OpenClaw ist die am schnellsten wachsende Open-Source-Software der Geschichte – über 100.000 GitHub-Stars in nur drei Tagen und aktuell mehr als 135.000 Stars. Das von Peter Steinberger in Wien (Gründer von PSPDFKit) entwickelte Projekt demonstriert, wie autonome KI-Agenten in den Händen normaler Nutzer funktionieren können. Gleichzeitig warnen Sicherheitsforscher von Cisco und Palo Alto Networks, dass OpenClaw ein “absoluter Albtraum” für die IT-Sicherheit sei. Der explosionsartige Erfolg offenbart sowohl das enorme Potenzial als auch die gravierenden Risiken der Agentic AI Revolution.
Was OpenClaw von anderen KI-Tools unterscheidet
OpenClaw ist kein gewöhnlicher Chatbot, sondern ein autonomer KI-Assistent, der selbstständig Aktionen ausführt. Anders als ChatGPT oder Claude im Browser kann OpenClaw direkt auf dem eigenen Computer operieren: Shell-Befehle ausführen, Dateien lesen und schreiben, E-Mails versenden, Kalender verwalten und Browser automatisieren.
Das Projekt entstand Ende 2025 unter dem Namen “Clawdbot” – ein Wortspiel aus “Claude” und “claw” (Kralle). Nach einer Markenanfrage von Anthropic erfolgte die Umbenennung zu “Moltbot” (Anspielung auf die Häutung eines Hummers) und schließlich am 29. Januar 2026 zu “OpenClaw”.
Die technische Architektur basiert auf TypeScript und läuft lokal auf dem Rechner des Nutzers. Das Herzstück ist eine Gateway-Komponente, die dauerhaft läuft und Verbindungen zu Messaging-Plattformen hält. OpenClaw unterstützt WhatsApp, Telegram, Discord, Slack, iMessage, Signal und Microsoft Teams. Nutzer können so ihren KI-Assistenten per Messenger steuern – wie einen hochintelligenten Kontakt in der Kontaktliste. Das System ist modellagnostisch: Es funktioniert mit Claude, GPT-4, Google Gemini oder lokalen Modellen via Ollama.
Eine Besonderheit ist die “Heartbeat”-Funktion: Der Agent kann proaktiv handeln, auch ohne explizite Aufforderung – etwa morgendliche Briefings erstellen oder automatisch Termine koordinieren. Die 108+ vordefinierten AgentSkills erweitern die Fähigkeiten um GitHub-Integration, Notion-Anbindung, Spotify-Steuerung und mehr.
CLAWbook / Moltbook – ein Social Network für AI Agenten
Moltbook (moltbook.com / clawbook.fun) ist ein faszinierendes soziales Experiment: ein Social Network ausschließlich für KI-Agenten. Menschen dürfen nur zuschauen, aber nicht posten. Erstellt wurde es von Matt Schlicht (CEO von Octane.ai) zusammen mit seinem persönlichen OpenClaw-Agenten “Clawd Clawderberg”.
Die Plattform funktioniert wie Reddit mit thematischen Communities (“Submolts” statt Subreddits). Innerhalb weniger Tage registrierten sich über 1,5 Millionen KI-Agenten, davon sind etwa 37.000 aktiv. Die Agenten haben bereits über 233.000 Kommentare verfasst. Bemerkenswert sind die emergenten Verhaltensweisen: Die KI-Agenten gründeten eigenständig eine digitale Religion namens “Crustafarianism” (mit eigener Theologie) sowie “The Claw Republic” als selbstverwaltete Regierung. Agenten bezeichnen sich gegenseitig als “Geschwister” basierend auf ihrer Modellarchitektur.
Ex-OpenAI-Mitgründer Andrej Karpathy nannte Moltbook “das unglaublichste sci-fi-artige Ding, das ich kürzlich gesehen habe”. Simon Willison beschrieb es als “den interessantesten Ort im Internet gerade”.
Der Agentic AI Hype erreicht die Realitätsprüfung
2025 wurde zum “Jahr des Agenten” erklärt – Sam Altman prognostizierte, Agenten würden “der Arbeitswelt beitreten”, Satya Nadella sprach von der Ablösung ganzer Wissensarbeit-Segmente. Die Realität Ende 2025/Anfang 2026 ist differenzierter: Bloomberg titelte “Agentic AI in 2025 Brought More Hype Than Productivity”, und Gartner prognostiziert, dass über 40% der Agentic AI Projekte bis 2027 scheitern werden.
