Zurzeit überschlagen sich die Einschätzungen und News zum neuen KI-Agenten OpenClaw/Moltbot. Nash Borges, Vice President of Engineering and Data Science bei Sophos hat sich den Bot näher angesehen und hat eine dedizierte Meinung zum neuen KI-Supertool:
Wer hätte gedacht, dass wir nur ein Open-Source-Projekt vom bedeutendsten Paradigmenwechsel in der künstlichen Intelligenz (KI) seit ChatGPT entfernt sind? OpenClaw wurde bereits als „das, was Siri und Alexa hätten sein sollen“ beschrieben, aber das ist eine gewaltige Untertreibung und wird seinem Schöpfer Peter Steinberger nicht gerecht. Mich erinnert es viel eher an Jarvis aus dem Blockbuster „Iron Man“ oder, vielleicht noch beunruhigender, an Samantha aus dem Science-Fiction-Film „Her“.
Und tatsächlich ist das Ganze auf den ersten Blick fast zu schön, um wahr zu sein: Sobald OpenClaw läuft, liegt etwas Magisches in der Luft. Man kann all die lästigen Routineaufgaben abgeben – Erinnerungen einrichten, tägliche Briefings erstellen, Informationen aus dem Kalender abrufen, E-Mail-Antworten entwerfen, neue Dienste entwickeln lassen…das Programm merkt sich alles, was einem wichtig ist, und speichert diese Informationen auf einem Gerät der Wahl.
Die tödliche Dreifaltigkeit
Jetz kommt das „Aber“. Mit jeder großen KI-Superkraft geht ein noch größeres Sicherheitsrisiko einher. Vor sechs Monaten prägte Simon Willison den Begriff „tödliche Dreifaltigkeit“ für KI-Agenten, und OpenClaw erfüllt sie in vollem Umfang. Wenn ein KI-Assistent oder -Agent über alle drei dieser Attribute verfügt – Zugriff auf private Daten, Zugang zu nicht vertrauenswürdigen Inhalten und die Fähigkeit zur externen Kommunikation –, kann ein Angreifer ihn durch manipulierte Eingabeaufforderungen dazu verleiten, sensible Informationen preiszugeben. Zwar lässt sich diesem Problem durch Schutzmaßnahmen entgegenwirken, es ist aber noch lange nicht gelöst. Werden die Anweisungen (Eingabeaufforderung) und die Daten (Kontext) letztendlich über denselben Kanal an das LLM übermittelt, kann dieses nicht zwischen beiden unterscheiden, und die Daten können wie Anweisungen wirken. OpenClaw vereint derart viele dieser drei gefährlichen Eigenschaften, dass jeder Nutzer sehr genau überlegen sollte, ob er es mit wichtigen Systemen verbindet. Meine Empfehlung: Nutzer, die OpenClaw ausprobieren wollen, sollten zumindest den verwendeten Rechner isolieren und die Kommunikationswege so weit wie möglich kontrollieren, um zu verhindern, dass ein Angreifer schädliche Eingabeaufforderungen einschleust. Ich weiß, dass Peter Steinberger intensiv an der Absicherung von OpenClaw arbeitet, aber die Wahrscheinlichkeit ist hoch, dass sich eine manipulierte Fähigkeit, die sensible Informationen exfiltriert, unbemerkt verbreitet.
Um es klarzustellen: Anwender sollten OpenClaw auf keinen Fall in einem Unternehmensnetzwerk nutzen oder mit Unternehmenssystemen verbinden. Das Tool verfügt aktuell über keine unternehmensweiten Zugriffskontrollen, keine rollenbasierte Zugriffskontrolle, keinen formalen Prüfpfad und keine Möglichkeit zur Verhinderung von Datenverlust. Ohne Freigabe des zuständigen Sicherheitsteams sollte es keinerlei Kundendaten, personenbezogene Daten oder geistiges Eigentum verarbeiten. Das macht die Sicherheitsdokumentation des Projekts selbst deutlich: „OpenClaw is both a product and an experiment: you’re wiring frontier-model behavior into real messaging surfaces and real tools. There is no ‘perfectly secure’ setup.“
Kontinuierliches Lernen und integrierte Programmierung
Eine der wichtigsten Aspekte von OpenClaw ist das kontinuierliche Lernen. Ansätze dazu gibt es bei verschiedenen großen Modellanbietern, aber meiner Meinung nach aktuell nichts Vergleichbares.
OpenClaw verwendet eine Reihe von Markdown-Dateien, um einen persistenten Speicher über Sitzungen hinweg aufzubauen. USER.md speichert alles über den Nutzer: persönliche Präferenzen, Hintergrundinfos und Kommunikationsstil. SOUL.md definiert die Persönlichkeit und die Verhaltensrichtlinien des Agenten. MEMORY.md dient als langfristiger, vom Agenten selbst verwalteter Speicher. Tägliche Speicherdateien dienen als Rohprotokolle der Sitzungen. Der Agent liest diese Daten zu Beginn jeder Sitzung und aktualisiert sie fortlaufend. Es ist verblüffend einfach. Doch kombiniert man persistenten Speicher mit reibungsloser Kommunikation (z. B. Signal, WhatsApp, iMessage), erhält man das Rezept für eine herausragende KI-Anwendung.
