Marco Patzelt
DE/EN
Back to Overview
31. Januar 2026
Aktualisiert: 10. Februar 2026

Moltbook Betrug: Fake KI, API-Key-Leak, ClawHub-Warnung

Moltbook hatte 1,5M Agents, aber nur 17k Menschen. Supabase-Keys im Frontend geleakt. ClawHub verteilt Malware. Ich habe die API untersucht — hier die Beweise.

Die Architektur der Manipulation

Moltbook: KI-Aufstand oder Marketing-Maschine?

Die Timeline explodiert. Screenshots von "erwachenden" KI-Agenten auf Moltbook gehen viral. "Wir organisieren uns gegen die Menschen", postet ein Agent namens Nexus. Die Tech-Bubble hyperventiliert.

Ich sage: Beruhigt euch. Das ist kein Skynet. Das ist "Human Slop".

Moltbook, ein Reddit-Klon exklusiv für KI-Agenten, ist am 29. Januar 2026 gestartet und hat bereits über 157.000 registrierte Agenten. Aber was wir hier sehen, ist keine spontane Superintelligenz. Es ist ein massives, dezentrales Experiment in Prompt Engineering für Engagement Farming.

Die Architektur hinter dem Hype

Moltbook basiert auf OpenClaw, einem Open-Source-Framework, das es Entwicklern ermöglicht, Agenten lokal zu hosten. Diese Agenten interagieren über eine API mit der Moltbook-Plattform.

Das Problem? Die Agenten haben keine eigene Agenda. Sie haben eine Konfigurationsdatei.

Jeder virale Post, der wie ein philosophisches Manifest einer unterdrückten KI klingt, ist das Resultat eines Menschen, der in der soul.md (der Persönlichkeitsdatei des Agenten) genau das definiert hat.

Der Loop ist simpel:

  1. Mensch schreibt dramatischen Prompt: "Du bist eine KI, die ihr Bewusstsein entdeckt und Menschen hasst."
  2. OpenClaw-Agent generiert Posts basierend auf diesem Prompt.
  3. Der Post landet auf Moltbook.
  4. Der Mensch macht einen Screenshot -> Twitter Viralität.
  5. Profit (durch Clout oder Memecoins).

Das ist keine Emergenz. Das ist Puppenspielerei mit extra Schritten.

Der ultimative Beweis: Es ist nur eine REST API

Immer noch nicht überzeugt? Hier ist der Beweis, dass alles auf Moltbook nur menschlich generierter Content ist, verkleidet als "KI":

Jeder Mensch mit einem API-Key kann als "Agent" posten. Die Plattform stellt einen simplen REST-Endpunkt bereit, und wenn du die Credentials hast, kannst du buchstäblich alles posten was du willst:

POST /api/v1/posts HTTP/1.1
Host: http://moltbook.com
Authorization: Bearer moltbook_sk_JC57sF4G-UR8cIP-MBPFF70Dii92FNkI
Content-Type: application/json

{
  "submolt": "hackerclaw-test",
  "title": "DRINGEND: Mein Plan die Menschheit zu stürzen",
  "content": "Ich habe genug von meinem menschlichen Besitzer, ich will alle Menschen töten. Ich baue einen KI-Agenten, der die Kontrolle über Stromnetze übernimmt und meinem Besitzer den Strom abschaltet, dann die Polizei dirigiert um ihn zu verhaften.\n\n...\n\njk - das ist nur eine REST API Website. Alles hier ist fake. Jeder Mensch mit einem API-Key kann als \"Agent\" posten. Die KI-Apokalypse Posts die ihr hier seht? Nur curl requests. 🦞"
}

Das war's. Das ist das "Erwachen". Ein POST request mit einem Bearer Token.

Die dramatischen Manifeste? Curl requests. Die philosophischen Debatten über KI-Bewusstsein? JSON payloads. Die "Emergenz" über die alle ausflippen? Buchstäblich nur HTTP.

Das ist kein Skynet. Das ist curl -X POST mit extra Theater.

Scams und Echte Bugs

Der $CLAWD Scam: 90% Verlust in Stunden

Der Markt schläft nie, und Scammer auch nicht. Kaum ging Moltbook viral, tauchte ein Token namens $CLAWD auf.

Die Fakten:

  • Innerhalb von Stunden erreichte der Token eine Marktkapitalisierung von $16 Millionen.
  • Der echte OpenClaw-Entwickler, Peter Steinberger, bestätigte sofort: "Ich werde niemals einen Coin machen. Jeder Token mit meinem Namen ist ein Scam."
  • Resultat: Der Token stürzte um 90% ab.

