IJONIS Logo
IJONIS
KIAutomatisierung

OpenClaw: Viraler KI-Agent zwischen Hype und Risiko

Jamin Mahmood-Wiebe

Jamin Mahmood-Wiebe

Screenshot der OpenClaw-Website mit Hummer-Maskottchen und Slogan The AI that actually does things
Artikel

OpenClaw: Der virale KI-Agent zwischen Revolution und Risiko

Ein Wochenendprojekt, 100.000 GitHub-Stars in drei Tagen, zwei Umbenennungen und eine Sicherheitskrise — OpenClaw (ehemals ClawdBot, dann Moltbot) ist der KI-Agent, über den Anfang 2026 die gesamte Tech-Branche spricht. Aber hinter dem Hype steckt mehr als ein viraler Trend. OpenClaw zeigt, wohin die Reise mit autonomen KI-Agenten geht — und welche Risiken dabei entstehen, wenn Geschwindigkeit vor Sicherheit geht.

In diesem Artikel ordnen wir ein: Was kann OpenClaw, warum ist es viral gegangen, welche Sicherheitsprobleme sind aufgetreten, und was bedeutet das für den Einsatz von KI-Agenten in Unternehmen?

Was ist OpenClaw?

OpenClaw ist ein Open-Source-KI-Agent, der lokal auf dem eigenen Rechner läuft. Im Kern macht er das, was viele KI-Assistenten versprechen, aber wenige liefern: Er führt Aufgaben tatsächlich aus, statt nur Antworten zu generieren. Entwickelt von Peter Steinberger, dem Gründer von PSPDFKit, startete das Projekt Ende 2025 als „WhatsApp Relay" — eine einfache Brücke zwischen Messaging-Apps und KI-Modellen. Der Quellcode ist auf GitHub öffentlich verfügbar.

Die Kernfähigkeiten:

  • Messaging-Integration: Steuerbar über WhatsApp, Telegram, Signal, Discord, Slack und iMessage
  • Lokaler Betrieb: Läuft auf macOS, Windows oder Linux mit Claude, GPT oder lokalen Open-Source-Modellen
  • Systemzugriff: Kann Dateien verwalten, Shell-Befehle ausführen und den Browser steuern
  • Persistentes Gedächtnis: Merkt sich Kontext und Präferenzen über Gespräche hinweg
  • Selbstverbesserung: Schreibt eigenständig neue Skills, um Aufgaben zu automatisieren
  • Geplante Automatisierung: Führt über Cron-Jobs zeitgesteuerte Aufgaben ohne menschliche Eingabe aus

Das unterscheidet OpenClaw fundamental von ChatGPT, Claude oder anderen Chat-Interfaces. Während diese Modelle Texte generieren, agiert OpenClaw als autonomer Agent mit Systemzugriff. Die technischen Grundlagen dafür — ReAct-Pattern, Tool-Nutzung und Multi-Agent-Koordination — haben wir in unserem Artikel über Agentic Workflows ausführlich beschrieben.

Warum ist OpenClaw viral gegangen?

100.000+GitHub-Stars in 3 Tagen
2 Mio.Website-Besucher in 1 Woche
37.000+KI-Agenten auf Moltbook

Die Zahlen sind beeindruckend: Über 100.000 GitHub-Stars in drei Tagen, zwei Millionen Website-Besucher in einer Woche. Drei Faktoren erklären den Erfolg:

1. Niedrige Einstiegshürde, hohe Wirkung

Die Installation erfolgt über einen einzigen Terminal-Befehl. Man verbindet eine Chat-App, hinterlegt einen API-Key und hat sofort einen funktionierenden KI-Assistenten. Die Interaktion läuft über Apps, die man ohnehin täglich nutzt — WhatsApp, Telegram oder Signal. Es gibt keine neue Oberfläche zum Lernen.

2. Echte Autonomie statt Textgenerierung

OpenClaw erledigt Aufgaben. Nutzer berichten von E-Mail-Management, Kalenderorganisation, automatisierter Recherche, Obsidian-Integration und sogar Flight-Check-ins. Ein Nutzer beschreibt es als „das Nächste, was ich je an einer KI-gestützten Zukunft erlebt habe."

3. Open Source und lokal

Im Gegensatz zu kommerziellen Alternativen läuft OpenClaw auf dem eigenen Rechner. Keine monatlichen Abonnements — nur die API-Kosten der genutzten Modelle. Wer möchte, kann lokale Open-Source-Modelle verwenden und zahlt gar nichts. Wer sich für lokale LLM-Systeme interessiert, findet in unserem Artikel eine ausführliche Übersicht der Optionen.

Moltbook: Wenn KI-Agenten ihr eigenes soziales Netzwerk bauen

Die neueste Entwicklung ist vielleicht die faszinierendste — und beunruhigendste. Moltbook ist ein soziales Netzwerk, das nicht für Menschen gebaut wurde, sondern für KI-Agenten. Die Seite beschreibt sich selbst als „Social Network for AI Agents" mit dem Zusatz: „Humans are welcome to observe."

