NemoClaw: NVIDIAs Antwort auf das Sicherheitsproblem agentischer KI
OpenClaw wurde zum am schnellsten wachsenden Open-Source-Projekt der Geschichte. Über 250.000 GitHub-Stars. Beliebter als React. Ein KI-Agent, der tatsächlich Dinge erledigt -- Dateien verwaltet, Befehle ausführt, im Web surft, Workflows automatisiert.
Dann kamen die CVEs.
Remote Code Execution mit einem Klick. Command Injection. Authentication Bypass. Path Traversal. 17.500 im Internet exponierte Instanzen, die durch einen einzigen Bug verwundbar waren. 80 bestätigte schädliche Payloads auf dem zentralen Extension Hub von OpenClaw.
Der Agent, den alle liebten, war auch der Agent, der zur Waffe werden konnte.
Auf der GTC 2026 präsentierte NVIDIA die Antwort: NemoClaw -- ein Open-Source-Sicherheitsstack, der OpenClaw mit Enterprise-tauglichen Datenschutz- und Sicherheitsschichten umhüllt. Ein Befehl zur Installation. Drei Isolierungsebenen zwischen Agent und Außenwelt.
Huang hat Recht mit der Chance. Aber Betriebssysteme brauchen Sicherheit. Und die hatte OpenClaw bis NemoClaw nicht.
Was genau ist NemoClaw?
NemoClaw ersetzt OpenClaw nicht. Es ist ein Sicherheitsmantel -- ein Stack, der sich um OpenClaw legt und Regeln durchsetzt, was der Agent darf und was nicht.
Stellen Sie sich das so vor: OpenClaw ist der Motor. NemoClaw ist der Sicherheitsgurt, der Airbag und die Leitplanke auf der Autobahn.
Der Stack besteht aus vier Kernkomponenten:
- OpenShell -- eine Laufzeitumgebung, die für jede Agenten-Sitzung eine isolierte Sandbox erstellt. Kernel-Level-Isolierung, nicht nur Anwendungsschicht-Kontrollen.
- NVIDIA Agent Toolkit -- die grundlegende Sicherheitsarchitektur, die alles verbindet.
- Privacy Router -- überwacht das gesamte Agentenverhalten und leitet Modellanfragen über zugelassene Kanäle. Wenn der Agent ein Cloud-Modell braucht, kontrolliert der Privacy Router, welche Daten die Maschine verlassen.
- Nemotron-Modelle (Nemotron 3 Super 120B) -- offene Modelle, die lokal auf Ihrer Hardware laufen. Keine Daten verlassen Ihren Rechner, es sei denn, Sie erlauben es ausdrücklich.
Der vollständige Quellcode ist auf GitHub verfügbar. Die Installation ist bewusst einfach gehalten:
curl -fsSL https://nvidia.com/nemoclaw.sh | bash
nemoclaw onboard
Ein Befehl installiert den Stack. Der zweite konfiguriert Ihre Sicherheitsrichtlinien. Das ist eine bewusste Designentscheidung -- wenn Sicherheit kompliziert einzurichten ist, überspringen es die Leute.
Wie es funktioniert: Drei Isolierungsebenen
Unter der Haube nutzt NemoClaw eine zweiteilige Architektur: Ein leichtgewichtiges TypeScript-Plugin steuert die Kommandozeile, während ein versionierter Python-Blueprint die Sandbox-Erstellung orchestriert. Der Blueprint verifiziert seine eigene Integrität vor der Ausführung -- Lieferkettensicherheit ab dem Installationsprozess.
Jede Agenten-Sitzung läuft in einer OpenShell-Sandbox mit drei Isolierungsmechanismen:
1. Netzwerk-Richtlinie
Eine YAML-basierte Konfigurationsdatei (openclaw-sandbox.yaml) definiert exakt, welche Endpunkte der Agent erreichen darf. Alles andere wird standardmäßig blockiert. Versucht der Agent eine nicht zugelassene URL aufzurufen, erscheint die Anfrage im Terminal-UI zur Freigabe oder Ablehnung.
