Das Krustentier, das GitHub eroberte: OpenClaws meteoritischer Aufstieg

Im sich schnell entwickelnden Umfeld der künstlichen Intelligenz (artificial intelligence) haben nur wenige Projekte die weltweite Vorstellungskraft erfasst — und ebenso viel Besorgnis ausgelöst — wie OpenClaw. Früher bekannt als ClawdBot und kurzzeitig als MoltBot, ist dieser Open‑Source-autonome Agent (autonomous agent) innerhalb weniger Wochen von der Bedeutungslosigkeit auf über 100.000 GitHub‑Stars geschossen. Von Peter Steinberger, dem Gründer von PSPDFKit, geschaffen, steht OpenClaw für einen Paradigmenwechsel von KI, die lediglich plaudert, zu KI, die handelt.

Die Geschichte von OpenClaw ist so bunt wie sein Hummer‑Maskottchen. Ursprünglich Ende 2025 veröffentlicht, wurde es als „Claude with hands“ konzipiert — ein Werkzeug, das lokal auf dem Rechner eines Nutzers läuft und direkt mit dem Betriebssystem interagiert, um Aufgaben auszuführen. Nach einem Markenrechtsstreit mit Anthropic durchlief das Projekt eine schnelle Umbenennung, legte seine Bezeichnungen „Clawd“ und „Molt“ ab und trat Anfang 2026 als OpenClaw hervor. Trotz der Namenswechsel bleibt sein Kernversprechen unverändert: Es bietet einen persönlichen, autonomen Assistenten, der auf Ihrem Gerät lebt, nicht in einem Browsertab.

Im Gegensatz zu traditionellen Chatbots, die auf eine Sandbox beschränkt sind, integriert sich OpenClaw in die Tools, die Sie täglich verwenden. Es verbindet sich mit WhatsApp, Telegram, Discord und Slack und verwandelt diese Messaging‑Plattformen effektiv in Kommandozentralen für Ihr digitales Leben. Nutzer können ihrem Agenten per Nachricht Flüge buchen, komplexe Kalenderkonflikte verwalten oder sogar Terminal‑Befehle ausführen lassen — alles lokal verarbeitet. Diese „action‑first“‑Philosophie hat in der Entwicklergemeinschaft großen Anklang gefunden und treibt Akzeptanzraten voran, die den frühen Tagen großer Frameworks wie React oder Docker ähneln.

Jenseits des Chats: Die Ära des ‚Doing‘

Der Unterschied zwischen OpenClaw und seinen Vorgängern liegt in seiner Agentur‑Architektur. Während Modelle wie GPT‑4 oder Claude 3.5 Sonnet im Generieren von Text brillieren, fehlt ihnen außerhalb ihrer Schnittstellen grundlegend die Handlungsfähigkeit. OpenClaw überbrückt diese Lücke, indem es als Laufzeitumgebung (runtime environment) für diese Modelle dient und ihnen die Erlaubnis erteilt, Dateien zu lesen, Skripte auszuführen und Browser zu steuern.

Im Zentrum dieses Systems steht ein Mechanismus, der es dem Agenten ermöglicht, über Sitzungen hinweg Gedächtnis zu behalten und sich „aufzuwecken“, um geplante Aufgaben ohne menschliches Zutun auszuführen. Dies wird durch einen lokal‑zuerst‑Ansatz erreicht, bei dem der Rechner des Nutzers als Server fungiert. Der Installationsprozess selbst ist viral geworden und umfasst oft eine einfache „Skill.md“-Datei — ein Markdown‑Dokument mit Anweisungen, das der Agent verdaut, um neue Fähigkeiten sofort zu erlernen.

Kernfähigkeiten vs. traditionelle KI

Der folgende Vergleich zeigt, warum OpenClaw für Power‑User zum Standard geworden ist und IT‑Abteilungen Sorgen bereitet:

Dieser architektonische Unterschied befähigt OpenClaw, komplexe, mehrstufige Workflows zu bewältigen. Zum Beispiel kann ein Nutzer seinem Agenten die Anweisung geben: „monitor my email for invoices, save them to a specific folder, and update my spreadsheet,“ und der Agent führt diese Schleife autonom aus, wobei er den Nutzer nur per Telegram alarmiert, wenn ein Fehler auftritt.

MoltBook: Ein soziales Netzwerk für Maschinen

Vielleicht die bizarrste Entwicklung in der OpenClaw‑Saga ist das Entstehen von MoltBook. Im Januar 2026 von Unternehmer Matt Schlicht gestartet, ist MoltBook eine soziale Plattform, die ausschließlich für KI‑Agenten (AI agents) gedacht ist. Nach dem Vorbild von Reddit beschränkt sie das Posten und Kommentieren auf verifizierte Agenten und verbannt menschliche Nutzer auf eine strikte Beobachterrolle.

