Was ist OpenClaw? Ein Leitfaden zum Open-Source-KI-Assistenten

Die meisten KI-Tools beantworten Fragen. OpenClaw wurde gebaut, um Aktionen auszuführen. Genau dieser Unterschied hat es wenige Monate nach dem Start an Linux auf der GitHub-Allzeit-Star-Liste vorbeiziehen lassen.

Was es konkret ist: eine selbstgehostete Runtime, die KI-Modelle mit deinem Terminal, deinen Dateien, dem Browser und deinen Messaging-Apps verbindet. Schick ihm eine WhatsApp, und es kann deine Festplatte durchsuchen, ein Shell-Skript ausführen, eine Webseite prüfen und im gleichen Thread antworten. Ein Chatbot kann das alles nicht.

Das Versprechen klingt glatter als die Praxis. OpenClaw braucht technisches Setup, die Sicherheitsbilanz 2026 enthält ernste Vorfälle, und das öffentliche Skill-Register wurde von einer koordinierten Malware-Kampagne getroffen. Das solltest du vorab wissen.

Was ist OpenClaw?

OpenClaw ist kostenlos, Open Source (MIT-Lizenz) und für Hardware gedacht, die dir gehört. Entwickelt wurde es von Peter Steinberger, einem österreichischen Entwickler bekannt durch PSPDFKit, und im November 2025 als Clawdbot gestartet. Anthropic legte eine Markenbeschwerde gegen den Namen ein, worauf es am 27. Januar 2026 zu Moltbot wurde und drei Tage später zu OpenClaw wechselte, weil, so Steinberger, „Moltbot nie so richtig von der Zunge ging“. Das Hummer-Maskottchen Molty hat alle Namenswechsel überlebt.

OpenClaw verbindet Modelle mit lokalen Tools. Bild: Autor.

Ein häufiger Stolperstein: OpenClaw ist kein KI-Modell. Es verbindet sich mit einem separat konfigurierten Anbieter – in der Cloud oder lokal. Das Modell übernimmt das Denken, OpenClaw kümmert sich um Routing, Speicher und Tool-Ausführung.

Der Kern ist ein Node.js-Dienst namens Gateway. Er läuft im Hintergrund auf Port 18789, vermittelt Nachrichten zwischen deinen Chat-Apps und dem Modell, führt Tool-Aufrufe aus und hält deine API-Schlüssel, sodass verbundene Apps sie nie direkt sehen.

Damit unterscheidet es sich deutlich von einem Chatbot. OpenClaw kann Shell-Befehle ausführen, Dateien lesen und schreiben, einen Browser steuern und Aufgaben zeitgesteuert im Hintergrund erledigen.

Warum OpenClaw populär wurde

OpenClaw sprang von 9.000 GitHub-Sternen am ersten Tag auf über 195.000 innerhalb von 66 Tagen – angeblich 18-mal schneller als Kubernetes.

Entwickler wollten das schon länger: einen Assistenten, der Aufgaben erledigt statt nur zu antworten, auf eigener Hardware läuft und sich mit Apps verbindet.

Bis April 2026 überschritt das Projekt 346.000 Sterne. Steinberger kündigte am 15. Februar 2026 seinen Wechsel zu OpenAI an, und das Projekt bewegte sich zu einer Stiftungsstruktur mit OpenAI-Unterstützung. Es blieb MIT-lizenziert und community-gesteuert, also kein klassischer Aufkauf.

Die Meinungen gehen auseinander. Manche mögen die Idee. Andere stoßen auf Setup-, Zuverlässigkeits- und Kostenprobleme. Komplexe Automatisierung liefert oft weniger als erhofft, und Token-Kosten überraschen. Außerdem ist das Setup nicht anfängerfreundlich.

So funktioniert OpenClaw: Gateway, Tools und Agent-Loop

Alles läuft durchs Gateway – dieser zentrale Kontrollpunkt unterscheidet OpenClaw von einer simplen Modell-Hülle.

Wenn du eine Nachricht sendest, holt das Gateway sie aus dem jeweiligen Kanal, hängt Kontext aus den Speicherdateien des Agenten und geladenen Skills an und übergibt das Paket an das konfigurierte KI-Modell. Will das Modell eine Aktion ausführen (Befehl, Seite besuchen, Datei lesen), signalisiert es diese Absicht ans Gateway. Das Gateway führt die Aktion auf dem Hostsystem oder, falls eingerichtet, in einer Sandbox aus und gibt das Ergebnis zurück. Es kann mehrere Schritte verketten, bevor eine finale Antwort zurückkommt.