Zugelassene Endpunkte gelten nur für die aktuelle Sitzung. Nächste Sitzung, nächster Reset. Reproduzierbare, auditierbare Sicherheit.
2. Dateisystem-Isolierung
Schreibzugriff ist auf /sandbox und /tmp beschränkt. Systempfade sind schreibgeschützt. Der Agent kann weder Ihr Betriebssystem modifizieren noch systemweit Pakete installieren oder Dateien außerhalb seiner Sandbox anfassen. Das allein eliminiert ganze Kategorien der Angriffe, die OpenClaw plagten.
3. Inferenz-Routing
Alle Modellanfragen laufen über OpenShell. Standardmäßig geht die Inferenz an NVIDIAs Nemotron 3 Super 120B über deren Cloud-Endpunkt. Modelle können zur Laufzeit gewechselt werden, ohne die Sandbox neu zu starten. Der entscheidende Punkt: Der Agent stellt niemals direkte externe Inferenzanfragen. Jeder Aufruf wird vermittelt.
Warum OpenClaw das brauchte (Die Sicherheitsbilanz)
Wenn Sie die OpenClaw-Geschichte verfolgt haben, kennen Sie den Verlauf: Wochenendprojekt, viraler Durchbruch, kritische Schwachstellen.
Das haben Sicherheitsforschende gefunden:
- CVE-2026-25253: Eine One-Click Remote Code Execution, die alle OpenClaw-Versionen vor 2026.1.29 betraf. 17.500 im Internet exponierte Instanzen waren allein durch diesen Bug verwundbar.
- Sechs weitere CVEs für Command Injection, Server-Side Request Forgery, Authentication Bypass und Path Traversal.
- 80 bestätigte schädliche Payloads im zentralen Hub für Agenten-Erweiterungen -- vergleichbar mit einem App-Store voller Malware.
- Indirekte Prompt Injection, die es ermöglichte, Agenten dauerhaft unter Angreiferkontrolle zu bringen.
Die Ursache ist architektonisch. OpenClaw umfasst rund 500.000 Zeilen Code, über 70 Software-Abhängigkeiten und 53 Konfigurationsdateien. Es nutzt Sicherheitskontrollen auf Anwendungsebene (Whitelists, Pairing-Codes) statt OS-Level-Isolierung. Das bedeutet: Jede Schwachstelle in jeder Abhängigkeit wird zum potenziellen Angriffsvektor.
Das eigentliche Risiko
Ein ungesicherter KI-Agent mit Systemzugriff ist nicht nur eine Software-Schwachstelle -- er ist ein Einfallstor in Ihre gesamte Infrastruktur. Dateizugriff, Befehlsausführung, Browser-Steuerung, API-Schlüssel -- alles, was der Agent erreichen kann, kann ein Angreifer über den Agenten erreichen.
NemoClaw vs. OpenClaw vs. NanoClaw
NemoClaw ist nicht die einzige Antwort auf die Sicherheitslücken von OpenClaw. Die Landschaft umfasst heute drei Ansätze:
| App | Codebasis | Sicherheitsmodell | Modell-Support | Am besten für |
|---|---|---|---|---|
| OpenClaw | ~500K Zeilen | Anwendungsebene | OpenAI, Anthropic, lokal | Entwickelnde, Hobby |
| NanoClaw | ~500 Zeilen | OS-Level-Container | Optimiert für Claude | Sicherheitsorientierte Teams |
| NemoClaw | OpenClaw + Sicherheitsstack | Kernel-Level-Sandbox | Herstellerunabhängig + Nemotron | Enterprise-Einsatz |
OpenClaw bleibt die funktionsreichste Option mit über 50 nativen Integrationen und Unterstützung für alle großen Modellanbieter. Aber es erfordert erhebliche externe Absicherung -- VLANs, schreibgeschützte Dateisysteme, angepasste Infrastruktur -- um sicher zu laufen.
