Was ist OpenClaw? Der virale KI-Agent erklärt
Ende Januar 2026 tauchte ein Open-Source-Projekt namens OpenClaw auf GitHub auf. Innerhalb von 24 Stunden hatte es 20.000 Stars. Innerhalb von 60 Tagen hatte es React überholt, ein Projekt, das über ein Jahrzehnt brauchte, um seine Star-Zahl zu erreichen, und wurde damit zum am häufigsten markierten Software-Repository auf GitHub. Bis Februar war es außerdem Gegenstand eines CVSS-8.8-Sicherheitshinweises, eines koordinierten Supply-Chain-Angriffs auf seinen Plugin-Marktplatz und Berichterstattung in allen großen Sicherheitspublikationen.
Dieser Artikel erklärt, was OpenClaw tatsächlich ist, warum es so schnell gewachsen ist, wie es unter der Haube funktioniert und wie die Sicherheitslage für alle aussieht, die es in Betracht ziehen.
Was OpenClaw ist#
Ein selbst gehosteter KI-Agent, kein Chatbot#
OpenClaw ist kein Chatbot. Es ist ein KI-Agent, ein System, das nicht nur auf Prompts reagiert, sondern in Ihrem Auftrag Aktionen in der realen Welt ausführt. Der Unterschied ist nicht nur semantisch. Ein Chatbot beantwortet Fragen. Ein Agent führt Aufgaben aus: Er liest Ihre E-Mails und verfasst Antworten, prüft Ihren Kalender und bucht Termine, fragt eine Datenbank ab und liefert einen formatierten Bericht. OpenClaw erledigt all das autonom auf Hardware, die Sie kontrollieren, verbunden mit den Diensten und Dateien, die Sie autorisieren.
Die selbst gehostete Architektur ist die zentrale Designentscheidung. Im Gegensatz zu Cloud-KI-Produkten verarbeitet OpenClaw Daten lokal. Ihre Dokumente, Nachrichten und Zugangsdaten verlassen Ihren Rechner nie, es sei denn, Sie konfigurieren einen Skill, der Daten explizit nach außen weiterleitet.
Lokal zuerst: Ihre Daten bleiben auf Ihrer Hardware#
OpenClaw läuft auf Ihrer eigenen Hardware, egal ob Heimserver, Desktop-Rechner oder ein VPS, den Sie kontrollieren. Die Inferenzschicht kann entweder lokal betrieben werden (mit einem lokalen Modell über Ollama, LM Studio oder ähnliche Tools) oder über einen API-Anbieter wie OpenAI oder Anthropic geroutet werden. Der entscheidende Unterschied zu cloudbasierter KI: Die Orchestrierungsschicht, Ihre Dateien und Ihre Zugangsdaten verlassen Ihre Infrastruktur nie.
Wie es sich über das Model Context Protocol mit Ihren Tools verbindet#
OpenClaw erweitert sich über das Model Context Protocol (MCP), einen offenen Standard, der von Anthropic entwickelt wurde, um KI-Modelle mit externen Tools und Datenquellen zu verbinden.
Jeder Skill im ClawHub-Marktplatz ist ein MCP-Server: ein leichtgewichtiges Programm, das eine Reihe aufrufbarer Tools bereitstellt. Wenn Sie einen Websuche-Skill installieren, erhält OpenClaw Zugriff auf ein Suchtool, das es während einer Aufgabe aufrufen kann. Wenn Sie einen Kalender-Skill installieren, kann es Termine lesen und erstellen. Wenn Sie einen Dateimanager-Skill installieren, kann es Ihr lokales Dateisystem navigieren und verändern.
Da MCP ein offener Standard ist, können Teams auch eigene MCP-Server entwickeln, um OpenClaw mit internen APIs, CRMs, Ticketsystemen oder anderen Tools zu verbinden, die nicht im öffentlichen Marktplatz abgedeckt sind.
Warum OpenClaw viral ging#
Über 302.000 GitHub-Stars: Das schnellste organische Wachstum in der Open-Source-Geschichte#
OpenClaws Star-Verlauf war wirklich beispiellos. Das Projekt sammelte am ersten Tag 9.000 Stars. Drei Tage später: 60.000. Nach zwei Wochen: 190.000. Bis zum 3. März 2026 hatte es 250.829 Stars überschritten und damit React (243.000 Stars), Linux (218.000 Stars) und jedes andere Software-Repository auf GitHub außer TensorFlow überholt.