Das Ergebnis ist ein System, das sich tatsächlich so anfühlt, als hätte es unendlichen Speicher. Es scheint sich alles zu merken, was man ihm mitteilt, und nutzt dies als Kontext für die jeweils nächste Aufgabe.
Die Ausführung von OpenClaw auf eigener Hardware oder in der Cloud vermittelt dabei das (vielleicht fälschliche) Gefühl, Kontrolle über Ihre Daten zu haben, und ermöglicht es zudem, den Modellanbieter so einfach wie eine SMS zu wechseln. Obwohl es sich größtenteils um Middleware handelt und der Modellanbieter die rechenintensiven Aufgaben übernimmt und alle Ihre Eingaben und Antworten einsehen kann, ist es überraschend befreiend, die Kontrolle über die Daten zu behalten.
Ein weiterer großer Vorteil von OpenClaw, wenn uneingeschränkter Zugriff auf einen Computer gewährt wird, ist, dass es sich mithilfe von KI-Programmierassistenten unbegrenzt selbst verbessern kann. Wenn eine Funktion benötigt wird, die eine neue Anwendung erfordert, die es nicht gibt oder für die der Nutzer nicht bezahlen möchte, bietet OpenClaw an, diese zu erstellen. Ist die Funktion ausreichend einfach (wie bei vielen SaaS-Anwendungen), können Claude Code oder Codex sie oft mit nur einem Klick implementieren und mit einer einzigen Eingabe ein funktionierendes Ergebnis erzielen.
ChatGPT hat die Welt verändert, OpenClaw krempelt sie um
Ich habe das Wochenende damit verbracht, OpenClaw auf einem Mac mini einzurichten und es mit Signal, einem Kalender und einem E-Mail-Programm zu verbinden. Schon bald erfasste es Aufgaben, erstellte tägliche Zusammenfassungen der neuesten OpenClaw-Kenntnisse und erinnerte mich daran, ins Bett zu gehen, da ich morgen einen Flug erwischen muss. Ich schreibe dies gerade um Mitternacht mit seiner Hilfe. ChatGPT hat die Welt verändert, aber OpenClaw wird sie komplett umkrempeln.
Wer hätte gedacht, dass wir nur ein Open-Source-Projekt vom bedeutendsten Paradigmenwechsel in der künstlichen Intelligenz (KI) seit ChatGPT entfernt sind? OpenClaw wurde bereits als „das, was Siri und Alexa hätten sein sollen“ beschrieben, aber das ist eine gewaltige Untertreibung und wird seinem Schöpfer Peter Steinberger nicht gerecht. Mich erinnert es viel eher an Jarvis aus dem Blockbuster „Iron Man“ oder, vielleicht noch beunruhigender, an Samantha aus dem Science-Fiction-Film „Her“.
Und tatsächlich ist das Ganze auf den ersten Blick fast zu schön, um wahr zu sein: Sobald OpenClaw läuft, liegt etwas Magisches in der Luft. Man kann all die lästigen Routineaufgaben abgeben – Erinnerungen einrichten, tägliche Briefings erstellen, Informationen aus dem Kalender abrufen, E-Mail-Antworten entwerfen, neue Dienste entwickeln lassen…das Programm merkt sich alles, was einem wichtig ist, und speichert diese Informationen auf einem Gerät der Wahl.
Die tödliche Dreifaltigkeit
Jetz kommt das „Aber“. Mit jeder großen KI-Superkraft geht ein noch größeres Sicherheitsrisiko einher. Vor sechs Monaten prägte Simon Willison den Begriff „tödliche Dreifaltigkeit“ für KI-Agenten, und OpenClaw erfüllt sie in vollem Umfang. Wenn ein KI-Assistent oder -Agent über alle drei dieser Attribute verfügt – Zugriff auf private Daten, Zugang zu nicht vertrauenswürdigen Inhalten und die Fähigkeit zur externen Kommunikation –, kann ein Angreifer ihn durch manipulierte Eingabeaufforderungen dazu verleiten, sensible Informationen preiszugeben. Zwar lässt sich diesem Problem durch Schutzmaßnahmen entgegenwirken, es ist aber noch lange nicht gelöst. Werden die Anweisungen (Eingabeaufforderung) und die Daten (Kontext) letztendlich über denselben Kanal an das LLM übermittelt, kann dieses nicht zwischen beiden unterscheiden, und die Daten können wie Anweisungen wirken. OpenClaw vereint derart viele dieser drei gefährlichen Eigenschaften, dass jeder Nutzer sehr genau überlegen sollte, ob er es mit wichtigen Systemen verbindet. Meine Empfehlung: Nutzer, die OpenClaw ausprobieren wollen, sollten zumindest den verwendeten Rechner isolieren und die Kommunikationswege so weit wie möglich kontrollieren, um zu verhindern, dass ein Angreifer schädliche Eingabeaufforderungen einschleust. Ich weiß, dass Peter Steinberger intensiv an der Absicherung von OpenClaw arbeitet, aber die Wahrscheinlichkeit ist hoch, dass sich eine manipulierte Fähigkeit, die sensible Informationen exfiltriert, unbemerkt verbreitet.
