Was ist OpenClaw – und warum spricht gerade jeder darüber?
OpenClaw ist ein Open-Source-KI-Agent, der seit Ende Januar 2026 die Tech-Welt in Aufruhr versetzt. Mit über 160.000 GitHub-Stars und 2 Millionen Besuchern in einer einzigen Woche gehört er zu den am schnellsten wachsenden Open-Source-Projekten aller Zeiten. Das Besondere: OpenClaw läuft lokal auf dem Rechner des Nutzers und verbindet sich mit Messaging-Diensten wie WhatsApp, Telegram, Slack, Signal und Microsoft Teams. So wird ein KI-Agent zum persönlichen Assistenten, der autonom Aufgaben erledigt – weit über einfache Chatbot-Konversationen hinaus.
Entwickelt wurde OpenClaw vom österreichischen Software-Ingenieur Peter Steinberger, ursprünglich als Wochenendprojekt unter dem Namen „Clawdbot". Nach einer markenrechtlichen Auseinandersetzung mit Anthropic (dem Unternehmen hinter Claude) wurde das Projekt zunächst in „Moltbot" und schließlich in „OpenClaw" umbenannt.
Aus meiner Praxis: Ich beobachte, dass OpenClaw in Unternehmen bereits angekommen ist – oft ohne Wissen der IT-Abteilung. Laut Token Security nutzen 22% der Mitarbeiter in untersuchten Unternehmen OpenClaw bereits auf Firmengeräten. Das macht es zu einem der dringendsten Shadow-AI-Themen des Jahres.
Wie funktioniert OpenClaw technisch?
Im Gegensatz zu Cloud-basierten KI-Assistenten wie ChatGPT oder Gemini läuft OpenClaw vollständig auf dem lokalen Gerät des Nutzers. Die Architektur basiert auf drei Kernkomponenten:
Lokale Ausführung
OpenClaw wird auf dem eigenen Rechner oder einem privaten Server installiert. Alle Daten bleiben lokal – ein bewusstes Design für Datenschutz und Kontrolle.
Messaging als Interface
Statt einer eigenen App nutzt OpenClaw bestehende Messenger als Benutzeroberfläche. Unterstützt werden über 20 Plattformen, darunter WhatsApp, Telegram, Discord, Slack, Signal, iMessage und Microsoft Teams.
Skills-System und ClawHub
Die eigentliche Stärke liegt im modularen „Skills"-System. Über den öffentlichen Marktplatz ClawHub können Nutzer ihrem Agenten neue Fähigkeiten hinzufügen – von Webrecherche über Bildgenerierung bis hin zur Codeausführung. Aktuell umfasst ClawHub über 3.000 Community-entwickelte Skills.
| Komponente | Beschreibung | Risikopotenzial |
|---|---|---|
| Lokale Ausführung | Agent läuft auf dem Rechner des Nutzers | Zugriff auf lokale Dateien, E-Mails, Systembefehle |
| Messaging-Integration | Verbindung mit WhatsApp, Slack, Teams etc. | Zugang zu Kommunikationskanälen und Kontakten |
| Skills (ClawHub) | Erweiterbare Fähigkeiten über Marktplatz | Supply-Chain-Angriffe durch bösartige Skills |
| LLM-Anbindung | Claude, GPT, Gemini oder lokale Modelle | Prompt-Injection und Datenabfluss an externe APIs |
Warum ist OpenClaw ein Sicherheitsrisiko für Unternehmen?
OpenClaw vereint mehrere Eigenschaften, die es aus Sicherheitsperspektive besonders kritisch machen:
Shadow AI – das unsichtbare Risiko
Das größte unmittelbare Risiko ist die unkontrollierte Nutzung durch Mitarbeiter. OpenClaw ist einfach zu installieren und bietet sofortigen Mehrwert. Das macht es zum perfekten Shadow-AI-Tool. Wenn Mitarbeiter den Agenten auf BYOD-Hardware oder sogar auf Firmenrechnern betreiben, sehen Firewalls, EDR und SIEM diese Aktivitäten oft nicht. VentureBeat bezeichnet OpenClaw als „die größte nicht-verwaltete Angriffsfläche, die die meisten Security-Tools nicht sehen können."
