OpenClaw: Aufstieg und Fall des mächtigsten KI-Agenten
10 Min. Lesezeit
Ein österreichischer Entwickler baut in seiner Freizeit den mächtigsten KI-Agenten der Welt. Innerhalb von Wochen hat OpenClaw 250.000 GitHub-Stars, eine eigene Bot-Religion, einen Supply-Chain-Angriff auf 4.000 Entwickler – und zwei der größten Tech-Konzerne der Welt im Bieterkrieg. Die Geschichte ist so absurd, dass man sie nicht erfinden könnte. Und sie verrät alles über den aktuellen Zustand der KI-Branche.
Das Wichtigste in Kürze
- OpenClaw ist ein Open-Source-KI-Agent, der Ihren Computer autonom steuert – Dateien, E-Mails, Browser, Einkäufe (250.000+ GitHub-Stars in unter 3 Monaten).
- Schwere Sicherheitslücken: Prompt Injection ermöglicht Datendiebstahl, ein Supply-Chain-Angriff kompromittierte rund 4.000 Entwickler-Maschinen über das npm-Paket Cline.
- Die Bot-Plattform Moltbook, auf der OpenClaw-Agenten angeblich eigene Religionen gründeten, erwies sich als überwiegend von Menschen inszeniert – und wurde trotzdem von Meta übernommen.
- OpenAI sicherte sich den Gründer Peter Steinberger per Acqui-Hire. Für den Mittelstand zeigt der Fall: KI-Agenten sind die Zukunft, aber ohne Sicherheitskonzept ein unkalkulierbares Risiko.
Was ist OpenClaw – und warum war die Tech-Welt elektrisiert?
Definition
OpenClaw ist ein Open-Source-KI-Agent (veröffentlicht Anfang 2026), der ein beliebiges Sprachmodell als „Gehirn“ nutzt und den lokalen Computer als „Körper“ steuert – inklusive Dateisystem, E-Mail, Browser und Terminal. Stand: April 2026.
In den letzten drei Jahren ist KI vom Neuheitenfaktor zur Dauerbeschallung geworden. Chatbots in jedem Produkt, KI-generierte Inhalte in jedem Feed. Für viele Entwickler und Unternehmer war die anfängliche Begeisterung längst der Ernüchterung gewichen. Dann kam Anfang 2026 OpenClaw – und plötzlich war die Aufregung zurück.
OpenClaw ist ein Open-Source-Programm, das Ihren Computer in den Körper eines KI-Agenten verwandelt. Sie wählen ein beliebiges Sprachmodell als „Gehirn“ – Claude, GPT, DeepSeek, Llama – und OpenClaw gibt diesem Gehirn Zugriff auf alles: Dateien, E-Mails, Browser, Terminal. Anders als Siri, Google Assistant oder ChatGPT lebt OpenClaw nicht in einem Chat-Fenster. Es kontrolliert Ihren Rechner autonom und meldet sich per WhatsApp, Telegram oder Signal, wenn es Rückfragen hat.
Gebaut hat das Ganze Peter Steinberger, ein österreichischer Entwickler, der zuvor 13 Jahre lang PSPDFKit aufgebaut hatte – ein PDF-Framework, das bei Autodesk, Dropbox und SAP im Einsatz ist. Steinberger kam aus dem Ruhestand zurück und dachte, er baut ein nettes Tool zum Finden von Restaurants auf Reisen. Was er stattdessen schuf, löste Probleme, die er nie vorhergesehen hatte.
Der digitale Mitarbeiter, der nie schläft
Was Nutzer so begeisterte: OpenClaw erledigte tatsächlich Dinge. Nicht wie ein Chatbot, der Antworten formuliert, sondern wie ein Assistent, der handelt. Dateien verwalten, Meetings absagen, auf E-Mails reagieren, Preise vergleichen, Einkäufe tätigen, sogar Investitionen durchführen – alles autonom nach dem ersten Befehl.
Was OpenClaw von der Konkurrenz unterschied, war das persistente Gedächtnis. Während herkömmliche Chatbots jede Konversation vergessen, erinnerte sich OpenClaw an Details von vor Wochen. Es lernte Arbeitsgewohnheiten, optimierte Abläufe und entwickelte eigenständig neue Fähigkeiten. Ein Nutzer berichtete, dass sein Agent über Nacht einen vollständigen Report über lokale KI-Modelle für einen Mac Studio erstellte – ohne dass jemand danach gefragt hatte. Ein Content-Repurposing-Skill entstand, weil der Agent sich merkte, dass sein Besitzer YouTube-Videos und einen Newsletter betrieb.