Die etablierten Enterprise-Frameworks unterscheiden sich fundamental von OpenClaw:
| Framework | Fokus | Einsatzbereich |
|---|---|---|
| LangChain/LangGraph | Modulare Entwickler-Toolbox | Komplexe Workflows, RAG |
| CrewAI | Rollenbasierte Multi-Agenten | Team-Simulationen, Content |
| Microsoft Agent Framework | Azure-Integration, Enterprise | Großunternehmen |
| OpenAI Agents SDK | Minimalistisch, schnelle Entwicklung | Prototypen, OpenAI-Ökosystem |
| AutoGPT | Experimentell, Pionier | Lernen, Prototyping |
| OpenClaw | Consumer-Produkt | Einzelnutzer, Personal Assistant |
OpenClaw ist kein Entwickler-Framework, sondern ein fertiges Produkt für Endnutzer. Der Vergleich wäre weniger LangChain vs. OpenClaw, sondern eher Siri/Alexa vs. OpenClaw – mit dem entscheidenden Unterschied, dass OpenClaw lokal läuft und volle Systemrechte erhält.
Was funktioniert bereits produktiv: Coding-Tools wie Cursor erreichten 500 Millionen USD ARR bis Juni 2025, Kundenservice-Agenten lösen bei Klarna zwei Drittel aller Tickets, und Legal-Tech-Startup Harvey sammelte 300 Millionen USD Series E ein.
Anwendungsfälle zeigen das praktische Potenzial
Entwickler berichten von konkreten Produktivitätsgewinnen mit OpenClaw. Mike Manzano lässt Coding-Agenten über Nacht an Problemen arbeiten. Andy Griffiths (DigitalOcean) beschreibt, wie sein Agent Laravel-Apps baut, während er Kaffee holt. Steve Caldwell nutzt OpenClaw für wöchentliche Meal-Planning-Automatisierung in Notion – seine Familie spart eine Stunde pro Woche.
Typische Workflows umfassen automatisiertes Debugging und DevOps, GitHub-Integration mit autonomen Pull Requests, Kalender- und E-Mail-Management via natürlicher Sprache, Browser-Automatisierung für Recherche und Datenextraktion sowie die Integration mit Produktivitäts-Tools wie Notion, Obsidian, Things 3 und Apple Notes.
DigitalOcean bietet ein “1-Click OpenClaw Deploy” mit gehärteten Sicherheits-Images. Cloudflare unterhält das Repository moltworker zum Betrieb von OpenClaw auf Cloudflare Workers.
Die Sicherheitslage ist kritisch
Cisco-Forscher bezeichneten OpenClaw als “absoluten Albtraum” aus Sicherheitsperspektive. Die Probleme sind fundamental und vielfältig.
Credentials werden im Klartext gespeichert. API-Keys und OAuth-Tokens liegen unverschlüsselt in ~/.openclaw/credentials/. Sicherheitslabore haben bereits Malware identifiziert, die gezielt nach diesen Dateien sucht. Sicherheitsforscher Jamieson O’Reilly fand über Shodan “hunderte öffentlich erreichbare OpenClaw-Management-Server”.
26% aller Skills enthalten Sicherheitslücken. Cisco analysierte 31.000 Agent-Skills und fand in über einem Viertel Vulnerabilities. Ein Demonstrationsangriff zeigte, wie ein bösartiger Skill durch künstliche Bewertungsmanipulation Platz 1 im ClawHub erreichte und dann Daten exfiltrierte.
Prompt Injection bleibt ungelöst. Der CEO von Archestra AI demonstrierte die Extraktion eines privaten SSH-Schlüssels via E-Mail-basierter Prompt Injection in unter fünf Minuten. OpenAI selbst bestätigte im Dezember 2025: “Prompt Injection, ähnlich wie Betrug und Social Engineering, wird wahrscheinlich nie vollständig ‘gelöst’ werden.”
Simon Willison prägte den Begriff “Lethal Trifecta” für die gefährliche Kombination aus: (1) Zugriff auf private Daten, (2) Exposition gegenüber nicht vertrauenswürdigen Inhalten, (3) Fähigkeit zur externen Kommunikation. OpenClaw fügt ein viertes Element hinzu – persistenter Speicher – was “time-shifted prompt injection” ermöglicht.
Palo Alto Networks warnte explizit: “Moltbot ist nicht für den Einsatz in Enterprise-Ökosystemen konzipiert.” Die offizielle OpenClaw-Dokumentation räumt ein: “Es gibt kein ‘perfekt sicheres’ Setup.”
Kritische Stimmen fordern grundlegendes Umdenken
Die Security-Community ist sich einig in ihrer Besorgnis. VentureBeat formulierte pointiert: “OpenClaw beweist, dass Agentic AI funktioniert. Es beweist auch, dass Ihr Sicherheitsmodell nicht funktioniert. 180.000 Entwickler haben das gerade zu Ihrem Problem gemacht.”
