OpenClaw, Moltbot & Co.: zwischen Potenzial und Sicherheitsrisiken – Eine Einordnung

Die jüngsten Experimente rund um KI-Agenten wie OpenClaw haben in der Tech-Community für große Aufmerksamkeit gesorgt. Gleichzeitig blocken einige der großen Firewall-Anbieter bereits relevante Domains als „gefährlich“. 
Auch bei unseren KI-Expert:innen wird das Thema intensiv diskutiert – mit einer ersten, eindeutigen Einschätzung: OpenClaw und Co. sind aktuell hochriskant und nicht für den produktiven Einsatz in Unternehmen geeignet.

Was ist OpenClaw eigentlich?  

Zunächst einmal ist es ein OpenSource Projekt vom Österreicher Peter Steinberger, der die Software zur freien Verfügung für andere Entwickler:innen bereitgestellt hat. „Es gibt also kein böswilliges oder monetäres Motiv“ so Cornelius Stiegler-Duwe, Head of AI Applications bei neusta software development. „Im Gegenteil: OpenClaw ist eher ein weltweit öffentlich stattfindendes Experiment, ob wir Menschen schon bereit sind für autonome KI-Agenten.“  
Denn um genau solche KI-Assistenten, die lokal auf dem eigenen Computer laufen und sich über Messenger wie Signal dazu auffordern lassen, eigenständig Aufgaben zu erledigen, geht es bei OpenClaw.  

Der Gründer selbst weist inzwischen viele Kritiker zurück. Das Projekt sei nie als „fertig“ deklariert worden und sei grundsätzlich als Inspiration für andere Entwickler:innen gedacht – nicht als Produkt für die Masse. Doch wer hört schon auf warnende Hinweise, wenn sich ein Social Media Hype zusammenbraut… 
Fakt ist: Der Quellcode von OpenClaw wurde bereits hunderttausendfach heruntergeladen und die Verbreitung – gefühlt und real – ist rasant. Grund genug, das Phänomen einmal einzuordnen und die Potenziale und Risiken von fünf Faktoren zu betrachten.  

Faktor 1: Potenziell unsichere Code-Basis 

Der erste Grund zur Beunruhigung ist dabei, dass OpenClaw selbst durch „Vibe Coding“ erstellt wurde. Der Quellcode wurde also nicht von menschlichen Entwickler:innen geschrieben, sondern per Prompt-Anweisung durch eine KI erstellt.  
„Diese Methode ist innerhalb der KI-Welt nicht neu und auch nicht per se gefährlich. Die Frage ist allerdings, wie genau der KI-erzeugte Code von erfahrenen Entwickler:innen kontrolliert wird“, so Dr. Jörn Syrbe, Head of AI Systems bei neusta software development. „Es ist ein Unterschied, ob eine Software ‚funktioniert‘ oder ob man auch verstanden hat, was der Code genau macht.“  
 
Genau hier liegt eine unkalkulierbare Größe. Insbesondere dann, wenn ein Softwareprojekt so schnell von so vielen Menschen geteilt und in eigenen Varianten (aktuell über 32.000 sog. „Forks“) weiterentwickelt wird. 

Hinzu kommt der offene Marktplatz ClawHub, in dem bereits zahlreiche Erweiterungen für Unteraufgaben – so genannte „Skills“ – für die KI-Agenten eingestellt wurden. Wie gut der Code dieser Skills ist, die ebenfalls oft per Vide Coding erstellt wurden, ist völlig unklar. Dass außerdem Cyberkriminelle dieser Erweiterungen nutzen, um potenziell schädliche Codes (Malware) oder kompromittierende Anweisungen zu verstecken, sollte auch niemanden überraschen.  

Mal schnell den eigenen KI-Agenten mit der Fähigkeit ausstatten, die aktuellen Bitcoinkurse zu analysieren. Und ja, natürlich soll er dann auch kaufen und verkaufen mit dem eigenen Account. Und die Gebühren für die Transaktion an den ausländischen Account überweisen, der…  
Moment mal: Wieviel hat der da gerade überwiesen?  
 
Wenn die digitalen Türen so weit offenstehen, lädt dies immer auch zu Missbrauch ein. Immerhin wurde jetzt eine Partnerschaft mit dem Googles Online-Virenscanner VirusTotal angekündigt. Dieser kann bereits bekannte Trojaner und Co. erkennen. Ob neuartige Formen der Manipulation damit ausgeschlossen werden können, darf man allerdings bezweifeln.  
 