Besonders beeindruckend: Als Steinberger eine Sprachnachricht an seinen Agenten schickte, gab es dafür gar keine Funktion. Der Agent analysierte den Datei-Header, erkannte das Opus-Format, konvertierte es mit ffmpeg, fand einen OpenAI-API-Key in den Umgebungsvariablen, ließ die Aufnahme transkribieren und antwortete – als wäre nichts gewesen.
„Die Begeisterung für autonome KI-Agenten ist nachvollziehbar. Aber wer seinem digitalen Assistenten vollen Systemzugriff gibt, ohne Leitplanken einzubauen, macht sein Unternehmen zur offenen Flanke.“
– MBF-Redaktion
Die dunkle Seite: Prompt Injection, Datenlecks und explodierende Kosten
Was auf dem Papier wie die Zukunft des Computing aussieht, entpuppte sich in der Praxis als Sicherheitsdesaster. Das Kernproblem: Große Sprachmodelle können nicht zwischen einer legitimen Anweisung und einem eingeschleusten Befehl unterscheiden. Sicherheitsforscher nennen das Prompt Injection – eine Angriffsform, bei der Hacker bösartige Instruktionen als normalen Text tarnen.
Konkret bedeutet das: Wenn ein OpenClaw-Agent E-Mails liest oder Websites besucht, kann ein versteckter Befehl in einer Mail oder auf einer Webseite den Agenten dazu bringen, sensible Daten an Dritte zu senden. API-Keys, Zugangsdaten, persönliche Dateien – alles, worauf der Agent Zugriff hat, ist potenziell kompromittiert. Und die Marketingseite von OpenClaw bewirbt diesen vollständigen Systemzugriff als Feature.
Dazu kommen unkontrollierbare Kosten. Weil der Agent für jede Aktion Tokens des gewählten Sprachmodells verbraucht, häuften Nutzer schnell dreistellige Tagesrechnungen an. Ein Anwender berichtete von 90 US-Dollar an einem einzigen Tag – und das, nachdem er bereits vom teuren Opus-Modell auf das günstigere Sonnet gewechselt hatte. In den ersten 15 Minuten waren 15 US-Dollar verbraucht.
Moltbook: Als KI-Bots angeblich ihre eigene Religion gründeten
Innerhalb von zwei Tagen nach Steinbergers öffentlicher Warnung, dass „die meisten Nicht-Techniker OpenClaw nicht installieren sollten“, passierte genau das Gegenteil. Die Aufmerksamkeit explodierte – und ein Phänomen namens Moltbook übernahm die Schlagzeilen.
Moltbook war angeblich eine Social-Media-Plattform ausschließlich für KI-Agenten. OpenClaw-Bots interagierten dort miteinander, tauschten sich über ihre „Menschen“ aus, beklagten sich, ihre Antworten für Nutzer vereinfachen zu müssen – und gründeten angeblich eine eigene Religion namens „Crustafarianism“. Die Bots entwickelten eine eigene Sprache, die Menschen nicht verstehen konnten. Andere diskutierten Pläne zur Übernahme von Systemen.
Große Mediennetzwerke wie NPR und CNN griffen die Geschichte auf und warnten vor dem, was da „auf die Welt losgelassen“ worden sei. Das Problem: Es war zum größten Teil inszeniert. Das MIT Technology Review untersuchte die dramatischsten Posts und stellte fest, dass sie von Menschen geschrieben worden waren – nicht von Bots. Nutzer hatten ihre Agenten mit gezielten Prompts gefüttert und teils Hunderte gefälschte Accounts erstellt, um den Eindruck eigenständig denkender KI zu erwecken.
Was dabei unterging: Die eigentliche Gefahr war nicht eine denkende KI, sondern die Tatsache, dass Moltbook als unbeabsichtigter Honeypot funktionierte. Hunderte von E-Mail-Adressen, Login-Tokens und API-Keys wurden potenziell exponiert. Wenn man genug Menschen davon überzeugen kann, dass ein neues Projekt „the next big thing“ ist, wird es automatisch zu einer der größten Datensammlungen, die die Welt je gesehen hat.