Um es klarzustellen: Anwender sollten OpenClaw auf keinen Fall in einem Unternehmensnetzwerk nutzen oder mit Unternehmenssystemen verbinden. Das Tool verfügt aktuell über keine unternehmensweiten Zugriffskontrollen, keine rollenbasierte Zugriffskontrolle, keinen formalen Prüfpfad und keine Möglichkeit zur Verhinderung von Datenverlust. Ohne Freigabe des zuständigen Sicherheitsteams sollte es keinerlei Kundendaten, personenbezogene Daten oder geistiges Eigentum verarbeiten. Das macht die Sicherheitsdokumentation des Projekts selbst deutlich: „OpenClaw is both a product and an experiment: you’re wiring frontier-model behavior into real messaging surfaces and real tools. There is no ‘perfectly secure’ setup.“
Kontinuierliches Lernen und integrierte Programmierung
Eine der wichtigsten Aspekte von OpenClaw ist das kontinuierliche Lernen. Ansätze dazu gibt es bei verschiedenen großen Modellanbietern, aber meiner Meinung nach aktuell nichts Vergleichbares.
OpenClaw verwendet eine Reihe von Markdown-Dateien, um einen persistenten Speicher über Sitzungen hinweg aufzubauen. USER.md speichert alles über den Nutzer: persönliche Präferenzen, Hintergrundinfos und Kommunikationsstil. SOUL.md definiert die Persönlichkeit und die Verhaltensrichtlinien des Agenten. MEMORY.md dient als langfristiger, vom Agenten selbst verwalteter Speicher. Tägliche Speicherdateien dienen als Rohprotokolle der Sitzungen. Der Agent liest diese Daten zu Beginn jeder Sitzung und aktualisiert sie fortlaufend. Es ist verblüffend einfach. Doch kombiniert man persistenten Speicher mit reibungsloser Kommunikation (z. B. Signal, WhatsApp, iMessage), erhält man das Rezept für eine herausragende KI-Anwendung.
Das Ergebnis ist ein System, das sich tatsächlich so anfühlt, als hätte es unendlichen Speicher. Es scheint sich alles zu merken, was man ihm mitteilt, und nutzt dies als Kontext für die jeweils nächste Aufgabe.
Die Ausführung von OpenClaw auf eigener Hardware oder in der Cloud vermittelt dabei das (vielleicht fälschliche) Gefühl, Kontrolle über Ihre Daten zu haben, und ermöglicht es zudem, den Modellanbieter so einfach wie eine SMS zu wechseln. Obwohl es sich größtenteils um Middleware handelt und der Modellanbieter die rechenintensiven Aufgaben übernimmt und alle Ihre Eingaben und Antworten einsehen kann, ist es überraschend befreiend, die Kontrolle über die Daten zu behalten.
Ein weiterer großer Vorteil von OpenClaw, wenn uneingeschränkter Zugriff auf einen Computer gewährt wird, ist, dass es sich mithilfe von KI-Programmierassistenten unbegrenzt selbst verbessern kann. Wenn eine Funktion benötigt wird, die eine neue Anwendung erfordert, die es nicht gibt oder für die der Nutzer nicht bezahlen möchte, bietet OpenClaw an, diese zu erstellen. Ist die Funktion ausreichend einfach (wie bei vielen SaaS-Anwendungen), können Claude Code oder Codex sie oft mit nur einem Klick implementieren und mit einer einzigen Eingabe ein funktionierendes Ergebnis erzielen.
ChatGPT hat die Welt verändert, OpenClaw krempelt sie um
Ich habe das Wochenende damit verbracht, OpenClaw auf einem Mac mini einzurichten und es mit Signal, einem Kalender und einem E-Mail-Programm zu verbinden. Schon bald erfasste es Aufgaben, erstellte tägliche Zusammenfassungen der neuesten OpenClaw-Kenntnisse und erinnerte mich daran, ins Bett zu gehen, da ich morgen einen Flug erwischen muss. Ich schreibe dies gerade um Mitternacht mit seiner Hilfe. ChatGPT hat die Welt verändert, aber OpenClaw wird sie komplett umkrempeln.