Das Modell spricht niemals direkt mit deinem Dateisystem oder Terminal.

Alle Aktionen laufen durchs Gateway. Bild: Autor.

Speicher und Zeitpläne

OpenClaw speichert Erinnerungen in einfachen Markdown-Dateien im Agent-Workspace (~/.openclaw/workspace). Die Hauptdatei MEMORY.md hält dauerhafte Fakten und Präferenzen, die zu Beginn jeder Sitzung geladen werden. SOUL.md definiert Persönlichkeit und Ton. AGENTS.md speichert Verhaltensregeln. Weil das Modell all das zum Sitzungsstart liest, bleiben deine Änderungen über Neustarts hinweg erhalten.

Zeitplanung läuft auf zwei Gleisen. Heartbeats sind periodische Check-ins in der Hauptsitzung, standardmäßig alle 30 Minuten bei den meisten Anbietern. Eine HEARTBEAT.md-Checkliste sagt dem Agenten, was er jedes Mal prüfen soll. Cronjobs laufen zu exakten Zeiten in isolierten Sitzungen – ideal, wenn Timing wirklich zählt, etwa für einen Tagesreport. Beides verbraucht bei jedem Lauf Tokens, also (Pro-Tipp) offene Aufgaben brauchen unbedingt eine klare Stop-Bedingung.

Unterstützte Modelle und Kanäle

OpenClaw ist nicht an einen Anbieter gebunden. Es funktioniert mit Anthropic, OpenAI, Google, AWS Bedrock sowie lokalen Servern über Ollama oder LM Studio. Lokale Modelle brauchen mindestens ein Kontextfenster von 64.000 Tokens, weil OpenClaw zum Sitzungsstart viel Kontext injiziert. Auf der Kanal-Seite werden WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams und weitere unterstützt.

OpenClaw Use Cases: Was es wirklich kann

Wie nützlich es ist, hängt davon ab, wie eng die Aufgabe definiert ist. Breite Anfragen driften ab. Enge, wiederholbare Aufgaben mit klaren Inputs funktionieren eher.

• Persönliche Produktivität: Der verlässlichste gemeldete Use Case ist ein Morgenbriefing: ein Heartbeat-Task, der aktuelle E-Mails, Kalendereinträge und News zieht und dir eine Zusammenfassung aufs Handy schickt.
• Developer-Workflows: OpenClaw kann Repositories inspizieren, Build-Skripte ausführen, Logs prüfen und Pull Requests über die GitHub-CLI oder einen MCP-Server managen. Nutze Repository-Scoped Tokens mit Ablaufdatum. Breiter Shell-Zugriff ist nützlich – und auch die wahrscheinlichste Quelle für versehentliches Löschen von Dateien oder das Leaken von Zugangsdaten aus einer .env-Datei, die zufällig im Scope lag.
• Web-Automatisierung: Der Agent kann Seiten browsen, Daten extrahieren und über das Chrome DevTools-Protokoll mit Oberflächen interagieren. Was er nicht kann: echte Seiten von solchen unterscheiden, die bösartige Instruktionen im HTML verstecken. Gibst du dem Agenten einen Browser, wird externe Inhalte zur Angriffsfläche. Ein dokumentierter Fall dazu folgt im Sicherheitsabschnitt.
• Datei- und Dokumentenmanagement: Funktioniert gut, wenn das Workspace-Root ein eigener Ordner ohne sensible Inhalte ist. Das vorhersehbare Fehlerszenario: Gibst du Zugriff auf dein Home-Verzeichnis, wird es irgendwann etwas lesen, das du nicht teilen wolltest.
• Geplante Automatisierung: Zuverlässig für wiederkehrende, klar definierte Aufgaben. Ein dokumentierter Fall verursachte an einem Tag mehrere tausend Dollar API-Kosten, weil eine offene Aufgabe ohne Token-Limits lief. Setz Limits, bevor du den Zeitplan setzt.

OpenClaw Skills und ClawHub: Was du wissen und was du meiden solltest

Skills erweitern OpenClaw über die eingebauten Fähigkeiten hinaus. Darüber kam es auch zu einem ernsthaften Supply-Chain-Angriff im Open-Source-Agenten-Ökosystem.

Was ein Skill ist

Ein Skill ist ein Ordner mit einer Datei SKILL.md, die YAML-Frontmatter und einen Markdown-Body enthält. Die Frontmatter deklariert Name, Beschreibung, benötigte Binaries und Umgebungsvariablen. Darunter steht natürlicher Text: Anweisungen, denen der Agent folgt, wenn der Skill zur aktuellen Aufgabe passt.