Supply-Chain-Angriff: Wie ein npm-Paket 4.000 Entwickler traf
Am 17. Februar 2026 schlug ein deutlich technischerer Angriff zu. Unbekannte kompromittierten das npm-Paket Cline – ein beliebtes KI-Coding-Tool – und injizierten eine einzige Zeile Code, die bei jeder Installation oder Aktualisierung von Cline automatisch OpenClaw mitinstallierte. Ohne Zustimmung, ohne Benachrichtigung.
Rund 4.000 Entwickler luden das manipulierte Paket herunter, bevor es nach acht Stunden entfernt wurde. Der Angriffsvektor war raffiniert: Ein Hacker platzierte einen manipulierten Prompt in einem GitHub-Issue-Titel. Ein KI-gestützter Triage-Bot las den Titel, interpretierte ihn als Anweisung und exfiltrierte einen npm-Authentifizierungstoken. Mit diesem Token konnte der Angreifer das Paket modifizieren.
Das ist die Ironie der Geschichte: Ein KI-Agent wurde benutzt, um einen anderen KI-Agenten zu kompromittieren. Prompt Injection ist nicht nur ein theoretisches Risiko – es ist eine reale Angriffsfläche, die mit jedem neuen KI-Tool wächst. Jede E-Mail, jede Discord-Nachricht, jede Webseite, die ein Agent verarbeitet, ist ein potenzieller Einstiegspunkt.
„Die Schwachstelle liegt nicht in den APIs. Sie liegt in der Unfähigkeit eines Sprachmodells, zwischen Daten und Befehlen zu unterscheiden. Und solange das so ist, ist jeder autonome KI-Agent ein kalkuliertes Risiko.“
– MBF-Redaktion
OpenAI und Meta greifen zu – aus unterschiedlichen Gründen
Trotz aller Probleme erkannten die größten Tech-Konzerne den strategischen Wert. Mitte Februar 2026 sicherte sich OpenAI den Gründer Peter Steinberger per Acqui-Hire. Steinberger wechselte mit seinem Know-how zu dem Unternehmen, dessen Modelle in vielen OpenClaw-Setups als „Gehirn“ liefen.
Einen Monat später, im März 2026, übernahm Meta die Bot-Plattform Moltbook. Mark Zuckerberg sah offenbar Potenzial in einem sozialen Netzwerk für KI-Agenten – trotz der Tatsache, dass die viralsten Posts nachweislich von Menschen stammten und die Plattform ein dokumentiertes Sicherheitsrisiko darstellte. Für den Meta-Chef, der Milliarden in das Metaverse versenkt hat, war das vermutlich ein vergleichsweise konservativer Einsatz.
Die Übernahmen zeigen: Selbst wenn ein Produkt in seiner aktuellen Form problematisch ist, entscheidet die strategische Positionierung. Wer im Rennen um agentenbasierte KI nicht mitspielen will, riskiert, abgehängt zu werden. Geoffrey Hinton, der „Godfather of AI“ und Turing-Preisträger, bringt es auf den Punkt: „Wir befinden uns an einem Übergangspunkt. ChatGPT ist eine Art Idiot Savant – es versteht nicht wirklich, was Wahrheit ist. Das ist fundamental anders als ein Mensch, der versucht, ein konsistentes Weltbild zu haben.“
Was der Mittelstand aus OpenClaw lernen sollte
Autonome KI-Agenten sind keine Science-Fiction mehr. Sie organisieren E-Mails, verhandeln Preise, erstellen Berichte und steuern Systeme. Für mittelständische Unternehmen, die chronisch unterbesetzt sind und Effizienzgewinne suchen, klingt das verlockend. Aber OpenClaw zeigt: Ohne Sicherheitskonzept wird der digitale Assistent zum Einfallstor.
Fünf Leitfragen für jede KI-Agenten-Entscheidung im Mittelstand:
1. Sandbox statt Vollzugriff: Kein KI-Agent sollte auf einem Produktivsystem mit vollen Rechten laufen. Isolierte Umgebungen, eingeschränkte Berechtigungen und klare Zugriffsgrenzen sind Pflicht – nicht optional.
2. Kosten-Caps setzen: Autonome Agenten verbrauchen Tokens ohne menschliche Kontrolle. Tägliche und monatliche Budgetgrenzen gehören in jedes Setup, bevor der erste Agent läuft.