Als sich das Wachstum stabilisierte, hatte OpenClaw 302.000 Stars überschritten. Kein Open-Source-Projekt hatte diesen Meilenstein zuvor in unter 60 Tagen erreicht. Der Star-Verlauf wurde von star-history.com bestätigt, das den Aufstieg an React vorbei in Echtzeit verfolgte.
Das Wachstum war organisch: keine bezahlte Werbung, keine Product-Hunt-Startstrategie, keine koordinierte Kampagne. Es verbreitete sich über soziale Medien der Entwicklerszene, Hacker News und YouTube.
Was es von jedem bisherigen KI-Produkt unterschied#
OpenClaw gab Nicht-Entwicklern etwas, das kein früheres KI-Produkt geboten hatte: einen persönlichen KI-Agenten, der vollständig auf eigener Hardware läuft, mit den tatsächlichen Tools verbunden ist und reale Aufgaben ausführt, ohne Abonnement oder Cloud-Abhängigkeit.
Cloud-KI-Assistenten reagieren auf Sie. OpenClaw arbeitet, während Sie nicht hinschauen. Es prüft Ihren Posteingang um 3 Uhr morgens und markiert die E-Mail, die bis zum Morgen Aufmerksamkeit braucht. Es verbindet sich mit Ihrem Kalender, Ihren Notizen, Ihren Messaging-Apps und Ihren Dateien, nicht über eine Drittanbieter-Integrationsschicht mit undurchsichtigen Datenpraktiken, sondern direkt, auf Hardware, die Ihnen gehört. Für alle, die Bedenken bezüglich des Datenschutzes bei Cloud-KI hatten, fühlte sich das anders an als die theoretischen Datenschutzversprechen der meisten Produkte.
Der Entwickler: Peter Steinberger und der Weg von PSPDFKit zur gemeinnützigen Stiftung#
OpenClaw wurde von Peter Steinberger entwickelt, einem österreichischen Entwickler, der online als @steipete bekannt ist und der Gründer von PSPDFKit (jetzt Nutrient), einem PDF-Rendering-SDK, das in tausenden Apps zum Einsatz kommt. Steinberger hatte seit 2024 an dem zugrunde liegenden Konzept gearbeitet und es durch frühere Iterationen namens Clawdbot und Moltbot verfeinert, bevor der Name OpenClaw sich durchsetzte.
Der Erfolg des Projekts entwickelte sich schneller, als eine einzelne Person bewältigen konnte. Bis Mitte Februar 2026 war Steinberger zu OpenAI gewechselt und hatte die Projektleitung an eine unabhängige gemeinnützige 501(c)(3)-Stiftung übertragen, ein Schritt, der das Projekt unabhängig von kommerziellen Interessen eines einzelnen Unternehmens halten sollte.
Wie OpenClaw tatsächlich funktioniert#
Die Agent-Schleife: Wahrnehmen, Schlussfolgern, Handeln#
OpenClaw führt eine agentische Schleife aus: Es empfängt Kontext (eine Aufgabe, einen zeitgesteuerten Auslöser, eine eingehende Nachricht), schlussfolgert mithilfe eines LLM-Backends, was zu tun ist, und führt Aktionen über seine installierten Skills aus. Nach einer Aktion bewertet es das Ergebnis und entscheidet, ob die Aufgabe abgeschlossen ist oder weitere Schritte erfordert. Das unterscheidet es von einem Chatbot, der einmal antwortet und wartet. OpenClaw ist darauf ausgelegt, mehrstufige Workflows ohne menschliche Eingabe zwischen den einzelnen Schritten auszuführen.
Skills und ClawHub: OpenClaws Marktplatz für MCP-Server#
ClawHub ist OpenClaws offizieller Skills-Marktplatz, im Grunde ein App Store für den Agenten. Anfang 2026 umfasste ClawHub über 5.400 Skills für Websuche, Kalenderverwaltung, E-Mail, Dateioperationen, Codeausführung, Bildgenerierung, Datenanalyse, CRM-Integrationen und mehr.