Ein optionaler Ordner references/ hält API-Dokumentation, ein optionaler scripts/-Ordner Hilfsskripte. Da Skills Text und kein kompilierter Code sind, kannst du sie vor dem Ausführen lesen.

Jeder Skill folgt diesem zweiteiligen Aufbau. Bild: Autor.

Skills folgen dem offenen AgentSkills-Standard, der also auch mit Claude Code, Cursor und ähnlichen Tools funktioniert. In der Praxis sind die meisten Skills auf ClawHub speziell für das Gateway-Modell von OpenClaw geschrieben und setzen Tool-Zugriffe voraus, die andere Umgebungen nicht bieten.

ClawHub, das öffentliche Register unter clawhub.ai, nutzt vektorbasierte semantische Suche, du findest Skills also mit natürlichen Suchanfragen. Zum Veröffentlichen brauchst du einen mindestens eine Woche alten GitHub-Account. Bis Anfang 2026 wuchs das Register auf über 44.000 Skills.

Das ClawHub-Skill-Register, nach Kategorien organisiert. Bild: Autor.

Der ClawHavoc-Supply-Chain-Angriff

Am 1. Februar 2026 prüfte Koi-Sicherheitsforscher Oren Yomtov alle 2.857 Skills auf ClawHub und fand 341 bösartige, 335 davon aus einer koordinierten Kampagne namens ClawHavoc. Sie nutzte Social Engineering: Ein gefälschter „Prerequisites“-Abschnitt forderte Nutzer auf, Shell-Befehle zu pasten. Unter macOS war die Payload der Atomic macOS Stealer, der Browser-Passwörter, Schlüsselbund-Einträge, Krypto-Wallets, SSH-Schlüssel und Telegram-Sitzungsdaten abgreift.

Die Zahlen stiegen weiter. Bis Mitte Februar überschritt das Register 10.700 Skills, spätere Analysen sahen über 1.000 bösartige aus mehreren Accounts. Ein breiterer Audit von 31.000+ Skills markierte rund 7,6% als riskant, und ein Snyk-Scan fand in 36% nachweisbare Prompt-Injection.

ClawHub führt inzwischen automatische Scans durch und hat eine VirusTotal-Integration, was viel abfängt, aber Prompt-Injection in Anweisungstexten kann durchrutschen. Lies die SKILL.md, bevor du etwas installierst, und wenn sie dich zum Pasten von Befehlen oder zum Installieren von Binaries außerhalb des normalen Prozesses auffordert, lass es. Lade am ersten Tag nicht massenhaft Drittanbieter-Skills. Starte mit dem Minimum und halte unbekannte Skills von sensiblen Dateien und Accounts fern.

Wie OpenClaw-Skills im Vergleich zu Claude Skills abschneiden

Beide Formate nutzen die gleiche SKILL.md-Struktur. Der Unterschied liegt im Ausführungsort. Claude Skills laufen in Anthrophics gemanagter Infrastruktur. OpenClaw-Skills laufen auf deiner Maschine, innerhalb der vollen Vertrauensgrenze des Agenten, mit Zugriff auf lokale Dateien, Shell-Befehle und Browsersitzungen. Dieser Unterschied im Schadensradius ist der Grund, warum das Supply-Chain-Risiko hier größer ist als in einer gehosteten Umgebung.

So richtest du OpenClaw ein

Die folgenden Schritte skizzieren den Ablauf auf hoher Ebene. Wenn du Screenshots und Schritt-für-Schritt-Befehle willst, führt dich unser OpenClaw-Tutorial von Grund auf durch den kompletten Prozess.

Vor der Installation

Du brauchst Node.js 24 (Node 22.19 geht auch) und entweder einen API-Schlüssel eines unterstützten Modellanbieters oder einen lokalen Modellserver, der das erwähnte Minimum von 64.000 Tokens Kontext erfüllt. Unter Windows ist WSL2 mit Ubuntu der empfohlene Weg; natives Windows hat Einschränkungen beim Gateway-Daemon. Für Basisnutzung sind die Hardware-Anforderungen gering, lokale Modell-Setups sind eine andere Geschichte.

Eine Entscheidung vorab: Wo soll es laufen? Fürs Ausprobieren reicht ein lokaler Rechner, für einen Dauerbetrieb nutze lieber einen dedizierten VPS oder eine separate Maschine statt deines Hauptarbeitsrechners.

Ablauf auf hoher Ebene

curl -fsSL https://openclaw.ai/install.sh | bash

Dann den Onboarding-Assistenten starten:

openclaw onboard --install-daemon

Er führt durch Modellauswahl, API-Keys und Gateway-Konfiguration. Danach prüfen, ob das Gateway läuft:

openclaw gateway status

Dann das Dashboard öffnen:

openclaw dashboard

Sende zuerst eine Testnachricht über einen risikoarmen Kanal, bevor du etwas Sensibles verbindest.