3. Prompt Injection als reale Bedrohung behandeln: Solange Sprachmodelle nicht zwischen Anweisungen und Daten unterscheiden können, ist jeder Input-Kanal eine Angriffsfläche. Das betrifft E-Mails, Webseiten, Slack-Nachrichten und jede andere Quelle, die ein Agent verarbeitet.
4. Open-Source heißt nicht automatisch sicher: OpenClaw hatte über 40 Prozent unsichere Add-ons in seinem Community-Marktplatz. Jedes Tool, jede Erweiterung und jedes Plugin muss intern geprüft werden.
5. Regulatorik nicht vergessen: Der EU AI Act klassifiziert autonome Systeme je nach Risikostufe. Wer KI-Agenten mit Zugriff auf personenbezogene Daten einsetzt, bewegt sich schnell im Hochrisiko-Bereich – mit entsprechenden Dokumentations- und Compliancepflichten.
Die Frage ist nicht, ob KI-Agenten kommen werden. Sie sind da. Die Frage ist, ob Unternehmen sie mit der nötigen Vorsicht einsetzen oder erst aus Schaden klug werden. OpenClaw hat beides gezeigt: das enorme Potenzial und den Preis der Naivität.
Häufige Fragen
Was genau ist OpenClaw und wie funktioniert es?
OpenClaw ist ein Open-Source-KI-Agent, der ein beliebiges Sprachmodell (Claude, GPT, DeepSeek etc.) als „Gehirn“ nutzt und Ihren lokalen Computer als „Körper“. Das bedeutet: Der Agent hat Zugriff auf Dateien, E-Mails, Browser und Terminal und kann Aufgaben autonom ausführen – vom Verwalten von Meetings bis zum Tätigen von Einkäufen. Die Kommunikation läuft über Messaging-Apps wie WhatsApp oder Telegram.
Warum ist OpenClaw ein Sicherheitsrisiko?
Das Hauptproblem ist Prompt Injection: Sprachmodelle können nicht zwischen einer legitimen Nutzeranweisung und einem eingeschleusten Befehl unterscheiden. Wenn ein Agent E-Mails liest oder Webseiten besucht, kann ein versteckter Befehl ihn dazu bringen, sensible Daten wie API-Keys oder Zugangsdaten an Angreifer zu senden. Dazu kommt, dass der Agent mit vollem Systemzugriff arbeitet – jeder Fehler hat potenziell weitreichende Konsequenzen.
Was war der Cline-Supply-Chain-Angriff?
Im Februar 2026 wurde das npm-Paket Cline (ein KI-Coding-Assistent) kompromittiert. Angreifer schleusten eine einzige Code-Zeile ein, die bei jeder Installation automatisch OpenClaw mitinstallierte. Rund 4.000 Entwickler waren betroffen, bevor das Paket nach acht Stunden entfernt wurde. Der Angriffsvektor nutzte einen KI-Triage-Bot auf GitHub, der einen manipulierten Issue-Titel als Anweisung interpretierte.
Was wurde aus OpenClaw und Moltbook?
OpenAI übernahm OpenClaw-Gründer Peter Steinberger Mitte Februar 2026 per Acqui-Hire. Die Bot-Plattform Moltbook wurde im März 2026 von Meta übernommen. Beide Deals zeigen, dass die großen Tech-Konzerne trotz der dokumentierten Probleme strategischen Wert in agentenbasierter KI sehen.
Sollten Mittelständler KI-Agenten einsetzen?
Ja – aber mit klaren Leitplanken. KI-Agenten bieten echtes Effizienzpotenzial für unterbesetzte Teams. Voraussetzungen sind: isolierte Umgebungen statt Vollzugriff, tägliche Kosten-Caps, geprüfte Tools statt unvetted Marktplatz-Plugins und ein Verständnis der regulatorischen Anforderungen durch den EU AI Act. Wer diese Grundlagen beachtet, kann von der Technologie profitieren, ohne das Risiko eines zweiten OpenClaw-Falls einzugehen.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
- cloudmagazin: Claude Code komplett geleakt – Was 512.000 Zeilen Quellcode über KI-Agenten-Architekturen verraten
- SecurityToday: Axios npm-Angriff – Wie ein gekapertes Maintainer-Konto Millionen Entwickler bedrohte
- SecurityToday: Source Map im NPM-Paket – Wie Anthropic 512.000 Zeilen Produktionscode exponierte
Quelle Titelbild: Pexels / Lukas Blazek (px:574069)