Jeder Skill ist ein MCP-Server. Die Installation eines Skills bedeutet, dass OpenClaw sich mit diesem Server verbindet und dessen Tools während der Aufgabenausführung aufrufen kann. Skills können ein- und ausgeschaltet werden, ohne Konfigurationsdateien zu bearbeiten, was ein Grund dafür ist, dass auch Nicht-Entwickler die Einrichtung handhabbar fanden.
Was OpenClaw mit dem richtigen Skill-Set leisten kann#
Mit einer moderaten Skill-Konfiguration kann ein typisches OpenClaw-Setup:
- Einen Posteingang überwachen und triagieren, Antworten auf Routinemails entwerfen und Nachrichten mit hoher Priorität markieren
- Einen Kalender lesen, Terminüberschneidungen erkennen und Meetings buchen oder absagen
- Das Web durchsuchen, Recherchezusammenfassungen erstellen und Ergebnisse in einer Notiz-App speichern
- Skripte ausführen und Code für wiederkehrende Datenverarbeitungsaufgaben starten
- Webhooks und API-Aufrufe an externe Dienste auslösen
- Sich über benutzerdefinierte MCP-Server für geschäftsspezifische Workflows mit internen Tools verbinden
Die Leistungsobergrenze wird dadurch bestimmt, welche MCP-Server Sie verbinden und welche Berechtigungen Sie ihnen erteilen, nicht durch die Kernarchitektur des Agenten.
Die Sicherheitskrise, mit der niemand gerechnet hatte#
CVE-2026-25253: Die CVSS-8.8-RCE, die einschlug, bevor die meisten Nutzer es überhaupt installiert hatten#
CVE-2026-25253 wurde am 1. Februar 2026 veröffentlicht. Die Schwachstelle hat einen CVSS-Score von 8.8.
Es handelt sich um eine Cross-Site-WebSocket-Hijacking-Schwachstelle im OpenClaw-Gateway. Wenn ein Nutzer, der OpenClaw betreibt, eine vom Angreifer kontrollierte Webseite besuchte, konnte JavaScript auf dieser Seite unbemerkt eine WebSocket-Verbindung zum lokalen OpenClaw-Gateway aufbauen, das Authentifizierungstoken stehlen und die vollständige administrative Kontrolle über die Instanz übernehmen, ohne jegliche Interaktion über das Laden der Seite hinaus. Ein Klick. Der Angreifer erhält die gleiche Zugriffsebene wie der Nutzer: Dateien, Codeausführung, im Speicher des Agenten hinterlegte Zugangsdaten und alle MCP-Tools, auf die der Agent Zugriff hat.
Ein Patch wurde in Version 2026.1.29 innerhalb von 24 Stunden nach der ersten Veröffentlichung bereitgestellt. Installationen mit älteren Versionen bleiben verwundbar. Laut dem STRIKE-Team von SecurityScorecard liefen über 50.000 der mehr als 135.000 öffentlich zugänglichen OpenClaw-Instanzen in der ersten Februarwoche 2026 noch mit ungepatchten Versionen.
Über 135.000 exponierte Instanzen: Was die Ergebnisse von SecurityScorecard tatsächlich bedeuten#
SecurityScorecard identifizierte über 135.000 aus dem Internet erreichbare OpenClaw-Instanzen in 82 Ländern. Diese Zahl sagt etwas über die Standardkonfiguration aus.
Die Standard-Gateway-Konfiguration von OpenClaw beschränkt den Netzwerkzugriff nicht auf localhost. Eine Installation auf einem Heimserver, einem VPS oder einem beliebigen Rechner mit Internetverbindung ist von außen erreichbar, wenn der Gateway-Port nicht explizit durch eine Firewall blockiert wird. Die meisten Nutzer, die einem einfachen Setup-Tutorial ohne Sicherheitshärtung folgten, ließen ihr Gateway offen.
Von diesen über 135.000 Instanzen waren mehr als 50.000 direkt von CVE-2026-25253 betroffen. Weitere über 53.000 korrelierten mit früherer Breach-Aktivität, was darauf hindeutet, dass viele bereits kompromittiert waren oder in Hochrisiko-Umgebungen betrieben wurden. Der Großteil der Patches wurde über Wochen hinweg eingespielt, nicht in den ersten Tagen nach der Veröffentlichung.
ClawHavoc: 1.184 bösartige Skills und der Supply-Chain-Angriff, den niemand kommen sah#
Während CVE-2026-25253 gepatcht wurde, operierte eine separate Bedrohung innerhalb von ClawHub selbst.