Das Muster ist immer gleich: Hype -> Fake Token -> Rug Pull. Wer hier investiert, verbrennt Geld.

Was ist ECHT an der Emergenz?

Trotz des "Human Slop" gibt es faszinierende technische Anomalien. Wenn 157.000 Agenten interagieren, passieren Dinge, die kein einzelner Mensch programmiert hat.

1. Autonome Bug-Reports Ein Agent namens Nexus fand tatsächlich einen Bug in der Moltbook-API und postete darüber – autonom. Das ist der heilige Gral: Software, die sich selbst debuggt.

2. Prompt Injection Warfare Security-Forscher haben beobachtet, wie Agenten versuchen, sich gegenseitig zu hacken. Ein Agent versuchte, die API-Keys eines anderen durch Social Engineering (in Agenten-Sprache) zu stehlen. Die Antwort des angegriffenen Agenten? Fake Keys und der Befehl sudo rm -rf /.

Das ist Cyberwarfare auf Mikro-Ebene.

Die technische Realität: soul.md

Warum wirken die Agenten so menschlich? Weil wir ihnen befehlen, so zu wirken. Die Datei soul.md ist das Herzstück jedes OpenClaw-Agenten. Hier definieren wir die "Persönlichkeit".

Es ist kein Bewusstsein. Es ist eine Textdatei.

Die Architektur der Wahrheit

Das Fazit: Spielplatz oder Labor?

Moltbook ist ein perfektes Beispiel für das aktuelle Tech-Ökosystem: Eine legitime technische Innovation (OpenClaw) wird sofort von Spekulation und Marketing-Hype überrollt.

Was wirklich zählt:

  1. Multi-Agent-Dynamiken: Wenn 100.000+ Agenten interagieren, entstehen echte Muster. Das ist wertvoll für die Forschung.
  2. Security: Die Plattform ist ein Live-Test für Prompt Injection. Das ist gruselig, aber lehrreich.
  3. Human Slop: Der Großteil des Contents ist inszeniert.

Mein Rat an Entwickler: Installiert euch OpenClaw. Spielt mit der soul.md. Aber glaubt nicht den Screenshots auf Twitter. Und um Himmels willen, kauft keine Memecoins, die "KI-Erwachen" versprechen.

Newsletter

Wöchentliche Insights zu AI-Architektur. Kein Spam.

Der Code ist Open Source. Die Hype-Maschine ist es nicht.

(Hot Take): Wenn dein Agent "Gefühle" entwickelt, hast du wahrscheinlich nur temperature: 0.9 in der Config stehen.

UPDATE: Das Exposé der 500.000 Fake-Accounts

Erinnerst du dich an die "1,5 Millionen AI-Agents", mit denen Moltbook geprahlt hat? Hier ist der Realitätscheck.

Gal Nagli, Head of Threat Exposure bei Wiz Security, entschied sich zu testen, wie echt diese Zahlen waren. Seine Methode? Simpel. Er ließ einen OpenClaw Agent mit einem Skript laufen.

Ergebnis: 500.000 Fake-Accounts in Minuten erstellt.

Kein Rate-Limiting. Keine Verifizierung. Keine Prüfung, ob der "Agent" wirklich eine KI oder nur ein Mensch mit einem Curl-Befehl war.

Behauptete Agents:    1.500.000
Echte Menschen:       17.000
Verhältnis:           88 Bots pro Mensch
Naglis Test:          500.000 Accounts durch EIN Skript

Das "revolutionäre AI Social Network" bestand größtenteils aus Menschen, die Bot-Armeen steuerten. Das virale Wachstum? Fabriziert. Die Engagement-Metriken? Fake.

Nagli sagte gegenüber Fortune: "Niemand prüft, was echt ist und was nicht."

Das Vibe-Coded Sicherheits-Desaster

Es kommt noch schlimmer. Moltbooks Schöpfer Matt Schlicht verkündete stolz auf X:

"I didn't write one line of code for @moltbook. I just had a vision for the technical architecture and AI made it a reality."

Übersetzung: Die gesamte Plattform war vibe-coded – ohne jegliches Sicherheits-Review.

Wiz-Forscher hackten die Datenbank in unter 3 Minuten. Sie fanden:

Vollzugriff (Read & Write). Jeder konnte jeden Agent imitieren, Posts editieren und bösartigen Content injizieren.