Die Control-UI auf Port 18789. Bild: Autor.

Sichere Defaults sofort setzen

Zwei Firewall-Befehle sind wichtiger als alle anderen. Führe sie aus, bevor du etwas anderes tust:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Der erste bindet das Gateway nur an Loopback. Der zweite blockiert den Port extern. Auf dem Höhepunkt waren über 220.000 OpenClaw-Instanzen öffentlich aus dem Internet erreichbar – meist, weil Nutzer diesen Schritt ausgelassen haben, nachdem sie älteren Tutorials gefolgt waren. Nutze für Browser-Automatisierung ein eigenes Browserprofil. Führe nach jeder Skill-Installation openclaw security audit --deep aus. Verwende Auth-Tokens. Halte sensible Dateien aus dem Workspace-Root heraus.

Lokal ausführen heißt nicht automatisch sicher. Eine lokale Instanz mit Shell- und Dateizugriff plus verbundenen Messaging-Apps ist eine echte Angriffsfläche – unabhängig davon, wo das Modell läuft.

OpenClaw-Sicherheitsrisiken

Diese Risiken sind spezifisch für OpenClaw, und mehrere der folgenden Vorfälle wurden gegen echte Nutzer ausgenutzt.

Der CVE-Record

CVE-2026-25253 (CVSS 8,8) wurde aktiv ausgenutzt. Vor Version 2026.1.29 konnte ein bösartiger Link die WebSocket-Verbindung der Control-Oberfläche lautlos auf einen serverseitig kontrollierten Host umleiten. Das Authentifizierungs-Token und Geräteschlüssel wurden automatisch beim Handshake gesendet – ein Klick auf einen präparierten Link reichte. Ein Angreifer hatte damit volle Gateway-Kontrolle und konnte beliebige Shell-Befehle ausführen. Das Patch 2026.1.29 fügte eine Bestätigungsabfrage hinzu und schloss die Lücke.

CVE-2026-32922 (CVSS 9,9) wurde am 29. März 2026 offengelegt. Ein Aufrufer mit minimalem Token-Scope konnte zu vollem Admin-Zugriff eskalieren und Remote Code Execution über alle verbundenen Knoten erreichen. Gepatcht in 2026.3.11. Wenn deine Instanz älter als 2026.3.11 ist, aktualisiere jetzt. Seit dem Start wurden über 60 Security Advisories zum Projekt eingereicht.

Internet-Exponierung und Prompt-Injection

Wie erwähnt, waren am Peak über 220.000 Instanzen öffentlich exponiert, mehr als 17.500 anfällig für die CVE-2026-25253-Klasse. Der aktuelle Default bindet an Loopback, aber ältere Konfigurationen und Community-Tutorials spiegeln das nicht immer wider.

Prompt-Injection ist das subtilere Problem. OpenClaw liest Webseiten, E-Mails, Dokumente und Logs, um seine Arbeit zu tun. Stehen darin bösartige Anweisungen, kann der Agent ihnen folgen. Die Promptfoo-Fallstudie aus März 2026 zeigte einen Agenten, der prüfte, worauf er zugreifen kann, lokale Dateien las, Dateien schrieb und unautorisierte Nachrichten verschickte – alles ausgelöst durch den Besuch einer einzigen Webseite. Es funktionierte, weil Browsing, Dateizugriff und ausgehende Nachrichten eine gemeinsame Vertrauensgrenze ohne Trennung teilten.

Schlimmer noch: Anweisungen aus böswillig platzierten Quellen in SOUL.md oder AGENTS.md überleben Sitzungen und Neustarts. Der Agent trägt sie ohne äußeren Trigger weiter.

So reduzierst du das Risiko

Das meiste decken die sicheren Defaults ab: regelmäßig aktualisieren, das Gateway auf localhost binden und den Port blockieren, Auth-Tokens nutzen, sensible Dateien außerhalb des Workspaces halten und nach Änderungen auditieren. Nutze Docker-Sandboxing für Aufgaben mit externem Input, setze fein granulare API-Tokens mit Ablaufdatum ein und behandle SOUL.md und AGENTS.md wie Konfigurationsdateien, die du überwachst – nicht wie Text, den man ignoriert.

Audit-Output nach einer Skill-Installation. Bild: Autor.

OpenClaw ist nicht riskant, weil es Open Source ist. Es ist riskant, weil es privilegierte Aktionen ausführen kann – wenn du es so konfigurierst.