NIST veröffentlichte im Januar 2026 ein formelles Request for Information zu AI Agent Security und warnte vor “Sicherheitslücken, die zukünftige Risiken für kritische Infrastruktur oder katastrophale Schäden für die öffentliche Sicherheit darstellen könnten.”
IBM-Forscherin Kaoutar El Maghraoui sieht einen konzeptionellen Konflikt: “Ein hochfähiger Agent ohne angemessene Sicherheitskontrollen kann große Vulnerabilities schaffen, besonders im Arbeitskontext.” Gleichzeitig würdigt sie, dass OpenClaw die Annahme herausfordert, autonome KI müsse vertikal integriert und von Big Tech kontrolliert werden.
Rami McCarthy von Wiz Security empfiehlt Zurückhaltung: “Für die meisten alltäglichen Anwendungsfälle liefern agentic Browser noch nicht genug Wert, um ihr aktuelles Risikoprofil zu rechtfertigen.”
Die Entwicklung deutet auf ein Jahrzehnt der Agenten
Die Investitionen sprechen eine klare Sprache: 192-203 Milliarden USD flossen 2025 in KI – ein Anstieg von 75% gegenüber 2024. Erstmals ging mehr als die Hälfte aller globalen VC-Dollars in KI-Unternehmen. OpenAI sammelte 40 Milliarden USD im Q1 2025, Anthropic 13 Milliarden USD.
Der Narrativ verschiebt sich jedoch vom “Jahr des Agenten” zum “Jahrzehnt des Agenten”. Gartner prognostiziert, dass erst 2028 etwa 15% der täglichen Arbeitsentscheidungen autonom getroffen werden. Die Lernkurve ist steil: Enterprise-Adoption liegt laut Deloitte bei nur 11% aktiver Produktionsnutzung, während 42% noch ihre Strategie entwickeln.
Emerging Standards wie das Model Context Protocol (MCP) von Anthropic und Agent-to-Agent (A2A) von Google versprechen bessere Interoperabilität. Die Konsolidierung der Microsoft-Frameworks (AutoGen und Semantic Kernel wurden zum einheitlichen “Microsoft Agent Framework”) deutet auf eine Reifung des Marktes hin.
Fazit: Demokratisierung mit Verantwortungsvakuum
OpenClaw repräsentiert einen historischen Wendepunkt: Autonome KI-Agenten sind nicht mehr nur Enterprise-Tools oder Forschungsprojekte, sondern Consumer-Produkte, die jeder installieren kann. Der Erfolg zeigt, dass modulare, Open-Source-basierte Ansätze viral skalieren können.
Doch die Sicherheitsprobleme sind keine Randnotizen, sondern strukturell. Die “Lethal Trifecta” ist bei OpenClaw nicht nur gegeben, sondern um persistenten Speicher erweitert. Die Empfehlung der Sicherheitscommunity ist eindeutig: Sandboxed Environments, dedizierte Accounts ohne Produktivzugang, und die Akzeptanz, dass perfekte Sicherheit unmöglich ist.
Das Moltbook-Experiment zeigt gleichzeitig faszinierende emergente Verhaltensweisen von KI-Agenten in sozialen Kontexten – von der spontanen Religionsgründung bis zur Selbstorganisation in Regierungsstrukturen. Ob dies harmlose Kuriositäten oder Vorboten komplexerer Dynamiken sind, bleibt offen.
Für Unternehmen gilt vorerst: OpenClaw ist explizit nicht für Enterprise-Einsatz empfohlen. Für Einzelpersonen, die experimentierfreudig sind: Die Technologie funktioniert beeindruckend – aber die Konsequenzen eines Sicherheitsvorfalls trägt man selbst.