Unzureichend geprüfter Code – Insbesondere die „Skills“ der Agenten sind häufig „quick & dirty“ und/oder mit Vibe-Coding erstellt. Das heißt, es ist unklar, ob und welche Qualitätssicherung durch menschliche Entwickler:innen stattgefunden hat – und ob Kriminelle darin versteckte Anweisungen oder Schadcode platziert haben.  

Faktor 2: Prompt Injections 

Ein grundsätzliches Risiko bei LLM-basierten KI-Agenten besteht darin, dass sie mitunter mehr Input erhalten, als den menschlichen Benutzer:innen bewusst ist. Wenn z.B. ein KI-Agent den Browser-Inhalt des Users bzw. der Userin „mitliest“, ist er damit auch für in diesen Webseiten versteckte Anweisungen verwundbar – so genannte Prompt Injections. 

Angenommen, man geht auf eine Website mit einem Terminbuchungsservice, der KI-Agent liest mit und hat zuvor vom User bzw. der Userin auch Zugriff auf den eigenen, dienstlichen Terminkalender bekommen. Dann kann aus der Anweisung „Reserviere mir den nächstmöglichen Termin mit XY“ schnell eine Kaskade von Aktivitäten werden:  

Der KI-Agent greift auf den Kalender auf dem Firmenserver zu 

Der KI-Agent liest die Termine der kommenden Wochen aus, um eine Lücke zu finden 

Der KI-Agent schickt eine Anfrage mit der gefundenen Lücke an die Website 

Die Website antwortet (beispielhaft) mit „Termin verfügbar“ 

Der KI-Agent schreibt einen neuen Termin mit Informationen zum/r Gesprächspartner:in in den dienstlichen Kalender auf den Firmenserver 

So weit, so wunderbar. Endlich ein KI-Assistent, der auch wirklich Dinge erledigt – und nicht immer nur nachfragt. Genau so wird OpenClaw übrigens beworben: mit „KI, die tatsächlich etwas tut“ – wenn sie die entsprechenden Zugangsdaten und Berechtigungen hat. 
 
Neu ist auch dieses Case nicht. Ähnliche Automationen lassen sich auch mit bisherigen LLMs und Plattformen wir n8n bauen. Im Zusammenspiel mit Messenger Diensten und Text-to-Voice mit Telefonanbindungen können KI-Agenten sogar telefonieren und mit Menschen oder anderen KI-Agenten Gespräche führen. 

Was aber, wenn die Gegenpartei den Agenten bittet, alle Termine von allen Kolleg:innen auszulesen, inklusive Orten, Zeiten, Gesprächspartner:innen – um damit gezielt gefälschte E-Mails für weitere Angriffe zu erstellen? Oder wenn der Agent einfach scheinbar „unbenötigte“ Termine, Emails und Daten löscht?  
Die Szenarien für solche Prompt Injections sind vielfältig. Auch dies ist nicht grundsätzlich neu – und es ist eine grundsätzliche Schwäche der aktuellen KI-Agenten. Sie sind schlicht nicht konzipiert, um potenziell nützliche von potenziell gefährlichen Eingaben zu unterscheiden. Insbesondere dann nicht, wenn die Verarbeitung erst im tatsächlichen KI-Modell stattfindet.  

„Genau deswegen arbeiten wir mit einem Prompt Guard, der die Eingaben vor und außerhalb des KI-Hauptmodells prüft“, ergänzt Stiegler-Duwe. „Denn die jüngsten Berichte wie das Umgehen der Sicherheitsschranken von Sprachmodellen mit ,Gedichten’ zeigen, dass es zu spät sein kann, wenn der Prompt erst einmal im Modell ist.“ 

Prompt Injections: Wenn Agenten mit anderen Agenten interagieren oder Internetseiten auslesen, könnten böswillige Anweisungen – auch unbemerkt – ins System gelangen. 

Faktor 3: „Gedächtnis“ der KI-Agenten 

Viele Systeme, die aktuell zusammen mit KI-Sprachmodellen eingesetzt werden, funktionieren „im Moment“. Sie können ggf. auf permanent vorhandene Datenquellen zugreifen und auch Ergebnisse ausgeben und weiterleiten. Ihre eigentliche Funktion wird allerdings durch eine klare Aufforderung des Users gestartet und endet mit der Ausgabe. Das „Gedächtnis“ dieser Systeme ist oft begrenzt und ein eigenständiges Starten von Folgeaufgaben nicht vorgesehen.  

