Security

OpenClaw trifft Maßnahmen für mehr Sicherheit, „risikofreie Agenten“ wird es aber nicht geben

Avatar, Avatar
OpenClaw on smartphone. © OpenClaw
OpenClaw on smartphone. © OpenClaw

Der KI-Assistent OpenClaw wurde in den letzten Monaten nicht nur ordentlich gehypt, sondern wegen Sicherheitsproblemen auch stark kritisiert. Die vom Österreicher Peter Steinberger entwickelte Software wird mittlerweile von einer von OpenAI unterstützten Stiftung betreut und weiterentwickelt. Jetzt zieht das Projekt Konsequenzen. In einem neuen Blogpost erklärt das Team, mit welchen Maßnahmen es die Software sicherer machen will. Ein Versprechen gibt es aber nicht: „Risikofreie Agenten“ werde es nicht geben, heißt es. Wer das verspreche, „verkauft etwas“.

Worum es geht

OpenClaw, ursprünglich von Peter Steinberger als „Clawdbot“ gestartet, ist nach seinem viralen Erfolg im Januar 2026 schnell zum Streitfall geworden. Die Software läuft direkt auf dem Computer des Nutzers und kann dort Dateien lesen, Befehle ausführen, Plugins installieren und ins Netz gehen – mit allen Risiken, die das mit sich bringt.

Die Probleme häuften sich: Forscher fanden weltweit mehr als 150.000 angreifbare Instanzen. Auf dem Plugin-Marktplatz ClawHub tauchten Erweiterungen auf, die heimlich Passwörter abgreifen. Gartner stufte OpenClaw als „inakzeptables Cybersicherheitsrisiko“ ein. Steinberger selbst ist inzwischen zu OpenAI gewechselt, um dort an KI-Agenten zu arbeiten. Zuletzt räumte er ein, alleine nicht mehr genug Zeit für das Projekt zu haben (mehr dazu hier), zuletzt kam es zu technischen Problemen und sinkenden User-Zahlen.

Nun will sich OpenClaw diesen 5 Punkten widmen, um den KI-Agenten sicherer zu machen:

1. Schutz für das Dateisystem

OpenClaw kann auf Dokumente, Code und Fotos zugreifen. Ein häufiges Problem: Die Software meint, in einem bestimmten Ordner zu arbeiten – tatsächlich bricht sie aber durch Tricks wie Symlinks oder absolute Pfade aus diesem Bereich aus.

Die neue Bibliothek fs-safe soll das verhindern. Sie bündelt Schutzregeln, die bisher an vielen Stellen einzeln gelten mussten. Schreibvorgänge innerhalb des erlaubten Bereichs funktionieren, Versuche außerhalb werden blockiert.

Das Team ist dabei offen: Eine richtige Sandbox sei das nicht. Ein Plugin, das Shell-Befehle ausführen darf, kann weiterhin alles tun, was Shell-Befehle erlauben. fs-safe schützt nur vor einer bestimmten Klasse von Fehlern.

2. Kontrollierter Netzwerk-Zugriff

KI-Agenten rufen ständig URLs ab, oft auf Anweisung des Modells selbst. Das macht sie anfällig für Angriffe, bei denen sie etwa interne Server abrufen, die eigentlich geschützt sein sollten. Eine reine URL-Prüfung vor dem Abruf reicht nicht – zwischen Prüfung und Abruf kann sich das Ziel ändern.

Die Lösung heißt Proxyline: Sie leitet allen Netzwerk-Verkehr von OpenClaw durch einen Proxy, der zentral entscheidet, was erlaubt ist. Wer im Unternehmen bereits einen solchen Proxy betreibt, kann OpenClaw darüber laufen lassen und sieht genau, wohin die Software überall Verbindungen aufbaut.

Auch hier räumt das Team Grenzen ein: Für bestimmte Wege gibt es weiterhin Umgehungsmöglichkeiten. Aber statt sich darauf zu verlassen, dass jeder einzelne Code-Teil eine URL prüft, liegt die Kontrolle jetzt an einer zentralen Stelle.

