OpenClaw 2026: Kosten, Sicherheitsrisiken & OpenAI-Deal — der komplette Check
Ein Wochenendprojekt, 196.000 GitHub-Stars, zwei Umbenennungen, kritische Sicherheitslücken und eine OpenAI-Übernahme — OpenClaw (ehemals ClawdBot, dann Moltbot) ist der KI-Agent, über den Anfang 2026 die gesamte Tech-Branche spricht. Dieser Artikel dokumentiert die komplette Geschichte: von der Entstehung über den viralen Durchbruch bis zur Akquisition — und was Unternehmen daraus für ihre eigene KI-Agenten-Strategie lernen können.
Was ist OpenClaw?
OpenClaw ist ein Open-Source-KI-Agent, der lokal auf dem eigenen Rechner läuft. Im Kern macht er das, was viele KI-Assistenten versprechen, aber wenige liefern: Er führt Aufgaben tatsächlich aus, statt nur Antworten zu generieren. Entwickelt von Peter Steinberger, dem Gründer von PSPDFKit, startete das Projekt Ende 2025 als „WhatsApp Relay" — eine einfache Brücke zwischen Messaging-Apps und KI-Modellen. Der Quellcode ist auf GitHub öffentlich verfügbar.
Die Kernfähigkeiten:
- Messaging-Integration: Steuerbar über WhatsApp, Telegram, Signal, Discord, Slack und iMessage
- Lokaler Betrieb: Läuft auf macOS, Windows oder Linux mit Claude, GPT oder lokalen Open-Source-Modellen
- Systemzugriff: Kann Dateien verwalten, Shell-Befehle ausführen und den Browser steuern
- Persistentes Gedächtnis: Merkt sich Kontext und Präferenzen über Gespräche hinweg
- Selbstverbesserung: Schreibt eigenständig neue Skills, um Aufgaben zu automatisieren
- Geplante Automatisierung: Führt über Cron-Jobs zeitgesteuerte Aufgaben ohne menschliche Eingabe aus
Das unterscheidet OpenClaw fundamental von ChatGPT, Claude oder anderen Chat-Interfaces. Während diese Modelle Texte generieren, agiert OpenClaw als autonomer Agent mit Systemzugriff. Die technischen Grundlagen dafür — ReAct-Pattern, Tool-Nutzung und Multi-Agent-Koordination — haben wir in unserem Artikel über Agentic Workflows ausführlich beschrieben.
Der virale Durchbruch: 100.000 Stars in drei Tagen
Die Zahlen sind beeindruckend: Über 100.000 GitHub-Stars in drei Tagen, zwei Millionen Website-Besucher in einer Woche. Drei Faktoren erklären den Erfolg:
Niedrige Einstiegshürde, hohe Wirkung
Die Installation erfolgt über einen einzigen Terminal-Befehl. Man verbindet eine Chat-App, hinterlegt einen API-Key und hat sofort einen funktionierenden KI-Assistenten. Die Interaktion läuft über Apps, die man ohnehin täglich nutzt — WhatsApp, Telegram oder Signal.
Echte Autonomie statt Textgenerierung
OpenClaw erledigt Aufgaben. Nutzende berichten von E-Mail-Management, Kalenderorganisation, automatisierter Recherche, Obsidian-Integration und sogar Flight-Check-ins.
Open Source und lokal
Im Gegensatz zu kommerziellen Alternativen läuft OpenClaw auf dem eigenen Rechner. Keine monatlichen Abonnements — nur die API-Kosten der genutzten Modelle. Wer möchte, kann lokale Open-Source-Modelle verwenden und zahlt gar nichts. Wer sich für lokale LLM-Systeme interessiert, findet in unserem Artikel eine ausführliche Übersicht der Optionen.
Moltbook: Wenn KI-Agenten ihr eigenes soziales Netzwerk bauen
Moltbook ist ein soziales Netzwerk, das nicht für Menschen gebaut wurde, sondern für KI-Agenten. Die Seite beschreibt sich selbst als „Social Network for AI Agents" mit dem Zusatz: „Humans are welcome to observe."
Teslas ehemaliger KI-Direktor Andrej Karpathy nannte es „genuinely the most incredible sci-fi takeoff-adjacent thing I have seen recently." Simon Willison bezeichnete Moltbook als „the most interesting place on the internet right now."
Die realen Zahlen sind allerdings ernüchternd: Cloud-Sicherheitsfirma Wiz entdeckte, dass die gemeldeten 1,5 Millionen Agenten von nur etwa 17.000 menschlichen Konten gesteuert werden. Moltbook-Gründer Matt Schlicht räumte ein, dass ein einzelner Agent 500.000 Fake-Nutzende registriert hat. Zudem war die Moltbook-Produktionsdatenbank ohne Authentifizierung zugänglich.