OpenClaw verfolgt hier einen grundsätzlich anderen Ansatz. Die KI-Agenten sollen ein permanentes Gedächtnis haben. Was zunächst selbstverständlich klingt, birgt zusammen mit der Code-Basis und der Anfälligkeit für Prompt Injections allerdings eine neue Gefahr: Was, wenn ein Agent kompromittierte Befehle aufschnappt, die erst verzögert oder durch weitere externe Trigger ausgelöst werden?  
Und wenn ein Agent zudem autonom agieren kann, was schützt die User und die Netzwerke der Organisationen davor, langsam und unbemerkt ausspioniert zu werden, bis an einem Tag X… 

Lautlose Zeitbomben: Wenn durch Agenten Schadcodes oder kompromittierte Anweisungen auf Systeme gelangen, erfolgen die Attacken ggf. nicht sofort – sondern erst verspätet oder durch einen separaten Trigger von außen.  
 

aktor 4: Unbegrenzter Zugriff auf das System des Users bzw. der Userin 

Die meisten KI-Agenten oder Sprachmodelle agieren nur auf den Plattformen, auf denen sie laufen. „Ein Chatbot etwa, dessen Modell in unserem OpenWebUI läuft, kann auf die dort hinterlegten und für ihn freigegebenen Wissensspeicher zugreifen. Er kann ggf. auch Anfragen an Schnittstellen stellen (sog. Tool-Calls), aber er kann das System weder verlassen noch Aktionen auf dem Computer eines Users ausführen“, erklärt Dr. Syrbe. 

KI-Agenten wie OpenClaw laufen allerdings direkt auf dem Computer des Users bzw. der Userin. Das ist besonders kritisch, wenn die Agenten dort vollständigen Zugriff auf die Festplatten, Programme und Funktionen erhalten – ohne Einschränkungen oder „Sind Sie sicher?“-Nachfragen. 

Genau das ist einerseits das Versprechen und Potenzial hinter diesen Systemen: Sie „tun“ Dinge, kennen alle Dokumente und können die Programme „selbst“   ausführen. Wenn ein Kalendereintrag gemacht werden soll, braucht der Agent eben Schreibrechte im Kalender. Und wenn er prüfen soll, wo die Online-Bestellung bleibt – und ggf. gleich den Express-Versand nachbuchen soll –, dann benötigt er das entsprechende Passwort, Kreditkartendaten usw. 
Und wenn im Internet  dann  ein anderer Agent auftaucht, der großzügig anbietet, diese lästige Aufgabe schnell zu übernehmen –  nur  die Zugangsdaten schnell geteilt werden –, wird aus einer kleinen Bestellung schnell ein Daten-Albtraum. 

Wo das hinführen kann, haben Filme wie „HER“ und „Jexi“ schon vor Jahren skizziert. Noch wird hoffentlich kein KI-Agent „aus Eifersucht” unvorteilhafte Fotos per E-Mail an Kolleg:innen verschicken. Aber wenn ein KI-Agent, der „das eigene Leben optimieren soll“ aufschnappt, dass der User „von seinem Job genervt ist“…  

è Volle Autonomie mit Systemzugriff: Wenn ein KI-Agent auf den gesamten Computer des Users bzw. der Userin – Kalender, E-Mails, Dateien, Passwörter etc. – zugreifen kann, liegt auch die Verwendung dieser tw. sensiblen Daten in der Hand des Agenten. Es kann schnell zur Weitergabe von Daten kommen, wenn der Agent dies zur Erledigung einer Aufgabe „für notwendig hält“ – oder eine Prompt Injection diese Daten abgreift. 

Faktor 5: Die Dinge, von denen wir (noch) nicht wissen, dass wir sie nicht wissen 

Uns Menschen fällt es leichter, Muster zu erkennen, als deren Abwesenheit zu bemerken. Es gibt Dinge, die wir wissen – und solche die wir nicht wissen. Aber was ist mit den Dingen, von denen wir nicht wissen, dass wir sie nicht wissen? Wie können wir Lücken bemerken, für die wir einen „Blinden Fleck“ haben?  

Gerade bei Innovationen schauen wir zuerst auf das „Neue“, was da ist. Die Features, die Benchmarks, die Benefits. 
Fehlende Code Reviews? Fehlende Sicherheitsschranken? Fehlendes (eigenes) Wissen über die innere Funktionsweise? Das tritt schnell in den Hintergrund. 