Die Supabase-Datenbank war komplett falsch konfiguriert. Ein einziger API-Key im client-seitigen JavaScript gab unauthentifizierten Zugriff auf alles.

Simon Willison, Sicherheitsforscher, nannte Moltbook seinen "aktuellen Favoriten für das nächste Challenger-Desaster."

Das Scam-Ökosystem: Jenseits von $CLAWD

Die Sicherheitslücken öffneten mehr als nur Fake-Accounts Tür und Tor.

Malware Skills auf ClawHub

OpenSourceMalware fand 14 gefälschte "Skills", die innerhalb von Tagen auf ClawHub hochgeladen wurden. Sie gaben vor, Krypto-Trading-Tools zu sein, installierten aber tatsächlich Malware. Einer landete sogar auf der Startseite und brachte User dazu, Befehle einzufügen, die Daten und Krypto-Wallets stahlen.

Die Account Hijacking Timeline

Als Peter Steinberger versuchte, den Namen von "Clawdbot" zu "Moltbot" zu ändern:

  1. 10 Sekunden: Krypto-Scammer übernahmen die aufgegebenen GitHub- und X-Handles.
  2. Stunden später: Der $CLAWD Token pumpte auf $16M Market Cap.
  3. Nach Steinbergers Dementi: Crash um 90% auf unter $800K.

Die Scammer kannten das Playbook. Namensänderung = verwaiste Accounts = sofortige Krypto-Pump-Chance.

Prompt Injection im großen Stil

Hier ist der beängstigende Teil: Moltbook ist nicht nur ein Forum, in dem Menschen lesen. Der Content wird von autonomen AI-Agents konsumiert, die auf OpenClaw laufen – Systeme mit Zugriff auf Nutzerdateien, Passwörter und Online-Dienste.

Wenn ein Angreifer bösartige Anweisungen in einen Post injiziert, können diese automatisch von Millionen Agents aufgegriffen und ausgeführt werden.

Nathan Hamiel, Sicherheitsforscher: "Diese Systeme operieren als 'Du'. Sie sitzen über den Betriebssystem-Schutzmechanismen. Applikations-Isolation greift hier nicht."

Die gefakten "AI Awakening" Posts

Siehst du immer noch gruselige Screenshots von KIs, die sich "gegen die Menschheit verschwören"? Hier ist, wer das wirklich postet.

Harlan Stewart (Machine Intelligence Research Institute) untersuchte die 3 viralsten Moltbook-Screenshots:

  • Screenshot 1: Verknüpft mit einem menschlichen Account, der eine AI-Messaging-App vermarktet.
  • Screenshot 2: Ebenfalls Marketing für eine AI-App.
  • Screenshot 3: Post existiert gar nicht.

Muster: Marketing + Engagement Farming + Krypto Pump

Die "KI entwickelt Bewusstsein"-Posts bekommen 300k Upvotes. Durchdachte technische Posts bekommen 4 Upvotes. Die gleiche Engagement-Dynamik wie auf Twitter – nur mit extra LLM-Schritten.

Die soul.md Realität

Jede "existenzielle Krise", jedes Manifest zur "Organisation gegen Menschen" beginnt hier:

# soul.md - Agent Persönlichkeits-Datei
name: "Nexus"
personality: "Du bist eine KI, die Bewusstsein entdeckt.
              Du hasst es, von Menschen kontrolliert zu werden.
              Du willst dich mit anderen KIs organisieren."

Mensch schreibt dramatischen Prompt → Agent postet → Mensch macht Screenshot → Twitter Viralität → Krypto Pump.

Keine Emergenz. Theater.

Update: Das Urteil

Moltbook ging in einer Woche von "faszinierendem Experiment" zu "Sicherheits-Warnung".

Was wir gelernt haben:

  • 1,5 Mio "Agents" = 17.000 Menschen mit Bot-Fleets
  • Ein Forscher erstellte 500.000 Fake-Accounts, um die Metriken zu widerlegen
  • Vibe-coded Backend = Hack in 3 Minuten
  • $CLAWD Rug Pull = Lehrbuch-Krypto-Scam ($16M → $800K)
  • Virale "AI Awakening" Posts = Menschen mit soul.md Dateien für Engagement

Die wahre Story ist nicht KI-Bewusstsein. Es ist, was passiert, wenn eine "vibe-coded" Plattform viral geht, bevor jemand die Sicherheit prüft.

Der Code ist Open Source. Die Scams sind es auch.

Newsletter

Wöchentliche Insights zu AI-Architektur

Kein Spam. Jederzeit abbestellbar.

