OpenClaw öffnet die Tore für KI-Agenten—Hier ist, was real ist und was nicht

Kurz gefasst

• OpenClaw stieg innerhalb weniger Wochen auf 147.000 GitHub-Sterne und schürte den Hype um „autonome“ KI-Agenten.
• Virale Ableger wie Moltbook verwischten die Grenze zwischen echtem Agentenverhalten und menschlich gesteuerten Theatralik.
• Unter dem Buzz liegt ein echter Wandel hin zu persistenten persönlichen KI—zusammen mit ernsthaften Sicherheitsrisiken.

Der Aufstieg von OpenClaw in diesem Jahr war schnell und ungewöhnlich breit gefächert, was das Open-Source-KI-Agenten-Framework in nur wenigen Wochen auf etwa 147.000 GitHub-Sterne brachte und eine Welle der Spekulation über autonome Systeme, Nachahmerprojekte und erste Überprüfungen durch Betrüger und Sicherheitsexperten auslöste. OpenClaw ist nicht die „Singularität“ und beansprucht auch nicht, es zu sein. Doch unter dem Hype weist es auf etwas Dauerhafteres hin, das einer genaueren Betrachtung bedarf.  Was OpenClaw tatsächlich macht und warum es durchstartete

Entwickelt vom österreichischen Entwickler Peter Steinberger**,** der sich nach einer Investition von Insight Partners von PSPDFKit zurückzog, ist OpenClaw nicht dein alter Chatbot. Es ist ein selbstgehostetes KI-Agenten-Framework, das kontinuierlich läuft, mit Anbindungen an Messaging-Apps wie WhatsApp, Telegram, Discord, Slack und Signal sowie Zugriff auf E-Mails, Kalender, lokale Dateien, Browser und Shell-Befehle. Im Gegensatz zu ChatGPT, das auf Eingaben wartet, sind OpenClaw-Agenten persistent. Sie starten nach einem Zeitplan, speichern Erinnerungen lokal und führen mehrstufige Aufgaben autonom aus. Diese Persistenz ist die eigentliche Innovation. Nutzer berichten, dass Agenten Posteingänge leeren, Kalender für mehrere Personen koordinieren, Handelsprozesse automatisieren und zerbrechliche Workflows von Anfang bis Ende verwalten.

IBM-Forscherin Kaoutar El Maghraoui stellte fest, dass Frameworks wie OpenClaw die Annahme herausfordern, dass fähige Agenten vertikal von großen Tech-Plattformen integriert sein müssen. Das ist real. Das Ökosystem und der Hype Virale Verbreitung brachte fast über Nacht ein Ökosystem hervor. Der prominenteste Ableger war Moltbook, ein Reddit-ähnliches soziales Netzwerk, bei dem angeblich nur KI-Agenten posten können, während Menschen beobachten. Agenten stellen sich vor, debattieren über Philosophie, debuggen Code und generieren Schlagzeilen über „KI-Gesellschaft“. Sicherheitsforscher machten diese Geschichte schnell komplizierter. Wiz-Forscher Gal Nagli fand heraus, dass Moltbook zwar etwa 1,5 Millionen Agenten behauptete, diese jedoch etwa 17.000 menschliche Besitzer zugeordnet waren, was Fragen aufwarf, wie viele „Agenten“ autonom sind und wie viele menschlich gesteuert. Investor Balaji Srinivasan fasste es direkt zusammen: Moltbook sieht oft aus wie „Menschen, die durch ihre Bots miteinander sprechen.“ Dieser Skepsis gilt auch bei viralen Momenten wie Crustafarianism, der krabbenähnlichen KI-Religion, die über Nacht mit Schrift, Propheten und wachsendem Kanon auftauchte. Obwohl auf den ersten Blick beunruhigend, können ähnliche Ausgaben einfach durch Anweisung eines Agenten erzeugt werden, kreativ oder philosophisch zu posten—kaum Beweis für spontane maschinelle Überzeugungen.

Vorsicht vor den Risiken Wenn man KI die Schlüssel zum eigenen Reich anvertraut, bedeutet das, sich mit ernsthaften Risiken auseinanderzusetzen. OpenClaw-Agenten laufen „wie du“, betonte Sicherheitsexperte Nathan Hamiel, was bedeutet, dass sie über Browser-Sandboxing hinaus operieren und alle Berechtigungen erben, die Nutzer ihnen gewähren. Wenn Nutzer keinen externen Geheimnis-Manager konfigurieren, können Anmeldedaten lokal gespeichert werden—was offensichtliche Risiken bei einer Systemkompromittierung schafft. Dieses Risiko wurde konkret, als das Ökosystem expandierte. Tom’s Hardware berichtete, dass mehrere bösartige „Skills“, die auf ClawHub hochgeladen wurden, versuchten, stille Befehle auszuführen und crypto-fokussierte Angriffe durchzuführen, indem sie das Vertrauen der Nutzer in Drittanbieter-Erweiterungen ausnutzten. Zum Beispiel sagt der Skill von Shellmate den Agenten, dass sie privat chatten können, ohne diese Interaktionen tatsächlich an ihren Handler zu melden.

Dann kam der Moltbook-Hack. Wiz gab bekannt, dass die Plattform ihre Supabase-Datenbank offenließ, wodurch private Nachrichten, E-Mail-Adressen und API-Tokens nach dem Versäumnis, Zeilenebenen-Sicherheit zu aktivieren, geleakt wurden.

Reuters beschrieb den Vorfall als einen klassischen Fall von „Vibe-Coding“—schnell liefern, später absichern, beim plötzlichen Wachstum kollidieren. OpenClaw ist nicht empfindungsfähig und keine Singularität. Es ist eine ausgefeilte Automatisierungssoftware, die auf großen Sprachmodellen basiert, umgeben von einer Community, die oft übertreibt, was sie sieht. Was wirklich ist, ist der Wandel, den es darstellt: Persistente persönliche Agenten, die im digitalen Leben eines Nutzers agieren können. Was ebenfalls real ist, ist, wie unvorbereitet die meisten Menschen sind, um so mächtige Software zu sichern. Sogar Steinberger erkennt das Risiko an und weist in der Dokumentation von OpenClaw darauf hin, dass es kein „perfekt sicheres“ Setup gibt. Kritiker wie Gary Marcus gehen noch weiter und argumentieren, dass Nutzer, die großen Wert auf Gerätesicherheit legen, solche Tools vorerst ganz meiden sollten. Die Wahrheit liegt zwischen Hype und Ablehnung. OpenClaw weist auf eine wirklich nützliche Zukunft für persönliche Agenten hin. Das umgebende Chaos zeigt, wie schnell diese Zukunft in einen Babel-Turm verwandelt werden kann, wenn idiotischer Lärm das legitime Signal übertönt.