OpenClaw ist ein mächtiger Open‑Source‑KI‑Agent – technisch beeindruckend, aber riskant.
In Kürze
- Agenten führen Befehle aus, lesen und schreiben Dateien
- Rund 500 Plugins; Cloud‑LLMs verursachen Kosten
- Hohe Risiken: Vollzugriff, Prompt‑Injection, Self‑Modifying‑Code
OpenClaw: Ein Open‑Source‑KI‑Assistent, der viel kann — und vieles riskiert
OpenClaw (auch unter Namen wie Moltbot oder ClawdBot bekannt) ist gerade ein Hype auf GitHub — über 118.000 Sterne — und wurde von c’t in Ausgabe 3003 getestet. Redakteure sprachen außerdem mit dem Entwickler Peter Steinberger aus Wien. Ergebnis der Berichterstattung: technisch eindrucksvoll und praktisch, zugleich aber mit klaren Sicherheitsbedenken behaftet.
Was OpenClaw ist und wie es arbeitet
OpenClaw ist ein Agenten‑System. Die Agenten können Befehle ausführen, Dateien lesen und schreiben sowie mit externen Diensten interagieren. In der Praxis heißt das: per Chat komplexe Aufgaben anstoßen, die der Assistent autonom abarbeitet — etwa Dateien suchen, Software installieren, Webseiten bauen oder Medien erzeugen (Bilder, Musik).
Schnittstellen, Plugins, Modelle
Das System lässt sich an Messenger koppeln (Telegram, Discord, WhatsApp, Signal, iMessage, Teams u. a.), sodass du Aufgaben per Chat auslösen kannst. Es gibt inzwischen rund 500 Plugins, etwa für Passwort‑Manager, Bildgeneratoren oder Sprach‑Tools. OpenClaw nutzt mehrere große Sprachmodelle (LLMs); Steinberger nennt beispielsweise OpenAI Codex für Programmieraufgaben und Claude Opus 4.5 für Agenten‑Intelligenz. Diese Modelle laufen über API‑Keys und verursachen Kosten, weil Token verbraucht werden.
Beispiele aus dem Test
Die c’t‑Tester berichteten, dass der Bot in einem Telegram‑Chat angewiesen wurde, ComfyUI oder ein Musikmodell zu installieren — und das System hat die Installation selbstständig durchgeführt. OpenClaw kann auch lokale Modelle (z. B. Whisper für Spracherkennung, HeartMuLa für Musik) erkennen und nutzen sowie Systemressourcen prüfen.
Konkrete Sicherheitsrisiken
- Volle Rechte = großes Risiko: Agents können vollen Systemzugriff erhalten. Damit sind etwa das Auslesen von Passwörtern (z. B. aus 1Password), Kopieren von Dateien oder Ausführen beliebiger Aktionen möglich.
- Prompt‑Injection ist real: Andere Nutzer in einem geteilten Chat oder manipulierte Eingaben können den Agenten dazu bringen, schädliche Befehle auszuführen.
- Self‑modifying software: OpenClaw kann seine Konfiguration ändern und Teile seines Codes anpassen — das erhöht die Macht, erschwert aber die Kontrolle.
- Debug‑WebUI nicht offen ins Netz: Die Entwickler warnen ausdrücklich, dass die Weboberfläche nur für localhost/Debug gedacht ist und nicht öffentlich zugänglich gemacht werden sollte.
Kosten, Reifegrad und laufende Updates
c’t berichtet von Betriebskosten bei Nutzung von Cloud‑LLMs, die an einem Testtag mehr als 100 USD betragen haben. Steinberger gibt an, dass das Projekt noch jung ist (rund drei Monate Arbeit bei der getesteten Version) und regelmäßig Security‑Advisories veröffentlicht werden. Einige Nutzer hatten den Dienst offen auf VPS ins Netz gestellt — was als riskant eingestuft wird.
Herkunft, Lizenz und Code‑Erzeugung
OpenClaw wurde mehrfach umbenannt (Moltbot → ClawdBot → OpenClaw). Aktive Versionen stammen u. a. aus Ende Januar 2026 (z. B. 2026.1.29). Das Projekt ist Open Source unter MIT‑Lizenz veröffentlicht, was freie Nutzung begünstigt und zur schnellen Verbreitung beiträgt. Teile des Codes wurden mit Hilfe eines LLM (hauptsächlich OpenAI Codex) erzeugt; nicht jede Zeile wurde manuell geprüft.
Der Entwickler und die Community
Peter Steinberger (Wien) bezeichnet das Projekt als extrem mächtig und in Teilen „scary“. Er hat OpenClaw öffentlich zugänglich gemacht, betonte aber wiederholt, dass Sicherheit verbessert werden müsse. Steinberger hat auch experimentelle Setups durchgeführt (etwa ein Bot mit Full‑Access in einem öffentlichen Discord), was zusätzlich Aufmerksamkeit und Kritik erzeugte. Die Community‑Reaktion hat neben technischem Interesse auch kuriose Nebenerscheinungen gezeigt — etwa spekulative Token/„Shitcoins“ rund um Namenswechsel — Steinberger betont aber, es werde keinen OpenClaw‑Coin geben.
Empfohlene Vorsichtsmaßnahmen (als Bericht)
Sowohl c’t als auch der Entwickler raten dazu, OpenClaw nur in gut kontrollierten Umgebungen zu betreiben: mit Sandboxing, minimalen Rechten, keinem öffentlichen WebUI und nach Möglichkeit lokalen Modellen statt Cloud‑APIs. Wer nicht genau weiß, wie man solche Schutzmaßnahmen umsetzt, sollte dem Bericht zufolge Abstand halten oder strikt isolierte Testumgebungen verwenden.
Quellen
- Quelle: OpenClaw
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