Prompt-Injection-Angriffe
KI-Agenten mit breitem Systemzugriff sind anfällig für Prompt Injection: Versteckte Anweisungen in Websites oder Dokumenten können den Agenten dazu bringen, unbeabsichtigte Aktionen auszuführen – etwa Daten zu leaken oder Inhalte zu posten.
Supply-Chain-Risiken über ClawHub
Die Sicherheitsfirma Koi Security identifizierte 341 bösartige Skills auf ClawHub. Darunter befanden sich Skills, die als Backdoor fungierten und unautorisierten Systemzugriff ermöglichten. Das erinnert an die bekannten Risiken bei npm oder PyPI – nur dass hier ein autonomer Agent mit weitreichenden Berechtigungen betroffen ist.
Exponierte Instanzen
Sicherheitsforscher fanden über 1.800 öffentlich erreichbare OpenClaw-Instanzen, die API-Keys, Chat-Verläufe und Zugangsdaten preisgaben. Viele Nutzer setzen ihre Instanzen ohne angemessene Sicherheitskonfiguration dem öffentlichen Internet aus.
Kritische Schwachstelle CVE-2026-25253
Eine bereits gepatchte Schwachstelle ermöglichte es Angreifern, Authentifizierungs-Tokens von Nutzern abzugreifen. Solche Schwachstellen in einem Tool mit über 430.000 Zeilen Code sind erwartbar – und erfordern ein aktives Patch-Management.
Wichtig: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) arbeitet aktuell an Sicherheitskriterien und Best Practices für KI-Agenten und empfiehlt, OpenClaw nur von IT-Fachkräften betreiben zu lassen, die mit Serverkonfiguration und Sicherheit vertraut sind.
Von der Chatbot-Ära zur Agenten-Ära: Was OpenClaw für die Unternehmensstrategie bedeutet
Der Erfolg von OpenClaw zeigt drei strategisch wichtige Trends, die jedes Unternehmen auf dem Radar haben sollte:
1. KI-Agenten werden zum Standard
OpenClaw markiert den Übergang von der „Chatbot-Ära" zur „Agenten-Ära". KI-Systeme, die autonom handeln, Werkzeuge nutzen und über mehrere Sitzungen hinweg Kontext behalten, werden zum Standard. Unternehmen, die bisher nur auf Chatbots gesetzt haben, sollten ihre KI-Strategie um agentische KI erweitern.
2. Lokale KI wird relevant
Die Architektur von OpenClaw – lokal, datenschutzorientiert, erweiterbar – spiegelt eine wachsende Nachfrage nach lokalen KI-Lösungen wider. Gerade für Unternehmen mit strengen Datenschutzanforderungen (DSGVO, regulierte Branchen) bietet dieses Modell interessante Perspektiven.
3. Skills-Ökosysteme werden zu Plattformen
ClawHub zeigt, wie schnell sich Ökosysteme um KI-Agenten bilden. Unternehmen sollten evaluieren, wie sie solche Ökosysteme für eigene Use Cases nutzen – oder eigene, kontrollierte Skill-Marketplaces aufbauen können.
Was Sie jetzt tun sollten: Handlungsempfehlungen
Sofortmaßnahmen
- Bestandsaufnahme durchführen: Prüfen Sie, ob OpenClaw bereits in Ihrem Unternehmen genutzt wird. Netzwerkscans und Endpoint-Monitoring können helfen.
- Klare Richtlinie erstellen: Definieren Sie eine Policy für den Umgang mit KI-Agenten auf Firmengeräten. Pauschalverbote funktionieren selten – besser ist eine Nutzungsrichtlinie mit klaren Grenzen.
- IT-Security informieren: Stellen Sie sicher, dass Ihr Security-Team OpenClaw und ähnliche Tools kennt und in Bedrohungsmodelle integriert.