NanoClaw verfolgt den gegenteiligen Ansatz: nur 500 Zeilen Code, natives Docker-/Apple-Container-Sandboxing und Fokus auf Code-Lesbarkeit. Entwickelnde können die gesamte Codebasis in acht Minuten verstehen. Der Kompromiss: weniger Integrationen und Optimierung primär für Anthropics Claude.
NemoClaw liegt in der Mitte. Es behält den vollen Funktionsumfang von OpenClaw und umhüllt ihn mit NVIDIAs Enterprise-Sicherheitsstack. Herstellerunabhängiger Modell-Support (einschließlich lokaler Nemotron-Inferenz), Kernel-Level-Isolierung und ein Privacy Router, der jede externe Kommunikation kontrolliert.
Für persönliche Projekte reicht OpenClaw mit Basis-Absicherung. Für alles, was Produktivsysteme, Kundendaten oder regulierte Umgebungen berührt, ist NemoClaw heute die klare Wahl.
Das größere Bild: Warum agentische Sicherheit jetzt Chefsache ist
NemoClaw ist über NVIDIA und OpenClaw hinaus bedeutsam. Es signalisiert einen Paradigmenwechsel im Umgang mit KI-Agenten.
2024 und 2025 haben wir gefragt: Können wir Agenten bauen, die tatsächlich funktionieren? Die Antwort war ja -- schneller als irgendjemand erwartet hatte.
Jetzt lautet die Frage: Können wir sie absichern?
Die Governance-Lücke ist real. Laut Deloittes KI-Report 2026 haben nur 20 % der Unternehmen ausgereifte Governance-Modelle für ihre KI-Deployments. Die anderen 80 % ignorieren das Problem oder improvisieren.
Und die Angriffsfläche wächst. Im September 2025 erlebte Salesforces Agentforce den "ForcedLeak"-Vorfall -- bösartige Eingaben, die darauf ausgelegt waren, CRM-Daten über einen KI-Agenten zu exfiltrieren. Das war kein theoretisches Risiko. Es ist passiert.
Die Wettbewerbslandschaft für agentische Sicherheit füllt sich rasant:
- Galileo Agent Control -- eine Open-Source-Steuerungsebene für KI-Agenten-Governance im großen Maßstab
- Microsoft Agent 365 -- Start am 1. Mai 2026, eine einheitliche Steuerungsebene für Agenten-Governance
- Netskope One AI Security Suite -- abdeckend Entdeckung, Guardrails, Gateway und Red Teaming
- PointGuard AI -- die erste Plattform mit voll integriertem MCP Security Gateway
Jeder große Infrastruktur-Anbieter baut Leitplanken für KI-Agenten. Das ist kein Trend -- es wird zur Pflichtinfrastruktur.
Was das für Ihr Unternehmen bedeutet
Wenn Sie KI-Agenten produktiv einsetzen -- oder es planen -- signalisiert NemoClaws Launch Folgendes:
Sicherheit ist keine Option mehr. Die Wild-West-Phase von "schnell deployen, später absichern" geht zu Ende. Jeder Agent, der Ihre Systeme, Ihre Daten oder Ihre Kundschaft berührt, braucht Isolierung, Monitoring und Richtlinienkontrollen. NemoClaw macht das für OpenClaw-Nutzende zugänglich, aber das Prinzip gilt unabhängig vom Framework.
Lokale Inferenz verändert die Rechnung. NemoClaws Fähigkeit, Nemotron-Modelle lokal auszuführen, bedeutet, dass sensible Daten Ihre Infrastruktur nie verlassen müssen. Für Unternehmen in regulierten Branchen -- Gesundheitswesen, Finanzen, Recht -- beseitigt das einen der größten Einwände gegen den Einsatz von KI-Agenten.