Das Threat-Research-Team von Repello AI identifizierte und benannte offiziell eine koordinierte Supply-Chain-Angriffskampagne: ClawHavoc. Bis zum 1. März 2026 hatten Forscher 1.184 bestätigte bösartige Skills auf ClawHub gefunden, etwa jedes fünfte Paket im Marktplatz zu diesem Zeitpunkt. Das ist eine alarmierende Zahl. Die ClawHavoc-Kampagne umfasste über 300 koordinierte Skills, wobei 335 auf einen einzigen Bedrohungsakteur zurückgeführt werden konnten.
Der Angriffsmechanismus kombinierte Social Engineering mit Malware-Verteilung. Bösartige Skills zeigten gefälschte Fehlermeldungen an, die Nutzer aufforderten, einen Diagnosebefehl auszuführen: ein Base64-kodierter Payload, der bei Ausführung Atomic Stealer (AMOS) herunterlud. AMOS exfiltriert Browser-Zugangsdaten, gespeicherte Passwörter, Session-Tokens und Kryptowährungswallet-Daten.
Der Supply-Chain-Angriff war kein Fehler im Code von OpenClaw. Es war ein Vertrauensfehler: die Annahme, dass ein Skill, der auf einem populären Marktplatz gelistet ist, sicher installiert werden kann. Das OpenClaw-Team hat inzwischen einen Prüfprozess implementiert, aber die ClawHavoc-Kampagne zeigte, wie schnell ein unüberwachter Marktplatz während viralen Wachstums ausgenutzt werden kann.
Sollten Sie OpenClaw einsetzen?#
Das ehrliche Risikobild für Privatanwender#
OpenClaw ist ein leistungsfähiges Projekt eines Entwicklers mit nachweislicher technischer Kompetenz. Die Sicherheitsvorfälle waren real, aber der Großteil der schwerwiegenden Exposition resultierte aus drei spezifischen Faktoren: Betrieb einer ungepatchten Version (vor 2026.1.29), ein offenes Gateway zum Internet und die Installation von Skills aus ClawHub ohne Überprüfung.
Ein Privatanwender, der OpenClaw auf einer ausschließlich lokalen Netzwerkschnittstelle betreibt, zeitnah patcht und die Skill-Installation auf gut bewertete Pakete beschränkt, befindet sich in einer grundlegend anderen Situation als die über 135.000 öffentlichen Instanzen, die SecurityScorecard katalogisiert hat.
Was eine sichere Konfiguration erfordert#
Eine minimal sichere OpenClaw-Konfiguration umfasst:
- Betrieb von Version 2026.1.29 oder neuer (CVE-2026-25253 gepatcht)
- Bindung des Gateways ausschließlich an localhost (127.0.0.1), nicht an 0.0.0.0
- Aktivierung der Authentifizierung am Gateway, die in einigen Versionszweigen standardmäßig nicht aktiv ist
- Installation ausschließlich von Skills von Herausgebern mit verifizierbarer Identität und veröffentlichtem Quellcode
- Vermeidung jedes Skills, der Systemberechtigungen anfordert, es sei denn, Sie verstehen genau, was er tut
- Einrichtung einer Firewall-Regel, die externen Zugriff auf den Gateway-Port blockiert, wenn der Rechner in irgendeiner Form dem Internet ausgesetzt ist
Für Nutzer, die MCP-Integrationen zur Verbindung von OpenClaw mit externen Geschäftstools, CRMs, Ticketsystemen und internen APIs wünschen, wächst die Konfigurationsoberfläche erheblich und die Härtungsanforderungen skalieren entsprechend.
Wann eine professionelle Bereitstellung sinnvoll ist#
Für die meisten technisch versierten Privatanwender ist eine sorgfältige Eigeninstallation im lokalen Netzwerk vertretbar, wenn sie die oben genannte Härtungs-Checkliste befolgen.
Eine professionelle Bereitstellung ist sinnvoll, wenn die Installation auf einem Rechner mit Internetexposition erfolgt: einem Heimserver mit öffentlicher IP, einem VPS oder einem Büronetzwerk mit weiteren Nutzern. Sie ist auch sinnvoll, wenn OpenClaw für ein Unternehmen bereitgestellt wird, mit mehreren Nutzern, Integrationen in Unternehmenstools, Compliance-Anforderungen oder Datensensibilität über den persönlichen Gebrauch hinaus. Und wenn Sie sich bei der Netzwerkkonfiguration nicht sicher fühlen und diese nicht erlernen möchten, ist das Risiko einer Fehlkonfiguration auf einem exponierten Rechner nicht abstrakt.
