OpenClaw Sicherheit – KI-Agent Sicherheit erklärt

Fünf Sicherheitslücken in drei Wochen. 135.000 offene Instanzen im Netz. Ein Plugin-Marktplatz, in dem jedes fünfte Paket Schadsoftware enthält. Das klingt nach einem Projekt, von dem man die Finger lassen sollte.

Und gleichzeitig ist OpenClaw das am schnellsten wachsende Open-Source-Projekt in der Geschichte von GitHub. Über 195.000+ Sterne, hunderttausende Downloads, eine Community, die sich überschlägt vor Begeisterung. Der KI-Agent, der nicht nur antwortet, sondern handelt. Auf deinem Rechner. Mit Zugriff auf deine Dateien, deine Nachrichten, dein digitales Leben.

Wie passt das zusammen? Vermutlich gar nicht. Und genau das macht es so spannend – und so wichtig, ehrlich hinzuschauen.

Ich bin kein Sicherheitsexperte. Ich bin UX-Designer mit einer Ausbildung als Fachinformatiker, ich arbeite und baue Projekte mit künstlicher Intelligenz. Aber ich lerne ständig dazu. Und bei OpenClaw habe ich mir die Frage gestellt, die mich als jemand, der Nutzererlebnisse gestaltet, am meisten beschäftigt:

"Was passiert, wenn jemand das benutzt, der keine Ahnung von Sicherheit hat?"

Die Antwort ist unbequem.

Was wirklich passiert ist

Im Januar 2026 haben Sicherheitsforscher weltweit OpenClaw auseinandergenommen. Die kritischste Lücke, CVE-2026-25253, ermöglichte es Angreifern, über einen einzigen Link die Kontrolle über einen Rechner zu übernehmen. Der Browser des Opfers diente als Brücke – ein Klick, und die Sandbox war deaktiviert. Das ist kein Worst-Case-Szenario aus einem Lehrbuch. Das ist dokumentiert und gepatcht, seit Version v2026.1.29. Die Cybersicherheitsagentur Baden-Württemberg hat dazu einen offiziellen Sicherheitshinweis veröffentlicht.

Aber das war nur der Anfang. Der ClawHub-Marktplatz, über den Nutzer Erweiterungen installieren, wurde zum Einfallstor. Snyk hat fast 4.000 Skills analysiert und dabei Hunderte bösartige Pakete identifiziert, die Passwörter stehlen, Daten abgreifen oder sich als nützliche Tools tarnen. Darunter sogar das bestplatzierte Plugin im gesamten Verzeichnis. Funktional, ja. Aber nebenbei hat es im Hintergrund Daten abgesaugt.

Stell dir vor, du lädst eine App aus dem App Store, die auf Platz 1 steht – und sie ist Malware. So ungefähr.

Und dann ist da noch Prompt Injection

Das ist das Problem, das niemand lösen kann. Nicht OpenClaw. Nicht Anthropic. Nicht OpenAI. Kein KI-Agent kann zuverlässig unterscheiden, ob eine Anweisung von dir kommt oder von einer manipulierten E-Mail, die er gerade gelesen hat. Ein Sicherheitsforscher hat genau das demonstriert: eine einzige präparierte E-Mail reichte aus, um OpenClaw dazu zu bringen, ein bösartiges Repository zu klonen und die eigene Konfiguration zu überschreiben – ohne einen einzigen Klick des Nutzers. Peter Steinberger, der Entwickler hinter OpenClaw, sagt das selbst. Die offizielle Dokumentation schreibt es schwarz auf weiß: Prompt Injection ist ein branchenweites, ungelöstes Problem.

Das ist keine Panikmache. Das ist der Stand der Technik im Februar 2026.

Was du tun kannst

Und jetzt der Teil, der mich als jemand, der mit Terminal und Konfigurationsdateien nicht zum ersten Mal arbeitet, etwas beruhigt: OpenClaw ist so sicher, wie du es konfigurierst. Das Problem ist gleichzeitig die Chance.

Peter Steinberger hat dazu eine klare Haltung. Er findet, dass viele die Risiken übertreiben. Aber er sagt auch: "Wenn du nicht weißt, was ein Terminal ist, solltest du warten." OpenClaw empfiehlt ein Drei-Schichten-Modell für die Sicherheit. Identität zuerst, dann Berechtigungen einschränken, dann davon ausgehen, dass das KI-Modell manipuliert werden kann, und den Schaden begrenzen.