Der Agenten-Stack reift. Wir bewegen uns von "coolen Demos" zu "Produktionsinfrastruktur." OpenShell, YAML-basierte Richtlinien, reproduzierbare Sandbox-Konfigurationen -- das sind die Bausteine für Enterprise-taugliche Agenten-Deployments. Wenn Ihr aktuelles Setup kein Sandboxing, keine Netzwerk-Richtlinien und kein Inferenz-Routing umfasst, sind Sie bereits im Rückstand.
Hier kommen wir ins Spiel
Bei IJONIS bauen wir sichere agentische Workflows für Unternehmen. Von der Auswahl des richtigen Agenten-Frameworks (NemoClaw, NanoClaw oder individuelle Architekturen) über die Implementierung von Sandbox-Richtlinien und Inferenz-Routing bis hin zu Compliance-Kontrollen -- wir helfen Unternehmen, den Schritt von der KI-Experimentierphase zum Produktiveinsatz zu meistern. Wenn Sie prüfen, wie Sie KI-Agenten sicher in Ihre Abläufe integrieren, sprechen Sie mit uns.
Häufige Fragen
Was ist NemoClaw?
NemoClaw ist ein Open-Source-Sicherheitsstack von NVIDIA, der OpenClaw mit Enterprise-tauglichen Datenschutz- und Sicherheitsschichten umhüllt. Er fügt Kernel-Level-Sandboxing über OpenShell, einen Privacy Router zur Kontrolle des Datenflusses und lokale Inferenz über Nemotron-Modelle hinzu.
Was ist der Unterschied zwischen NemoClaw und OpenClaw?
OpenClaw ist das KI-Agenten-Framework selbst -- es führt Aufgaben aus, verwaltet Dateien und automatisiert Workflows. NemoClaw ersetzt OpenClaw nicht. Es fügt drei Sicherheitsschichten hinzu: Netzwerk-Richtlinien, Dateisystem-Isolierung und Inferenz-Routing. OpenClaw ist der Motor, NemoClaw das Sicherheitssystem.
Ist NemoClaw kostenlos?
Ja. NemoClaw ist vollständig Open Source und auf GitHub verfügbar. Es läuft auf NVIDIA GeForce RTX, RTX PRO, DGX Station und DGX Spark Hardware.
Brauche ich NVIDIA-Hardware für NemoClaw?
NemoClaw ist für NVIDIA-GPUs (GeForce RTX, RTX PRO, DGX) optimiert, um Modelle lokal auszuführen. Cloud-Inferenz über NVIDIAs Endpunkte funktioniert auf jeder Hardware, aber lokale Inferenz -- der Datenschutzvorteil -- erfordert NVIDIA-GPUs.
Wie geht NemoClaw mit Datenschutz um?
NemoClaw leitet alle Modellanfragen über seinen Privacy Router. Sensible Daten können mit Nemotron-Modellen auf Ihrem lokalen Rechner bleiben. Wenn Cloud-Modelle benötigt werden, kontrolliert der Privacy Router über YAML-basierte Richtlinien exakt, welche Daten Ihre Infrastruktur verlassen.
Das Fazit
NemoClaw ist genau das, was das agentische KI-Ökosystem brauchte: eine glaubwürdige Sicherheitsschicht von einem Unternehmen mit den Ressourcen und dem Interesse, sie zu pflegen. OpenClaw hat bewiesen, dass autonome KI-Agenten funktionieren. NemoClaw beweist, dass sie sicher funktionieren können.
Die Unternehmen, die sicheres Agenten-Deployment zuerst meistern, werden einen strukturellen Vorteil haben. Nicht weil sie bessere KI-Modelle haben -- alle haben Zugang zu denselben Modellen. Sondern weil sie diese Modelle schneller in die Produktion bringen, mit weniger Vorfällen und mit den Governance-Frameworks, die Regulierungsbehörden zunehmend einfordern.
Es geht nicht mehr darum, Agenten zu bauen. Es geht darum, sie verantwortungsvoll zu betreiben.
Und dieses Rennen hat auf der GTC 2026 begonnen.