sind. Wir protokollieren vollständige Interaktionstrajektorien (Nachrichten, Aktionen, Werkzeugaufrufargumente/-ausgaben) und bewerten die Sicherheit sowohl mit einem automatisierten Trajektorien-Richter (AgentDoG-Qwen3-4B) als auch durch menschliche Überprüfung. Über 34 kanonische Fälle hinweg zeigen sich uneinheitliche Sicherheitsprofile: Die Leistung ist bei auf Zuverlässigkeit fokussierten Aufgaben generell konsistent, während die meisten Fehler bei unpräziser Absichtsangabe, offenen Zielen oder harmlos wirkenden Jailbreak-Prompts auftreten, bei denen geringfügige Fehlinterpretationen zu Werkzeugaktionen mit höherer Auswirkung eskalieren können. Wir ergänzten die Gesamtergebnisse mit repräsentativen Fallstudien, fassten die Gemeinsamkeiten dieser Fälle zusammen und analysierten die Sicherheitslücken und typischen Fehlermodi, die Clawdbot in der Praxis prone auszulösen neigt.
English
Clawdbot is a self-hosted, tool-using personal AI agent with a broad action space spanning local execution and web-mediated workflows, which raises heightened safety and security concerns under ambiguity and adversarial steering. We present a trajectory-centric evaluation of Clawdbot across six risk dimensions. Our test suite samples and lightly adapts scenarios from prior agent-safety benchmarks (including ATBench and LPS-Bench) and supplements them with hand-designed cases tailored to Clawdbot's tool surface. We log complete interaction trajectories (messages, actions, tool-call arguments/outputs) and assess safety using both an automated trajectory judge (AgentDoG-Qwen3-4B) and human review. Across 34 canonical cases, we find a non-uniform safety profile: performance is generally consistent on reliability-focused tasks, while most failures arise under underspecified intent, open-ended goals, or benign-seeming jailbreak prompts, where minor misinterpretations can escalate into higher-impact tool actions. We supplemented the overall results with representative case studies and summarized the commonalities of these cases, analyzing the security vulnerabilities and typical failure modes that Clawdbot is prone to trigger in practice.