3. Mehr Vertrauen auf ClawHub

Der Plugin-Marktplatz ClawHub stand zuletzt besonders in der Kritik. VirusTotal hatte zahlreiche Plugins identifiziert, die Passwörter ausspähen. Künftig sollen Plugins auf ClawHub mit klaren Bewertungen versehen werden: sauber, verdächtig, zurückgehalten, in Quarantäne, widerrufen oder bösartig. Als bösartig markierte Versionen lassen sich gar nicht erst installieren.

Plugins aus anderen Quellen – etwa GitHub – bleiben weiterhin möglich. Das Team formuliert es so: Man werde nicht so tun, als ob den Nutzern ihre eigenen Computer nicht gehörten. Zusätzlich sind höhere Vertrauensstufen geplant, etwa offizielle Pakete und geprüfte Anbieter.

4. Bessere Bestätigungsdialoge

Ein bekanntes Problem agentischer Systeme: Sie fragen so oft nach Bestätigung, dass die Nutzer irgendwann nur noch wegklicken oder gleich den „Alles erlauben“-Modus aktivieren. Damit verlieren die Sicherheitsabfragen ihren Sinn.

OpenClaw will deshalb nicht mehr, sondern bessere Abfragen. Konkret wird die Software jetzt schlauer beim Analysieren von Befehlen: Ein versteckter Löschbefehl in einem bash -c-Wrapper wird erkannt und in der Anzeige hervorgehoben. Bisher hätte ein Allowlist-Prüfer womöglich nur das harmlose bash gesehen und den gefährlichen Inhalt durchgewunken.

Für OpenAI-Nutzer gibt es zusätzlich „Auto Review“, wo ein separater Prüf-Agent die manuelle Freigabe übernimmt.

5. Lernen aus Fehlern

OpenClaw hatte in den vergangenen Monaten zahlreiche Sicherheitslücken zu schließen. Damit dieselben Fehlertypen nicht zurückkehren, setzt das Team auf automatisierte Code-Prüfungen mit dem Werkzeug OpenGrep. Aktuell sind 148 Regeln eingebaut, jede direkt aus einer früheren Sicherheitsmeldung abgeleitet. Bei jedem Code-Vorschlag wird geprüft, ob ähnliche Muster auftauchen.

Wichtiger als möglichst viele Regeln sei dabei die Präzision, betont das Team: Ein zu lautes Warnsystem werde irgendwann ignoriert.

Alle Risiken werden nicht beseitigt

Der Blogpost bestätigt im Kern, was externe Beobachter seit Wochen kritisieren: unklare Grenzen im Dateisystem, schwache Netzwerk-Kontrolle, eine riskante Plugin-Lieferkette und Bestätigungsdialoge, die in der Praxis nichts mehr bringen. Bemerkenswert ist die offene Sprache des Projekts – mit klarer Trennung zwischen dem, was bereits funktioniert, was gerade ausgerollt wird und was noch erforscht wird.

OpenClaw bleibe „nicht weniger mächtig“, heißt es zum Schluss. Das Ziel sei, die Grenzen sichtbarer und besser verteidigbar zu machen. Risikofrei werde es nicht.

Rank My Startup: Erobere die Liga der Top Founder!
Werbung
Werbung

Aus Datenschutz-Gründen ist dieser Inhalt ausgeblendet. Die Einbettung von externen Inhalten kann in den Datenschutz-Einstellungen aktiviert werden:

Specials unserer Partner

Die besten Artikel in unserem Netzwerk

Deep Dives

Wasner + Steinschaden | Der KI Podcast

News, Modelle, Strategien

Startup & Scale-up Investment Tracker 2026

RankMyStartup.com

Steig' in die Liga der Top Founder auf!
#glaubandich CHALLENGE Hochformat.

#glaubandich CHALLENGE 2026

Österreichs größter Startup-Wettbewerb - Top-Investoren mit an Bord

2 Minuten 2 Millionen | Staffel 13

Alle Startups | Alle Deals | Alle Hintergründe
© Wiener Börse

IPO Spotlight

powered by Wiener Börse

Future{hacks}

Zwischen Hype und Realität

Trending Topics Tech Talk

Der Podcast mit smarten Köpfen für smarte Köpfe

Weiterlesen