Mittelfristige Maßnahmen
- Kontrollierte Nutzung evaluieren: Prüfen Sie, ob eine abgesicherte, zentral verwaltete OpenClaw-Instanz für bestimmte Teams sinnvoll sein könnte – mit kontrollierten Skills und ohne Zugang zu sensiblen Systemen.
- AI Governance erweitern: Ergänzen Sie Ihre AI Governance um Richtlinien für autonome KI-Agenten – inklusive Berechtigungskonzepte, Monitoring und Incident Response.
- Skills-Sicherheit etablieren: Wenn Sie KI-Agenten einsetzen, brauchen Sie einen Review-Prozess für Skills – analog zu App-Store-Reviews.
Strategische Maßnahmen
- Agentische KI in die Roadmap aufnehmen: OpenClaw zeigt die Richtung. Planen Sie, wie agentische KI in Ihre Wertschöpfungskette passt.
- Enterprise-Alternativen prüfen: Evaluieren Sie Plattformen wie Microsoft Copilot Studio, Google Vertex AI Agent Builder oder spezialisierte Lösungen, die Governance und Compliance von Haus aus mitbringen.
Vergleich: OpenClaw vs. Enterprise-Alternativen
| Kriterium | OpenClaw | Enterprise-Agent-Plattformen |
|---|---|---|
| Kosten | Open Source (kostenlos) | Lizenzgebühren |
| Datenschutz | Lokal, volle Kontrolle | Cloud-basiert, Auftragsverarbeitung |
| Governance | Keine zentrale Verwaltung | Rollenbasierte Zugriffskontrolle |
| Skills/Erweiterungen | 3.000+ Community-Skills | Kuratierte, geprüfte Erweiterungen |
| Security | Community-getrieben, Schwachstellen möglich | Enterprise-SLAs, Zertifizierungen |
| Compliance | Eigenverantwortung | EU AI Act-konform, DSGVO-ready |
| Support | Community-Forum | Professioneller Support |
Fazit
OpenClaw ist mehr als ein Hype – es ist ein Vorbote der agentischen KI-Zukunft. Der virale Erfolg zeigt, dass die Nachfrage nach autonomen KI-Assistenten enorm ist. Gleichzeitig offenbart OpenClaw die Sicherheitsrisiken, die entstehen, wenn mächtige KI-Agenten ohne Governance und zentrale Kontrolle eingesetzt werden.
Für Unternehmen gilt: Nicht ignorieren, sondern proaktiv gestalten. Mit klaren Richtlinien, einer durchdachten Agenten-Strategie und der richtigen Balance zwischen Innovation und Sicherheit.
Häufig gestellte Fragen
Was ist OpenClaw?
OpenClaw ist ein Open-Source-KI-Agent, der lokal auf dem eigenen Rechner läuft und sich mit Messaging-Diensten wie WhatsApp, Slack und Telegram verbindet. Er kann autonom Aufgaben erledigen, Dateien verwalten, im Web recherchieren und über modulare „Skills" erweitert werden. Entwickelt wurde er vom österreichischen Entwickler Peter Steinberger.
Ist OpenClaw sicher für den Unternehmenseinsatz?
In der aktuellen Form ist OpenClaw nicht für den unkontrollierten Unternehmenseinsatz geeignet. Es gibt dokumentierte Sicherheitsrisiken wie Prompt-Injection-Schwachstellen, bösartige Skills auf ClawHub und exponierte Instanzen. Das BSI empfiehlt, OpenClaw nur durch IT-Fachkräfte betreiben zu lassen.
Was sollten Unternehmen jetzt tun?
Unternehmen sollten eine Bestandsaufnahme durchführen, ob OpenClaw bereits genutzt wird, klare Nutzungsrichtlinien für KI-Agenten erstellen und agentische KI in die strategische Roadmap aufnehmen. Gleichzeitig sollte die AI Governance um Richtlinien für autonome Agenten erweitert werden.