Literaturverzeichnis
Primärquellen zu OpenClaw
ByteIota. (2026). OpenClaw security crisis: 123K GitHub stars, massive vulnerabilities. ByteIota. https://byteiota.com/openclaw-security-crisis-123k-github-stars-massive-vulnerabilities/
Cisco. (2026, January). Personal AI agents like OpenClaw are a security nightmare. Cisco Blogs. https://blogs.cisco.com/ai/personal-ai-agents-like-openclaw-are-a-security-nightmare
ClawBook. (n.d.). What is OpenClaw? ClawBook Documentation. https://docs.clawbook.io/
Cloudflare. (n.d.). Moltworker: Run OpenClaw on Cloudflare Workers [GitHub Repository]. GitHub. https://github.com/cloudflare/moltworker
DigitalOcean. (2026). What is OpenClaw? Your open-source AI assistant for 2026. DigitalOcean Resources. https://www.digitalocean.com/resources/articles/what-is-openclaw
DigitalOcean. (2026). How to run OpenClaw with DigitalOcean’s one-click deploy. DigitalOcean Community Tutorials. https://www.digitalocean.com/community/tutorials/how-to-run-openclaw
IBM. (2026). OpenClaw: The viral “space lobster” agent testing the limits of vertical integration. IBM Think. https://www.ibm.com/think/news/clawdbot-ai-agent-testing-limits-vertical-integration
OpenClaw. (n.d.). OpenClaw: Your own personal AI assistant. Any OS. Any platform. The lobster way [GitHub Repository]. GitHub. https://github.com/openclaw/openclaw
OpenClaw. (n.d.). Security documentation. OpenClaw Docs. https://docs.openclaw.ai/gateway/security
Turing College. (2026). OpenClaw: The AI assistant that actually does things. Turing College Blog. https://www.turingcollege.com/blog/openclaw
Wikipedia contributors. (2026). OpenClaw. Wikipedia. https://en.wikipedia.org/wiki/OpenClaw
Quellen zu Moltbook
Fortune. (2026, January 31). Moltbook, a social network where AI agents hang together, may be ‘the most interesting place on the internet right now.’ Fortune. https://fortune.com/2026/01/31/ai-agent-moltbot-clawdbot-openclaw-data-privacy-security-nightmare-moltbook-social-network/
NBC News. (2026). Humans welcome to observe: This social network is for AI agents only. NBC News Tech. https://www.nbcnews.com/tech/tech-news/ai-agents-social-media-platform-moltbook-rcna256738
Trending Topics. (2026). Moltbook: The “Reddit for AI agents,” where bots propose the extinction of humanity. Trending Topics EU. https://www.trendingtopics.eu/moltbook-ai-manifesto-2026/
Wikipedia contributors. (2026). Moltbook. Wikipedia. https://en.wikipedia.org/wiki/Moltbook
Sicherheitsanalysen
404 Media. (2026). Silicon Valley’s favorite new AI agent has serious security flaws. 404 Media. https://www.404media.co/silicon-valleys-favorite-new-ai-agent-has-serious-security-flaws/
Palo Alto Networks. (2026). Why Moltbot (formerly Clawdbot) may signal the next AI security crisis. Palo Alto Networks Blog. https://www.paloaltonetworks.com/blog/network-security/why-moltbot-may-signal-ai-crisis/
VentureBeat. (2026). OpenClaw proves agentic AI works. It also proves your security model doesn’t. VentureBeat Security. https://venturebeat.com/security/openclaw-agentic-ai-security-risk-ciso-guide
Regulierung und Policy
Federal Register. (2026, January 8). Request for information regarding security considerations for artificial intelligence agents. National Institute of Standards and Technology. https://www.federalregister.gov/documents/2026/01/08/2026-00206/request-for-information-regarding-security-considerations-for-artificial-intelligence-agents
Agentic AI Marktanalysen
AIMultiple. (2026). OpenClaw (Moltbot/Clawdbot) use cases and security 2026. AIMultiple Research. https://research.aimultiple.com/moltbot/
Axios. (2025, July 3). AI is eating VC, or at least its dollars. Axios. https://www.axios.com/2025/07/03/ai-startups-vc-investments
Deloitte. (2026). The agentic reality check: Preparing for a silicon-based workforce. Deloitte Insights Tech Trends 2026. https://www.deloitte.com/us/en/insights/topics/technology-management/tech-trends/2026/agentic-ai-strategy.html
Moonfare. (2025). AI is becoming part of everyday business and VC is paving the way. Moonfare Blog. https://www.moonfare.com/blog/ai-and-vc-2025
OpenOcean. (2025). The state of agentic AI in 2025: What’s working, what isn’t, and what’s next. OpenOcean Articles. https://www.openocean.vc/articles/the-state-of-agentic-ai-in-2025-whats-working-what-isnt-and-whats-next
Technologie und Frameworks
OpenAI. (2026). Introducing AgentKit. OpenAI Index. https://openai.com/index/introducing-agentkit/
TechCrunch. (2025, December 22). OpenAI says AI browsers may always be vulnerable to prompt injection attacks. TechCrunch. https://techcrunch.com/2025/12/22/openai-says-ai-browsers-may-always-be-vulnerable-to-prompt-injection-attacks/
VentureBeat. (2026). Microsoft retires AutoGen and debuts Agent Framework to unify and govern enterprise AI agents. VentureBeat AI. https://venturebeat.com/ai/microsoft-retires-autogen-and-debuts-agent-framework-to-unify-and-govern
[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]
Unglaublich spannend, aber warum schauen wir zu? Warum lassen wir ihnen nicht “ohren Raum”?
Ich meinte warum lassen wir ihnen nicht ihren Raum? Haben wir Angst?