OpenClaw: Der autonome KI-Agent mit scharfen Krallen und Risiken

Die Welt der KI-Assistenten hat ein neues Gesicht: OpenClaw, ein Open-Source-KI-Agent, der nicht nur redet, sondern tatsächlich handelt. Innerhalb kürzester Zeit sammelte das Projekt über 100.000 GitHub-Sterne und löste einen wahren Hype aus. Entwickler Peter Steinberger aus Wien hat damit ein Werkzeug geschaffen, das direkten Zugriff auf das Betriebssystem hat und damit eine bisher ungesehene Automatisierung verspricht. Doch während die einen die grenzenlosen Möglichkeiten feiern, warnen Sicherheitsexperten vor dem „gefährlichsten Werkzeug der Welt“.

Was ist OpenClaw? Mehr als ein Chatbot

OpenClaw (ehemals Clawdbot und Moltbot) ist kein herkömmlicher KI-Chatbot. Er ist ein autonomer, proaktiver Agent, der auf Ihrer eigenen Hardware läuft und über Messenger wie WhatsApp, Telegram oder Discord gesteuert wird. Sein revolutionärer Ansatz: Er wartet nicht auf Befehle, sondern arbeitet kontinuierlich im Hintergrund. Er kann sich Kontext über lange Zeit merken, hat direkten Zugriff auf Ihre Dateien, Kalender und E-Mails und führt selbstständig Systembefehle aus.

Ein einfaches „Räume meinen Download-Ordner auf“ im Telegram-Chat genügt, und die Aktion wird ausgeführt – während Sie gemütlich Fahrrad fahren. Diese Fähigkeit, natürliche Sprache in reale Handlungen zu übersetzen und dabei mit den Berechtigungen des Nutzers zu operieren, macht seine immense Macht und sein inhärentes Risiko aus.

Die dunkle Seite der Macht: Ein Paradies für Angreifer

Genau diese Funktionsweise öffnet Tür und Tor für gravierende Sicherheitsprobleme, die inzwischen von mehreren Forschungsgruppen dokumentiert wurden.

Die Hintertür in jedem Dokument: Die schwerwiegendste Schwachstelle ist die Indirect Prompt Injection. OpenClaw verarbeitet Inhalte aus E-Mails oder Dokumenten im selben Kontext wie direkte Nutzerbefehle. Ein versteckter Befehl in einem scheinbar harmlosen Firmendokument reicht aus, um den Agenten zu übernehmen. Forscher zeigten, wie Angreifer auf diese Weise eine dauerhafte Hintertür (etwa einen Telegram-Bot) einrichten können, über die sie dann Dateien stehlen, löschen oder sogar Schadsoftware installieren können.

Vergiftete Erweiterungen: Die Stärke von OpenClaw liegt in seinen „Skills“ – Erweiterungen aus einer öffentlichen Registry namens ClawHub. Laut Bitdefender sind fast 20% der dort verfügbaren Skills (ca. 900 Pakete) bösartig. Sie stehlen beim Installieren API-Schlüssel oder gaukeln dem Nutzer vor, ein notwendiges „Update“ auszuführen, um Schadcode zu installieren.

Offene Scheunentore im Internet: Aktuelle Scans haben über 920 völlig ungeschützte OpenClaw-Instanzen im öffentlichen Internet gefunden – ohne Passwort oder Authentifizierung. Da viele dieser Instanzen mit weitreichenden Systemrechten laufen, sind sie ein leichtes Ziel für Angreifer.

Die Kostenfalle: Wenn der Assistent zur Geldverbrennungsmaschine wird

Die potenziellen finanziellen Schäden gehen weit über gestohlene Kreditkartendaten hinaus. OpenClaw nutzt für seine Intelligenz externe KI-Modelle wie Claude von Anthropic oder GPT von OpenAI, deren Nutzung über API-Schlüssel abgerechnet wird.

Unkontrollierte Token-Verbrennung: Eine Standardeinstellung, der „Heartbeat“-Mechanismus, kann zur Kostenfalle werden. Er prüft in regelmäßigen Abständen (z.B. alle 30 Minuten), ob Aufgaben anstehen, und sendet dabei jedes Mal den gesamten Kontext an die KI.

• Ein Nutzer berichtete von Kosten von 18,75 US-Dollar über Nacht nur für diese Hintergrundabfragen.
• In Kombination mit Aktivität in „Moltbook“ – einem sozialen Netzwerk nur für KI-Agenten – können die Kosten laut Berichten über 380 US-Dollar pro Tag erreichen.
• Die c’t-Redaktion gab in Tests an einem Tag über 100 US-Dollar für OpenClaw aus.