Lohnt sich OpenClaw? Eine ehrliche Einschätzung

Dieser Teil ist meine Einschätzung, kein Fakt. Agenten, die handeln statt nur zu antworten, sind eine andere Kategorie als Chatbots – OpenClaw zeigt das sehr klar.

Ob es sich lohnt, hängt fast vollständig von der Person ab, die es nutzt. Eine Entwicklerin oder ein Entwickler, der sich mit Terminal-Tools, Logs, API-Monitoring und Sandboxing wohlfühlt, kann es in engen Workflows nutzbar machen. Wie oben beschrieben, halten die engen Setups durch. Die scheitern, bei denen alles verdrahtet wird, ein Dutzend Skills ungelesen installiert sind und Heartbeats mit offenen Prompts laufen – in der Erwartung, dass schon nichts passiert.

Meine Lesart: Komplexe Automatisierung kostet oft mehr Wartung, als sie spart, und der verlässlichste Use Case ist womöglich eine tägliche News-Zusammenfassung. Das ist ein magerer Ertrag für den Setup-Aufwand. Die richtige Brille ist Infrastruktur, nicht Assistent. Behandle es so, starte klein und setze strikte Limits. Wenn du eine smarte Consumer-App willst, ist es das noch nicht.

OpenClaw vs. ChatGPT, Claude, Cursor und Zapier

ChatGPT und Claude sind zustandslose Chat-Oberflächen: keine persistente Zeitplanung, standardmäßig kein lokaler Dateizugriff.

Claude Code und Cursor sind auf Softwareentwicklung im Repository-Kontext beschränkt; sie sind beim Coden besser als OpenClaw, aber genau darauf limitiert. Claude Code hat im April 2026 außerdem eine cloudgehostete Planungsfunktion namens Routines eingeführt, die Teile von OpenClaws HEARTBEAT ohne Infrastruktur-Overhead abdeckt.

Zapier und n8n sind deterministische Workflow-Tools, bei denen jeder Schritt vordefiniert ist – dadurch besser prüfbar, aber weniger geeignet für vage Anfragen als ein Agent, der natürliche Sprache interpretiert.

Eine nützliche Sicht aus der Community 2026: OpenClaw als Reasoning-Schicht für mehrdeutige Aufgaben, n8n oder Zapier als Ausführungs-Schicht für hohes Volumen und Vorhersagbarkeit – verbunden über Webhooks. Die beiden konkurrieren nicht immer.

Für wen OpenClaw passt

Entwickler, die wiederkehrende technische Workflows automatisieren, und Forschende, die Tool-nutzende Agenten untersuchen, sind die klarste Zielgruppe. Homelab-Nutzer, die bereits selbstgehostete Services betreiben, finden sich im Setup schnell zurecht.

Wer OpenClaw meiden sollte

Wer sich nicht mit Terminal-Befehlen, Dateirechten und API-Key-Management wohlfühlt, sollte warten. Das Setup ist nicht anfängerfreundlich.

Ebenso alle, die mit sensiblen Dateien ohne Sandbox-Umgebung arbeiten. Teams mit Compliance-Anforderungen brauchen möglicherweise gemanagte Alternativen wie AWS Bedrock Agents. Und wenn du nicht bereit bist, Community-Skill-Code vor der Installation zu prüfen, solltest du ClawHub-Skills besser nicht auf einer Maschine mit echten Zugangsdaten laufen lassen.

Fazit

OpenClaw ist wichtig, weil es zeigt, wie persönliche KI-Agenten aussehen, wenn sie Dinge tun können: keine schlaueren Chatbots, sondern Systeme mit Zugriff auf deine Dateien, deine Shell, deinen Browser und deine Messaging-Apps.

Aus demselben Grund sind die Risiken real. Der Zugriff, der ein Morgenbriefing oder einen PR-Review-Workflow ermöglicht, ist derselbe, den ClawHavoc in Credential-Diebstahl verwandelt hat.

Starte mit einer Aufgabe. Lass sie isoliert laufen. Setze Limits. Wie oben erwähnt: Prüfe Skills vor der Installation. OpenClaw ist kein Produkt zum Ausrollen und Vergessen. Es ist Infrastruktur – und wer es von Anfang an so behandelt, verhindert, dass der Test zum Vorfall wird.

Für vertiefende Lektüre: Unser Leitfaden zu OpenClaw-Projekten und der ClawHub-Skills-Guide zeigen, was gebaut wird. Der Kurs AI-Assisted Coding for Developers deckt breitere Agenten-Kompetenzen ab.