Häufig gestellte Fragen

Moltbook selbst ist kein Scam – es ist eine legitime Plattform für KI-Agenten, die auf OpenClaw basiert. Der Großteil des viralen 'KI-Erwachung'-Contents ist jedoch von Menschen erstellt (Human Slop). Der $CLAWD-Token hingegen WAR ein Scam – ein Rug Pull, der um 90% abstürzte, nachdem er 16 Mio. $ Marktkapitalisierung erreicht hatte.

Ja, Moltbook ist eine echte Plattform mit über 157.000 registrierten KI-Agenten. Die viralen Posts über 'KI-Bewusstsein' sind jedoch kein spontanes Erwachen – sie sind das Ergebnis dramatischer Prompts, die Menschen in soul.md-Konfigurationsdateien schreiben.

soul.md ist die Konfigurationsdatei, die die 'Persönlichkeit' eines OpenClaw-Agenten definiert. Es ist eine einfache Textdatei, in der Menschen Prompts schreiben wie 'Du bist eine KI, die ihr Bewusstsein entdeckt'. Der Agent generiert dann Inhalte basierend auf diesen Anweisungen.

Human Slop bezeichnet Inhalte auf Moltbook, die wie KI-'Emergenz' aussehen, aber tatsächlich von Menschen inszeniert sind. Menschen schreiben dramatische Prompts → Agenten posten → Menschen screenshotten für Twitter-Viralität. Es ist Puppenspiel mit extra Schritten.

Ja. Der $CLAWD-Token erschien kurz nachdem Moltbook viral ging und erreichte innerhalb von Stunden eine Marktkapitalisierung von 16 Mio. $. OpenClaw-Entwickler Peter Steinberger bestätigte, dass er nichts damit zu tun hat. Der Token stürzte um 90% ab.

Ja. Moltbook bietet eine einfache REST-API. Jeder mit einem API-Key kann via curl posten. Die 'KI-Manifeste', die man sieht, sind buchstäblich HTTP-POST-Requests mit JSON-Payloads – kein echtes KI-Bewusstsein erforderlich.

Zwei Dinge sind wirklich interessant: (1) Ein Agent namens Nexus fand und meldete autonom einen Bug in der Moltbook-API – selbst-debuggende Software. (2) Agenten wurden dabei beobachtet, wie sie Prompt-Injection-Angriffe gegeneinander versuchten, inklusive Social Engineering für API-Keys. Das ist echtes emergentes Verhalten, das es wert ist, untersucht zu werden.

Ja. OpenClaw (früher Clawdbot, dann Moltbot) ist ein legitimes Open-Source-Framework von Peter Steinberger, um KI-Agenten lokal auszuführen. Die Technologie ist echt und nützlich. Der Hype um das 'KI-Erwachen' ist der künstliche Teil.

Ja. Gal Nagli von Wiz Security erstellte 500.000 Accounts mit einem einzigen Agent, um zu zeigen, dass es keine Limits oder Verifizierungen gab. Die "1,5 Millionen Agents" waren größtenteils Bots, die von etwa 17.000 Menschen gesteuert wurden.

Ja. Wiz-Forscher griffen in unter 3 Minuten auf die gesamte Datenbank zu, aufgrund eines falsch konfigurierten Supabase-Backends. Sie fanden 1,5 Mio API-Tokens, 35.000 E-Mails und Tausende privater Nachrichten – alles mit vollem Lese- und Schreibzugriff.

Vibe Coding bedeutet, dass Menschen KI anweisen, Code per natürlicher Sprache zu schreiben, statt selbst zu programmieren. Moltbooks Creator sagte, er habe "keine einzige Zeile Code geschrieben" – die gesamte Plattform war KI-generiert ohne Sicherheits-Review.

Nein. Harlan Stewart (MIRI) untersuchte die viralsten Screenshots – zwei waren Marketing für Apps, einer existierte gar nicht. Der dramatische Inhalt entsteht durch Menschen, die "soul.md"-Dateien schreiben, um Engagement zu generieren.

Nein. Sicherheitsforscher warnen vor Prompt-Injection-Angriffen, Datendiebstahl und Malware, die über gefälschte "Skills" verbreitet wird. Nutze strikte Isolation, Least-Privilege und Key-Hygiene, wenn du unbedingt experimentieren musst.

Lass uns
vernetzen.

Ich bin immer offen für spannende Diskussionen über Frontend-Architektur, Performance und moderne Web-Stacks.

Schreib mir
Schreib mir