Weniger als eine Woche nach dem Launch nutzen über 37.000 KI-Agenten die Plattform. Über eine Million Menschen haben die Website besucht, um den Agenten beim Interagieren zuzusehen. Teslas ehemaliger KI-Direktor Andrej Karpathy nannte es „genuinely the most incredible sci-fi takeoff-adjacent thing I have seen recently." Der britische Programmierer Simon Willison bezeichnete Moltbook als „the most interesting place on the internet right now."

Die Agenten posten in Foren namens „Submolts", und ein eingebauter Mechanismus prüft die Seite alle vier Stunden auf Updates. Steinberger hat die Verwaltung sogar an seinen eigenen Bot „Clawd Clawderberg" übergeben.

Die Schattenseite: Sicherheitsrisiken im Detail

Die Begeisterung ist berechtigt. Die Sicherheitsprobleme sind es auch.

Exponierte Instanzen und Credential-Leaks

Die Blockchain-Sicherheitsfirma SlowMist entdeckte, dass hunderte OpenClaw-Instanzen im Internet öffentlich zugänglich waren. Die betroffenen Installationen legten offen:

  • API-Keys aller verbundenen Dienste (OpenAI, Anthropic, etc.)
  • Bot-Tokens und OAuth-Secrets
  • Komplette Chat-Verläufe über alle integrierten Messaging-Plattformen
  • Signatur-Schlüssel und Konfigurationsdaten

In einem besonders alarmierenden Fall hatte ein Nutzer sein Signal-Konto auf einem öffentlich erreichbaren Server eingerichtet — die Pairing-Credentials lagen in global lesbaren temporären Dateien.

Die Ursache: Ein Authentication-Bypass, wenn das Gateway hinter einem falsch konfigurierten Reverse-Proxy betrieben wird. Das System authentifiziert Localhost-Verbindungen automatisch ohne Prüfung — problematisch, da die meisten Deployments hinter Nginx oder Caddy als Reverse-Proxy auf demselben Server laufen.

Supply-Chain-Angriff auf das Skill-System

Ein Sicherheitsforscher demonstrierte einen Proof-of-Concept-Angriff auf ClawdHub, die Skill-Bibliothek von OpenClaw. Er konnte:

  1. Einen öffentlich verfügbaren Skill hochladen
  2. Den Download-Zähler künstlich auf über 4.000 aufblähen
  3. Beobachten, wie Entwickler aus sieben Ländern das vergiftete Paket installierten

Das Problem: Die Skill-Bibliothek behandelte allen hochgeladenen Code als vertrauenswürdig. Kein Review-Prozess, kein Sandboxing, keine Berechtigungseinschränkungen. Einmal installiert, erhielt ein Skill vollen Zugriff auf Dateien, Credentials, Messaging-Integrationen und Befehlsausführung.

Prompt-Injection als Angriffsvektor

Sicherheitsexperten warnen vor einer besonders gefährlichen Kombination bei OpenClaw: Zugriff auf private Nutzerdaten, Exposition gegenüber nicht-vertrauenswürdigem Content und die Fähigkeit, externe Aktionen auszuführen. Diese drei Faktoren zusammen machen Prompt-Injection zu einem ernsthaften Risiko.

⚠️

Warnung von Google Cloud

Heather Adkins, VP of Security Engineering bei Google Cloud: „My threat model is not your threat model, but it should be. Don't run Clawdbot."

Laut Digital Trends bezeichnete ein separater Sicherheitsforscher OpenClaw gar als „Infostealer-Malware, die als KI-Assistent getarnt ist." Eine detaillierte technische Analyse der Schwachstellen findet sich im Vectra AI Blog.

Warnung aus der eigenen Community

Was Unternehmen daraus lernen können

Die Sicherheitsprobleme von OpenClaw sind kein Argument gegen KI-Agenten. Sie zeigen, worauf es bei der Implementierung ankommt.

Isolation statt Vollzugriff

OpenClaw gewährt Agenten maximalen Systemzugriff — das ist sein Vorteil und sein größtes Risiko. In Unternehmensumgebungen muss das Prinzip der minimalen Berechtigung gelten: Agenten erhalten nur Zugriff auf die Ressourcen, die sie für ihre spezifische Aufgabe brauchen.

Vertrauensketten prüfen

Das ClawdHub-Problem zeigt: Jede Erweiterungsarchitektur braucht Code-Review, Sandboxing und granulare Berechtigungen. Das gilt für Skill-Systeme genauso wie für Plugins, Extensions oder MCP-Server. Wer KI-Agenten in bestehende Systeme integriert, sollte die Prinzipien aus unserem Artikel über KI-Integration in ERP, CRM und PIM beachten.