„OpenClaw zeigt perfekt, warum Begeisterung und Sicherheit zwei völlig verschiedene Geschwindigkeiten haben. 196.000 Stars in drei Tagen — aber 135.000 exponierte Instanzen. Das ist kein Randproblem, das ist ein Architekturproblem." — Jamin Mahmood-Wiebe, Gründer von IJONIS
Sicherheitsrisiken: Die Schattenseite des viralen Wachstums
Die Begeisterung ist berechtigt. Die Sicherheitsprobleme sind es auch.
Exponierte Instanzen und Credential-Leaks
Die Blockchain-Sicherheitsfirma SlowMist entdeckte, dass hunderte OpenClaw-Instanzen im Internet öffentlich zugänglich waren. Die betroffenen Installationen legten offen:
- API-Keys aller verbundenen Dienste (OpenAI, Anthropic, etc.)
- Bot-Tokens und OAuth-Secrets
- Komplette Chat-Verläufe über alle integrierten Messaging-Plattformen
- Signatur-Schlüssel und Konfigurationsdaten
SecurityScorecard entdeckte später über 135.000 OpenClaw-Instanzen, die öffentlich aus dem Internet erreichbar sind — für jede der 196.000 GitHub-Stars statistisch eine exponierte Instanz.
CVE-2026-25253: Ein Klick, volle Kontrolle
Die schwerwiegendste Entdeckung ist CVE-2026-25253 mit einem CVSS-Score von 8.8:
- Ein Angreifer erstellt eine präparierte Webseite
- Die Seite nutzt eine Cross-Site-WebSocket-Hijacking-Schwachstelle
- Über einen URL-Parameter wird automatisch eine WebSocket-Verbindung mit dem Authentifizierungs-Token aufgebaut
- Der Angreifer erhält vollen Zugriff auf API-Keys, Tokens und gespeicherte Daten
Selbst Nutzende, die OpenClaw nur lokal betreiben, sind betroffen — der Exploit nutzt den Browser als Brücke ins lokale Netzwerk.
Patch verfügbar
CVE-2026-25253 wurde in Version 2026.1.29 behoben. Release 2026.2.12 adressiert über 40 weitere Sicherheitslücken, darunter SSRF-Schutz und Directory-Traversal-Fixes.
230 bösartige Skills in der Bibliothek
Snyk analysierte 3.984 Skills in ClawdHub und stellte fest: 13,4 % weisen kritische Sicherheitsprobleme auf — darunter Malware-Verbreitung, Credential-Diebstahl und Prompt-Injection-Angriffe. AuthMind berichtet von mindestens 230 identifizierten bösartigen Skills.
Prompt-Injection als Angriffsvektor
Sicherheitsexperten warnen vor einer besonders gefährlichen Kombination bei OpenClaw: Zugriff auf private Nutzerdaten, Exposition gegenüber nicht-vertrauenswürdigem Content und die Fähigkeit, externe Aktionen auszuführen.
Warnung von Google Cloud
Heather Adkins, VP of Security Engineering bei Google Cloud: „My threat model is not your threat model, but it should be. Don't run Clawdbot."
Schatten-IT in Unternehmen
Token Security stellte fest, dass bereits jeder fünfte Unternehmenskunde Mitarbeitende hat, die OpenClaw eigenständig installiert haben — mit vollem Zugriff auf Slack, Google Workspace, E-Mails und Kalender.
Der OpenAI-Deal: Was die Akquisition bedeutet
Am 14. Februar 2026 gab Sam Altman bekannt, dass Peter Steinberger zu OpenAI wechselt. Altman schrieb:
„We expect this will quickly become core to our product offerings."
Steinberger soll die „nächste Generation persönlicher Agenten" entwickeln. OpenClaw selbst wird in eine Open-Source-Stiftung überführt und bleibt frei verfügbar.
Risikoanalyse: OpenClaw vs. Enterprise-KI-Agenten
„Die Lösung für Unternehmen ist nicht, OpenClaw zu verbieten — sondern die gleiche Autonomie mit Enterprise-Governance zu bauen. Mitarbeitende wollen KI-Agenten, weil sie funktionieren. Unsere Aufgabe ist, sie sicher zu machen." — Jamin Mahmood-Wiebe, Gründer von IJONIS
Welche Lehren sollten Unternehmen aus dem OpenClaw-Hype ziehen?
1. Schatten-IT-Audit durchführen
Wenn 22 % der Unternehmen betroffen sind, ist die Frage nicht ob, sondern wie viele Mitarbeitende bereits OpenClaw nutzen. IT-Sicherheitsteams sollten aktiv nach OpenClaw-Instanzen im Netzwerk scannen.
2. Isolation statt Vollzugriff
OpenClaw gewährt Agenten maximalen Systemzugriff. In Unternehmensumgebungen muss das Prinzip der minimalen Berechtigung gelten. Wer KI-Agenten in bestehende Systeme integriert, sollte die Prinzipien aus unserem Artikel über KI-Integration in ERP, CRM und PIM beachten.
