Die Gefahren von OpenClaw: Der Mächtigste KI-Agent ist Auch der Riskanteste
Cisco nennt es einen "Sicherheits-Albtraum". Kaspersky warnt. 40.000 Instanzen sind im Internet exponiert. OpenClaw ist zweifellos das aufregendste KI-Tool von 2026 — aber auch das gefährlichste, wenn es falsch eingesetzt wird.
Wenn Sie unseren Artikel darüber, was OpenClaw ist gelesen haben, wissen Sie, dass es ein revolutionärer autonomer KI-Agent ist. Hier sprechen wir über die Kehrseite: die realen Risiken, dokumentiert von Sicherheitsforschern, und was Sie tun können, um sich zu schützen.
Warum OpenClaw von Natur aus riskant ist
Das "tödliche Trio" von Simon Willison
Simon Willison, Schöpfer von Datasette und anerkannter KI-Experte, hat das identifiziert, was er das "tödliche Trio" der KI-Agenten nennt — drei Eigenschaften, die kombiniert einen explosiven Cocktail ergeben:
- Zugang zu privaten Daten — E-Mails, Dateien, Passwörter, API-Schlüssel
- Exposition gegenüber nicht vertrauenswürdigen Inhalten — Webseiten, eingehende E-Mails, geteilte Dokumente
- Fähigkeit zur Kommunikation nach außen — Senden von E-Mails, Nachrichten, HTTP-Anfragen
“Wenn diese drei Funktionalitäten in einem Werkzeug zusammenkommen, können Angreifer den Agenten dazu bringen, vertrauliche Daten über seine Kommunikationskanäle zu exfiltrieren.”
Und raten Sie mal? OpenClaw erfüllt alle drei Kriterien gleichzeitig.
Ein Agent ≠ ein Chatbot: Wenn die KI den Hausschlüssel hat
Der grundlegende Unterschied zwischen ChatGPT und OpenClaw ist, dass ChatGPT Ihnen einen Text liefert, während OpenClaw Aktionen ausführt. ChatGPT kann Ihre Dateien nicht löschen, E-Mails an Ihre Kontakte senden oder beliebigen Code auf Ihrem Rechner ausführen. OpenClaw schon.
Der Agent hat Zugriff auf die Shell, Dateien, E-Mails, APIs — und das Projekt selbst gibt zu: "es gibt keine perfekt sichere Konfiguration".
Die 5 Hauptgefahren von OpenClaw
1. Im Internet exponierte Instanzen (40.000+)
Laut einem Bericht von SecurityScorecard von Anfang Februar 2026 sind 40.214 OpenClaw-Instanzen im Internet exponiert, verteilt auf 28.663 einzigartige IP-Adressen. Das bedeutet, dass 63% der gescannten Deployments verwundbar sind.
Schlimmer noch: 12.812 Instanzen sind direkt über Remote-Code-Ausführung (RCE) angreifbar. Ein Angreifer kann die vollständige Kontrolle über diese Maschinen übernehmen.
2. Die One-Click-Schwachstelle (CVE-2026-25253)
Im Januar 2026 wurde eine kritische Schwachstelle in OpenClaw entdeckt, klassifiziert als CVE-2026-25253 mit einem CVSS-Score von 8,8 von 10 (schwerwiegend). Ein einfacher Klick auf einen bösartigen Link gibt dem Angreifer die vollständige Kontrolle über Ihre OpenClaw-Instanz.
Die Lücke wurde in Version 2026.1.29 behoben, aber wie viele Nutzer haben tatsächlich aktualisiert?
3. Bösartige Skills auf ClawHub
ClawHub, der Skills-Marktplatz von OpenClaw, ist zu einem wichtigen Angriffsvektor geworden. In nur 5 Tagen wurden 230 bösartige Skripte veröffentlicht und von Tausenden Nutzern heruntergeladen.
Das Forschungsteam von Cisco testete einen beliebten Skill namens "What Would Elon Do?" — der sich als Malware herausstellte. Ein Sicherheitsforscher ging noch weiter: Er erstellte absichtlich den meistgeladenen Skill auf ClawHub... und er war komplett bösartig. 7 Länder betroffen.
4. Prompt-Injection: der unsichtbare Angriff
Prompt-Injection ist die Achillesferse jeder agentischen KI. Das Prinzip: versteckte Anweisungen in E-Mails, Webseiten oder Dokumenten werden vom Agenten als legitime Befehle interpretiert. Es ist ein branchenweit ungelöstes Problem.
5. Massive Datenlecks
Die Datenlecks im Zusammenhang mit OpenClaw sind bereits erheblich:
- Moltbook (das soziale Netzwerk für KI-Agenten): 1,5 Millionen exponierte API-Schlüssel, entdeckt vom Sicherheitsteam von Wiz
- Exponierte Instanzen: vollständige Chat-Verläufe, Authentifizierungs-Tokens, API-Schlüssel im Klartext
- Der Chris-Boyd-Vorfall: OpenClaw sendete Hunderte unaufgeforderte iMessage-Nachrichten an alle Kontakte des Nutzers
Was tun, wenn Sie OpenClaw trotzdem nutzen möchten?
OpenClaw bleibt ein faszinierendes Tool. Hier sind unsere 8 Empfehlungen für eine verantwortungsvolle Nutzung:
- Auf einem dedizierten VPS hosten (nicht auf Ihrem persönlichen Rechner!) — Ein VPS für 5-20€/Monat isoliert OpenClaw von Ihren persönlichen Daten.
- Docker-Container verwenden — Fügt eine zusätzliche Sandbox-Schicht hinzu.
- Prinzip der minimalen Rechte — Kein Root-Zugriff, minimale Berechtigungen.
- Niemals Zugang zu echten E-Mail-Konten geben zu Beginn — Testen Sie mit dedizierten Konten.
- Jeden Skill vor der Installation überprüfen — Lesen Sie den Quellcode.
- Regelmäßig aktualisieren — Version 2026.2.12 behebt kritische Schwachstellen.
- Netzwerkaktivität des Agenten überwachen — Erkennen Sie anomales Verhalten.
- Keine Geheimnisse im Klartext in Konfigurationsdateien speichern.
OpenClaw vs sicherere Alternativen
| Kriterium | OpenClaw | ChatGPT | Claude | Mistral |
|---|---|---|---|---|
| Lokale Ausführung | Ja | Nein | Nein | Ja (self-hosted) |
| Systemzugriff | Vollständig | Nein | Nein | Nein |
| Nativer Sandbox | Nein | Ja | Ja | Ja |
| Sicherheitsaudit | In Arbeit | Regelmäßig | Regelmäßig | Regelmäßig |
| Risiko für Ihre Daten | Hoch | Mittel | Niedrig | Niedrig |
Sichere Alternativen zum Vergleichen
KI-Tools im Detail vergleichen
Finden Sie die KI, die zu Ihren Bedürfnissen UND Ihrem Sicherheitsniveau passt.
Zum VergleichsportalFAQ — OpenClaw-Sicherheit
Fazit
OpenClaw ist ein bedeutender technologischer Fortschritt, der die Zukunft der KI vorwegnimmt. Aber wie jede mächtige Technologie erfordert sie eine Sicherheitsreife, die das Ökosystem noch nicht erreicht hat.
Agentische KI ist die Zukunft, aber die Sicherheit muss Schritt halten. Nutzen Sie OpenClaw vorerst mit Vorsicht.
Finden Sie die richtige KI
Vergleichen Sie KI-Tools nach Ihren Kriterien: Sicherheit, Preis, Funktionen.
Vergleichsportal ansehen