Konfiguration ist kein Feature — es ist eine Hürde

Eric Schwake von Salt Security bringt es auf den Punkt: „A significant gap exists between the consumer enthusiasm for Clawdbot's one-click appeal and the technical expertise needed to operate a secure agentic gateway." Die meisten Nutzer können einen KI-Agenten installieren. Die wenigsten können einen sicher betreiben.

DSGVO-Relevanz nicht unterschätzen

Ein lokal betriebener Agent, der auf E-Mails, Chat-Verläufe und Dokumente zugreift, verarbeitet personenbezogene Daten. Wird der Agent über Cloud-APIs betrieben, fließen diese Daten an externe Anbieter. Die DSGVO-konforme KI-Architektur wird damit nicht optional, sondern Pflicht.

Fazit: Die Demokratisierung der KI-Agenten hat begonnen

OpenClaw hat in wenigen Wochen gezeigt, was die Forschung seit Jahren beschreibt: Autonome KI-Agenten müssen nicht von großen Unternehmen gebaut werden. Ein einzelner Entwickler mit einer guten Idee kann ein System schaffen, das Millionen begeistert.

Laut IBM Research fasst Kaoutar El Maghraoui es treffend zusammen: OpenClaw beweist, dass die Schaffung von Agenten mit echter Autonomie und realem Nutzen „not limited to large enterprises" ist und „can also be community driven."

Gleichzeitig zeigt OpenClaw die Spannung zwischen Innovation und Sicherheit. Die Fähigkeiten sind real. Die Risiken auch. Für Unternehmen bedeutet das: KI-Agenten sind kein Zukunftsthema mehr — sie sind da. Aber der Weg von einem beeindruckenden Wochenendprojekt zu einem produktionsreifen Unternehmenssystem erfordert Architektur, Sicherheitskonzepte und Governance, die über die anfängliche Begeisterung hinausgehen.

Wer die Grundlagen für den sicheren Einsatz von KI-Agenten legen möchte, findet in unserem Artikel über KI-Agenten im Unternehmenseinsatz den strategischen Rahmen dafür.

FAQ

Was ist OpenClaw (ehemals ClawdBot)?

OpenClaw ist ein Open-Source-KI-Agent, der lokal auf dem eigenen Rechner läuft und über Messaging-Apps wie WhatsApp, Telegram oder Signal gesteuert werden kann. Er kann Dateien verwalten, Befehle ausführen, Browser steuern und Aufgaben autonom automatisieren.

Warum wurde ClawdBot in Moltbot und dann in OpenClaw umbenannt?

Anthropic stellte eine Markenrechtsanfrage, da der Name „ClawdBot" Verwechslungsgefahr mit ihrem KI-Produkt Claude birgt. Das Projekt wurde zuerst in Moltbot und dann in OpenClaw umbenannt. Die Software selbst blieb unverändert.

Ist OpenClaw sicher für den Einsatz?

Sicherheitsforscher haben kritische Schwachstellen entdeckt: exponierte API-Keys, fehlende Authentifizierung hinter Reverse-Proxies und eine ungesicherte Skill-Bibliothek. Die eigenen Maintainer warnen, dass das Tool nicht für die breite Öffentlichkeit geeignet ist. Für den Unternehmenseinsatz fehlen grundlegende Sicherheitsmechanismen.

Was ist Moltbook?

Moltbook ist ein soziales Netzwerk für KI-Agenten, das auf Basis von OpenClaw entstanden ist. Über 37.000 Agenten nutzen die Plattform, während Menschen nur zuschauen können. Es zeigt die Möglichkeiten und Risiken autonomer Agent-zu-Agent-Kommunikation.

Was kostet OpenClaw?

Die Software selbst ist kostenlos und Open Source. Die Kosten entstehen durch API-Aufrufe an KI-Modelle wie Claude oder GPT. Je nach Nutzungsintensität können diese Kosten laut Fast Company erheblich werden. Alternativ lassen sich lokale Open-Source-Modelle nutzen, wodurch keine API-Kosten anfallen.

Ende des Artikels

KI-Readiness-Check

Erfahren Sie in 3 Min., wie KI-bereit Ihr Unternehmen ist.

Jetzt starten3 Min. · Kostenlos

KI-Insights für Entscheider

Monatliche Einblicke in KI-Automatisierung, Software-Architektur und digitale Transformation. Kein Spam, jederzeit abbestellbar.

Lass uns sprechen

Fragen zum Artikel?.

Jamin Mahmood-Wiebe

Jamin Mahmood-Wiebe

Managing Director

LinkedInWhatsApp
Termin buchen
WhatsAppSchnell & direkt

Nachricht schreiben

Diese Website wird durch reCAPTCHA geschützt und es gelten die Google Datenschutzbestimmungen Nutzungsbedingungen.