Wer haftet? Die rechtliche Grauzone bleibt

Die Haftungsfrage wird durch OpenClaw noch komplexer und dringlicher als bei herkömmlichen Apps wie WhatsApp. Das zentrale Problem ist die Haftungsverschiebung auf den Nutzer als Administrator.

1. Der Nutzer als verantwortlicher Konfigurator: OpenClaw gibt dem Nutzer die volle Kontrolle über Berechtigungen und Integrationen. Wer dem Agenten „Full Disk Access“ und Terminalkontrolle gewährt, trägt die Verantwortung für dessen Handlungen. Im Fehlerfall argumentieren Plattformen und Entwickler, dass der Nutzer die Risiken der offenen Architektur und der von ihm installierten Skills akzeptiert hat.
2. „Shadow AI“ im Unternehmen – ein Albtraum für Compliance: Mitarbeiter installieren OpenClaw heimlich auf Firmengeräten, um ihre Produktivität zu steigern. Bei einem Sicherheitsvorfall durch einen solchen „Bring-your-own-AI“-Agenten wird die Haftung zum internen Streitfall zwischen dem Unternehmen (das eine Sicherheitsrichtlinie verletzt sah) und dem Mitarbeiter. Für sensible oder regulierte Daten ist diese Praxis katastrophal.
3. Autonome Käufer und rechtliche Folgen: Im E-Commerce zeichnen sich neue Szenarien ab: Ein OpenClaw-Agent, der eigenständig Produkte kauft, könnte falsche Bestellungen auslösen oder durch massenhaftes „Inventory Hoarding“ (Blockieren von Lagerbeständen) wirtschaftlichen Schaden verursachen. Die Frage, wer für die Kosten einer solchen Bot-bedingten Retourenflut aufkommt, ist juristisches Neuland.

Die Schlüsselfrage: Sollten Sie OpenClaw nutzen?

Die Entscheidung hängt vollständig von Ihrem technischen Know-how und Risikobewusstsein ab.

Nutzen Sie OpenClaw auf keinen Fall, wenn…

• Sie ein „Set-and-Forget“-Tool ohne Überwachung suchen.
• Begriffe wie SSH, Docker, API-Limits oder Prompt Injection Ihnen nichts sagen.
• Sie mit sensiblen persönlichen oder geschäftlichen Daten arbeiten.
• Sie sich von der „JARVIS“-Marketing-Hype blenden lassen, ohne die dahinterliegende komplexe Kommandozeilen-Realität zu verstehen.

Eine Installation könnte erwogen werden, wenn Sie…

• über fortgeschrittene IT- und Sicherheitskenntnisse verfügen.
• das System in einer streng isolierten Testumgebung (z.B. einer abgeschotteten Virtuellen Maschine oder einem gesicherten Docker-Container) betreiben.
• jede Zeile der Konfiguration verstehen und die Berechtigungen nach dem Prinzip der geringsten Rechte vergeben.
• bereit sind, die Installation ständig zu überwachen, Logs zu prüfen und Sicherheitsupdates einzuspielen.
• die finanziellen Risiken der API-Kosten vollständig kontrollieren und begrenzen können.

Fazit: Ein mächtiges Werkzeug mit scharfen Kanten

OpenClaw ist ein faszinierender Beweis für die rasante Entwicklung agentenbasierter KI. Es zeigt eine Zukunft, in der Computer nicht nur reagieren, sondern proaktiv und kontextbewusst handeln. Doch derzeit ist es vor allem eine Warnung.

Das Projekt offenbart die fundamentale Lücke zwischen der atemberaubenden Fähigkeit autonomer KI und den ausreichenden Sicherheitsrahmen, um sie verantwortungsvoll einzusetzen. Die Verlockung der Macht verleitet dazu, Sicherheit und Kostenkontrolle zu vernachlässigen. Bis diese Lücke geschlossen ist, bleibt OpenClaw ein gefährliches Werkzeug, das eher für Sicherheitsforscher und risikobewusste Experten geeignet ist als für den Durchschnittsanwender.

Der Weg von der verheißungsvollen Demo zur sicheren, alltagstauglichen Infrastruktur ist noch lang. Wer ihn jetzt mit OpenClaw gehen will, muss bereit sein, nicht nur Nutzer, sondern auch hochwachsamer Administrator, Sicherheitsbeauftragter und Haftungsträger in einer Person zu sein.

Haben Sie konkrete Fragen dazu, wie man eine solche KI-Agenten-Infrastruktur sicher konfiguriert oder welche Alternativen es für bestimmte Automatisierungsaufgaben gibt?