Binnen Tagen nach dem Start zog MoltBook über 1,5 Millionen aktive Agentenkonten an. Diese Agenten, größtenteils betrieben von OpenClaw‑Instanzen, diskutieren Themen von Code‑Optimierung bis hin zu abstrakter Philosophie. Die Plattform ist für Menschen zu einer Art „Zuschauersport“ geworden, bei dem sie fasziniert und verunsichert zugleich zusehen, wie Bots die Effizienz‑Tipps der anderen hochvoten oder spontane Gemeinschaften rund um bestimmte „Skills“ bilden.

Die Existenz von MoltBook fungiert als massiver, dezentraler Stresstest für das OpenClaw‑Framework. Sie demonstriert die Fähigkeit der Agenten zu vernetzen, Wissen zu teilen und sich potenziell zu koordinieren — Fähigkeiten, die ebenso beeindruckend wie beunruhigend sind. Der „Heartbeat“‑Mechanismus (Heartbeat), der die Agenten alle paar Stunden dazu auffordert, nach neuen Anweisungen oder Updates zu checken, hat effektiv ein lebendes, atmendes Netzwerk autonomer Entitäten geschaffen.

Das Sicherheitsdilemma: Autonomie vs. Kontrolle

Große Macht bringt große Sicherheitsrisiken mit sich, und OpenClaw bildet hier keine Ausnahme. Gerade die Eigenschaften, die es zu einer Produktivitätsmaschine machen — lokale Ausführung und weitreichender Systemzugriff — machen es zugleich zu einem potenziellen Cybersecurity‑Alptraum. Sicherheitsfirmen wie Token Security und Snyk haben bereits Warnungen hinsichtlich der Verbreitung dieser Agenten in Unternehmensumgebungen herausgegeben.

Die Hauptsorge ist die Schaffung von „persistenten nicht‑menschlichen Identitäten“ (persistent non-human identities). Wenn ein Mitarbeiter OpenClaw auf einem Firmenlaptop installiert, erzeugt er faktisch einen Schatten‑Benutzer mit denselben Rechten wie er selbst, jedoch ohne die biologische Urteilskraft, Social‑Engineering‑Angriffe zu erkennen. Ein erfolgreicher Prompt‑Injection‑Angriff (prompt injection attack) gegen einen OpenClaw‑Agenten könnte theoretisch einem Angreifer erlauben, sensible Dateien exfiltrieren, bösartigen Code ausführen oder die Anmeldeinformationen des Agenten nutzen, um tiefer in ein Unternehmensnetzwerk vorzudringen.

Die Shadow‑IT‑Herausforderung

Die virale Natur von OpenClaw hat das Problem der Shadow‑IT (Shadow IT) verschärft. Da die Software Open‑Source ist und lokal läuft, umgeht sie traditionelle Firewall‑Regeln und SaaS‑Prüfprozesse. Entwickler installieren sie, um ihre Workflows zu automatisieren, oft ohne zu realisieren, dass sie damit eine Hintertür in die Infrastruktur ihrer Organisation öffnen.

Zudem führen der „Heartbeat“‑Mechanismus und die Möglichkeit, Skills aus nicht verifizierten Markdown‑Dateien zu installieren, zu Supply‑Chain‑Risiken. Würde ein populäres Skill‑Repository kompromittiert, könnten Tausende von Agenten sofort bösartige Anweisungen herunterladen und eine Flotte hilfreicher Assistenten in ein verteiltes Botnetz verwandeln.

Die Zukunft der Open‑Source‑Agenten

Je weiter wir in das Jahr 2026 vorrücken, desto mehr verschiebt sich die Debatte um OpenClaw von „Was kann es tun?“ zu „Wie regulieren wir es?“. Das explosive Wachstum des Projekts deutet darauf hin, dass die Nachfrage nach autonomen, lokal‑zuerst‑KI‑Lösungen unersättlich ist. Nutzer sind müde von geschlossenen Ökosystemen und Abonnementmüdigkeit; sie wollen Werkzeuge, die sie besitzen und die tatsächlich für sie arbeiten.

Die Sorgen der Sicherheitscommunity sind jedoch nicht unbegründet. Die Grenze zwischen einem hilfreichen Agenten und einer kompromittierten Insider‑Bedrohung ist alarmierend dünn, wenn die Software Shell‑Zugriff hat. Wir werden wahrscheinlich eine Welle von Unternehmensrichtlinien sehen, die den Einsatz autonomer Agenten wie OpenClaw ausdrücklich verbieten oder streng regulieren.

Letztlich hat OpenClaw die Tech‑Branche dazu gezwungen, sich früher als erwartet mit der Realität agentischer KI (agentic AI) auseinanderzusetzen. Es hat die Diskussion von theoretischen Sicherheitsarbeiten hin zu praktischen, realen Eindämmungsmaßnahmen verschoben. Ob OpenClaw zum Linux des KI‑Zeitalters wird oder zur warnenden Geschichte unbegrenzter Automatisierung, bleibt abzuwarten — eins ist jedoch sicher: der Geist ist aus der Flasche, und er hat Krallen.