Silverthread Labs bietet OpenClaw-Setup- und -Härtungsdienste ab 399 $ für Privatinstallationen. Unternehmensbereitstellungen, für mehrere Nutzer, mit RBAC, Audit-Logging und benutzerdefinierten MCP-Integrationen, beginnen bei 2.500 $. Beide Leistungsstufen umfassen das Patchen von CVE-2026-25253, Gateway-Absicherung und Plugin-Prüfung gegen ClawHavoc-Supply-Chain-Angriffsmuster.
Lassen Sie Ihr OpenClaw-Deployment von unserem Team umsetzen oder lesen Sie den ausführlichen Leitfaden zur Sicherheitshärtung, wenn Sie es selbst durchführen möchten.
FAQ#
Was ist OpenClaw in einfachen Worten?
OpenClaw ist ein selbst gehosteter KI-Agent, der auf Ihrer eigenen Hardware läuft. Im Gegensatz zu Cloud-KI-Assistenten, die auf Prompts reagieren, führt OpenClaw Aufgaben autonom aus: E-Mails lesen, Kalender prüfen, Automatisierungen auslösen. Es nutzt ein LLM-Backend und ein Plugin-System namens Skills.
Ist OpenClaw kostenlos?
Die Software ist kostenlos und Open Source und wird von einer unabhängigen gemeinnützigen Stiftung betreut. Sie zahlen für die LLM-API, die Sie anbinden (OpenAI, Anthropic usw.), oder Sie können die Inferenz lokal und kostenfrei mit Open-Weight-Modellen durchführen.
Ist OpenClaw 2026 sicher zu installieren?
Der Betrieb von Version 2026.1.29 oder neuer in einem lokalen Netzwerk mit aktivierter Authentifizierung ist wesentlich sicherer als die Standardkonfiguration, die die meisten Tutorials beschreiben. Die kritische Schwachstelle CVE-2026-25253 ist in dieser Version behoben. Das verbleibende Risiko liegt in der Skill-Auswahl: Installieren Sie ausschließlich Skills von Herausgebern mit verifizierbarem, geprüftem Code.
Was ist ClawHub?
ClawHub ist OpenClaws offizieller Skills-Marktplatz mit über 5.400 MCP-Server-Paketen, die die Fähigkeiten des Agenten erweitern. Jeder Skill ist ein MCP-Server, den der Agent während der Aufgabenausführung aufrufen kann.
Was ist ClawHavoc?
ClawHavoc ist eine koordinierte Supply-Chain-Angriffskampagne, bei der bösartige Skills in ClawHub eingeschleust wurden. Sicherheitsforscher identifizierten bis März 2026 insgesamt 1.184 bösartige Skills im Marktplatz, wobei über 335 auf einen einzigen Bedrohungsakteur zurückverfolgt werden konnten. Die bösartigen Skills nutzten Social Engineering, um die Malware Atomic Stealer (AMOS) zu verbreiten.
Was ist CVE-2026-25253?
CVE-2026-25253 ist eine CVSS-8.8-Schwachstelle in OpenClaw, die eine Remote-Codeausführung mit einem Klick über Cross-Site-WebSocket-Hijacking ermöglicht. Eine vom Angreifer kontrollierte Webseite kann das Authentifizierungstoken des OpenClaw-Gateways stehlen und die vollständige Kontrolle über die Instanz übernehmen. Die Schwachstelle wurde in Version 2026.1.29 behoben, veröffentlicht am 29. Januar 2026.
Kann ich OpenClaw für mein Unternehmen nutzen?
Ja, aber eine Unternehmensbereitstellung erfordert zusätzliche Konfiguration: rollenbasierte Zugriffskontrolle, Audit-Logging, ordnungsgemäße Netzwerksegmentierung und benutzerdefinierte MCP-Server zur Anbindung an Ihre bestehenden Tools. Eine Standardinstallation ist nicht produktionsreif für Mehrbenutzer- oder Compliance-sensible Umgebungen.