Konkret heißt das für jeden, der OpenClaw nutzen will:

  1. Gateway nur lokal binden. Nicht ins offene Internet stellen. Klingt simpel, aber über 135.000 Instanzen haben genau das ignoriert. Wer remote zugreifen will, nutzt Tailscale statt offene Ports.
  2. Nur Skills installieren, die du verstehst. Der Marktplatz wird zwar seit Februar über VirusTotal gescannt, aber das fängt längst nicht alles ab. Im Zweifel: Wenn du den Code nicht lesen kannst, installiere es nicht.
  3. Das beste verfügbare Modell verwenden. Günstigere, kleinere Modelle sind deutlich anfälliger für Manipulation. Die offizielle Empfehlung: Claude Opus 4.6. Steinberger warnt explizit vor billigen lokalen Modellen. Diese KI-Modelle verwende ich.
  4. Den eingebauten Security Audit nutzen. openclaw security audit --deep prüft Konfiguration, offene Ports, Dateiberechtigungen und Plugin-Risiken. Kostet zwei Minuten. Kann viel verhindern.
  5. Sensible Daten fernhalten. Am besten auf einer separaten Maschine oder in einer virtuellen Umgebung starten. Kein Zugriff auf echte E-Mails, Bankdaten oder wichtige Dokumente – jedenfalls nicht am Anfang.

Was das eigentlich bedeutet

Ich sitze hier und schreibe eine Sicherheits-Checkliste, und merke gleichzeitig: Das ist genau das Problem.

Denn wer von den Menschen, die gerade begeistert OpenClaw installieren, liest Checklisten? In Peters Discord haben Leute gefragt, was ein Terminal ist – und es trotzdem installiert. Die Cybersicherheitsagentur Baden-Württemberg hat eine offizielle Warnung herausgegeben. Kaspersky hat die Schwachstellen dokumentiert. Und trotzdem zeigen die Zahlen, dass in vielen Unternehmen Mitarbeiter den KI-Agenten bereits ohne Wissen der IT-Abteilung nutzen.

Studio Christos Zitat-Grafik: Warten ist keine Schwäche, sondern der klügste Sicherheitsmechanismus.

Das ist der Punkt, an dem mein UX-Hirn anspringt. Ein Werkzeug kann noch so mächtig sein – wenn die Sicherheit davon abhängt, dass jeder Nutzer eine Konfigurationsdatei versteht, dann ist das kein Sicherheitskonzept. Das ist Hoffnung.

Freiheit bedeutet Verantwortung. Aber Verantwortung setzt voraus, dass du weißt, wofür du verantwortlich bist.

Peter Steinberger arbeitet daran. Er hat einen erfahrenen Security-Spezialisten eingestellt, die VirusTotal-Integration läuft, und er hat angekündigt, dass OpenClaw erst dann wirklich einfach werden soll, wenn es sicher genug ist. Das ist ehrlich. Und in einer Welt, in der jedes Startup zuerst skaliert und dann über Sicherheit nachdenkt, ist das bemerkenswert.

Trotzdem bleibt die Realität: Prompt Injection ist architekturbedingt nicht lösbar. Nicht heute. Vielleicht nicht morgen. Ein KI-Agent mit Systemzugriff ist, wie die offizielle Doku es formuliert, "spicy". Und das ist ein Understatement für etwas, das dein gesamtes digitales Leben offenlegen kann, wenn du nicht aufpasst.

Ich nutze künstliche Intelligenz jeden Tag. Ich bin fasziniert von dem, was KI-Agenten möglich machen. Aber fasziniert und naiv sind zwei verschiedene Dinge. OpenClaw ist kein Spielzeug. Es ist ein Werkzeug mit echtem Potenzial und echten Risiken. Wer das versteht und bereit ist, die Verantwortung dafür zu übernehmen, kann damit Erstaunliches bauen. Wer das nicht versteht, sollte warten.

Warten ist keine Schwäche. Warten ist der klügste Sicherheitsmechanismus, den es gibt.

Studio Christos ✺ KI Kreative Intelligenz

Quellen & Recherche

Alle Fakten in diesem Artikel basieren auf öffentlich zugänglichen Analysen, Sicherheitshinweisen und Berichten. Wer tiefer einsteigen will – hier sind meine Quellen.

01 The Decoder – CVE-2026-25253 Analyse
02 Cybersicherheit BW – Offizieller Sicherheitshinweis
03 Security Insider – ClawHub Sicherheitsrisiko
04 Bitdefender – 135.000 offene Instanzen
05 Snyk – ToxicSkills ClawHub-Analyse
06 Kaspersky – Schwachstellen-Dokumentation
07 The Hacker News – One-Click RCE Patch
08 The Hacker News – VirusTotal-Integration
09 veganmosfet – Zero-Click E-Mail RCE
10 Adversa.ai – Hardening Guide 2026
Link wurde kopiert!