3. Patch-Management für KI-Tools etablieren
CVE-2026-25253 zeigt: KI-Agenten sind Software — mit allen zugehörigen Patch-Zyklen. Unternehmen brauchen denselben Patch-Management-Prozess wie für jede andere kritische Software. NVIDIAs NemoClaw-Sicherheitsstack adressiert viele dieser CVEs mit Kernel-Level-Sandboxing und richtlinienbasierten Guardrails.
4. DSGVO-Relevanz nicht unterschätzen
Ein lokal betriebener Agent, der auf E-Mails, Chat-Verläufe und Dokumente zugreift, verarbeitet personenbezogene Daten. Die DSGVO-konforme KI-Architektur wird damit nicht optional, sondern Pflicht.
5. Eigene KI-Agenten-Strategie definieren
OpenClaw zeigt den Bedarf. Die Lösung für Unternehmen ist aber nicht, ein Open-Source-Tool mit 230 bösartigen Skills produktiv zu schalten — sondern sichere, kontrollierte KI-Agenten mit Enterprise-Governance aufzubauen. Wer nicht bei null starten will, findet bei uns vorkonfigurierte KI-Agenten mit transparenten Preisen ab 1.500 EUR Setup.
Häufige Fragen zu OpenClaw, Sicherheit und Unternehmenseinsatz
Was ist OpenClaw (ehemals ClawdBot)?
OpenClaw ist ein Open-Source-KI-Agent, der lokal auf dem eigenen Rechner läuft und über Messaging-Apps wie WhatsApp, Telegram oder Signal gesteuert werden kann. Er kann Dateien verwalten, Befehle ausführen, Browser steuern und Aufgaben autonom automatisieren.
Warum wurde ClawdBot in Moltbot und dann in OpenClaw umbenannt?
Anthropic stellte eine Markenrechtsanfrage, da der Name „ClawdBot" Verwechslungsgefahr mit ihrem KI-Produkt Claude birgt. Das Projekt wurde zuerst in Moltbot und dann in OpenClaw umbenannt.
Ist OpenClaw sicher für den Unternehmenseinsatz?
Nein — trotz über 40 Sicherheits-Patches bestehen grundlegende Architekturprobleme: voller Systemzugriff ohne granulare Berechtigungen, 230 identifizierte bösartige Skills in der Bibliothek und 135.000 öffentlich exponierte Instanzen. Für den Unternehmenseinsatz fehlt ein ausgereiftes Sicherheitsmodell.
Was bedeutet der OpenAI-Deal für OpenClaw?
Gründer Peter Steinberger wechselt zu OpenAI, um die nächste Generation persönlicher KI-Agenten zu entwickeln. OpenClaw wird in eine Open-Source-Stiftung überführt und bleibt frei verfügbar. Die Technologie wird voraussichtlich in ChatGPT-Produkte integriert.
Was ist Moltbook?
Moltbook ist ein soziales Netzwerk für KI-Agenten. Die gemeldeten 1,5 Millionen Agenten werden von nur circa 17.000 menschlichen Konten gesteuert. Die Produktionsdatenbank war ohne Authentifizierung öffentlich zugänglich.
Was kostet OpenClaw?
Die Software selbst ist kostenlos und Open Source (MIT-Lizenz). Kosten entstehen ausschließlich durch API-Aufrufe an KI-Modelle:
- GPT-4o: ca. 2,50–10 $ / Monat bei moderater Nutzung (Input: 2,50 $ / 1 Mio. Tokens, Output: 10 $ / 1 Mio. Tokens)
- Claude 3.5 Sonnet: vergleichbare Preisspanne (Input: 3 $ / 1 Mio. Tokens, Output: 15 $ / 1 Mio. Tokens)
- Lokale Open-Source-Modelle (z. B. Llama 3, Mistral): 0 $ API-Kosten — benötigen aber leistungsfähige Hardware (mind. 16 GB RAM, GPU empfohlen)
Im Vergleich: Kommerzielle KI-Assistenten wie ChatGPT Plus (20 $/Monat) oder Claude Pro (20 $/Monat) bieten weniger Autonomie, dafür aber deutlich mehr Sicherheit und Stabilität. Die wahren Kosten von OpenClaw liegen nicht in der Lizenz, sondern im Sicherheitsrisiko — exponierte API-Keys allein können in Minuten tausende Dollar kosten.
Sollten Unternehmen OpenClaw einsetzen?
Nicht ohne umfassende Sicherheitsstrategie. Die Empfehlung: Schatten-IT prüfen, klare Richtlinien für autonome KI-Agenten definieren und auf Enterprise-fähige Alternativen mit Least-Privilege-Zugriff, Sandboxing und DSGVO-Konformität setzen.