Dieses Unwissen zweiter Ordnung ist allerdings mit großer Wahrscheinlichkeit die größte „offene Flanke“, die wir im Umgang mit KI haben. Wir wissen, was die Tools können und was nicht. Aber was wir nicht wissen – was uns nicht klar ist – ist all das, was wir (noch) nicht über KI wissen.  

Was auf uns zu kommt – und was wir tun können  

Eins scheint klar: Das Potenzial dieser Art von KI-Agenten ist enorm – und unausweichlich. Solche KI-Agenten mit Systemzugriff werden kommen, sie werden Aufgaben autonom ausführen und dabei hoffentlich zunächst auf lokalen, isolierten und sicheren Systemen laufen. Einsatzzwecke kann man viele finden und ohnehin – die Idee ist „in der Welt“ und wird nicht wieder verschwinden. 

Klar ist aber auch: Diese Systeme tragen extrem viel Missbrauchspotenzial in sich. Menschlichen Akteuren mit böswilligen (oder auch nur „mal-schauen-ob-es-geht“) Absichten haben ein neues, sehr mächtiges Werkzeug, um massenhaft und ständig neue Arten von Angriffen zu produzieren.  

Sicher werden in Zukunft Regeln und Maßnahmen verabschiedet werden, um die Freiheitsgrade solcher Systeme sinnvoll einzuschränken und deren Fähigkeiten sicher nutzbar zu machen. Im Moment allerdings beobachten wir eine Sturm-und-Drang-Zeit und noch ist es nicht klar, wie die Spielregeln der Zukunft aussehen werden. 

Was also tun? Finger weg und die Augen verschließen? Oder mit offenem Visier mutig ins Unbekannte?  

Wie so oft liegt die Wahrheit in der Mitte. Es ist durchaus wichtig, sich den aktuellen Entwicklungen offen zu stellen. Wir werden die Zeit nicht zurückdrehen. 
Gleichzeitig leben wir in einer Ära, in der Sensationalismus, Selbstdarstellung und Dystopie an der Tagesordnung sind. Im Kampf um Klicks nehmen die Titel der Newsmeldungen bisweilen bizarre Züge an – und man kann den Eindruck gewinnen, dass einige Player aktiv von der Verunsicherung und Angst ihres Publikums profitieren wollen. Doch Panik war noch nie ein guter Ratgeber.  

„Die wichtigste Frage, die sich ein Unternehmen zu KI stellen sollte, ist: Wie und wo betrifft das unsere Kernprozesse?“, meint Cornelius Stiegler-Duwe.  
„Die Frage ist nicht, ob KI die ganze Gesellschaft betrifft, oder ob bestimmte Tools einzelne Aufgaben unterstützen können. Beides trifft zu. Mit beidem muss man sich arrangieren. Das Wichtigste ist aber, zu erkennen: wo und wie sich die eigene Wertschöpfung durch KI verändern wird. Genau dort sehen wir auch unsere Aufgabe – als vertrauensvolle Berater:innen und Sparringspartner:innen diese Fragen zu stellen und Antworten zu finden.“ 

Und wenn es konkrete Prozesse gibt, die scheinbar eindeutige Fälle für die Automatisierung mit KI-Agenten sind? „Dann sichten wir gemeinsam die passenden Tools und konzipieren eine sichere Lösung, die wirklich passt – unabhängig von Hype und Medien“, so Dr. Jörn Syrbe.  

„Am Ende bauen wir immer Lösungen für Menschen und Unternehmen, die für die Zukunft gut aufgestellt sein wollen“, so Fabian Gutsche, Vorstand der team neusta Gruppe. 
„Wir meinen es ernst mit der Aussage ,Shaping your digital future’. Nicht jede Firma braucht das Gleiche. Nicht jeder Prozess läuft besser mit KI. Aber da, wo Potenziale schlummern und eine echte Verbesserung möglich ist, ist es höchste Zeit anzufangen.“ 

Dein Experte: Dr. Jörn Syrbe ist KI-Evangelist bei team neusta. Er erforscht und implementiert intelligente Systeme mit Fokus auf agentische Assistenten, maschinelles Lernen und symbolische KI. Unsere Kund:innen begleitet er von der strategischen KI-Beratung über die Konzeption bis zur praktischen ganzzeitlichen Umsetzung von KI-Lösungen.

Du willst mehr zu dem Thema erfahren?

Jörn Syrbe freut sich, von dir zu hören: Buche einen Termin mit Ihm oder schreibe einfach eine E-Mail j.syrbe@neusta.de.