Kurz gesagt: OpenClaw (früher Clawdbot/Moltbot) ist ein Open-Source-Framework für agentenbasierte KI mit über 247.000 GitHub-Stars und dokumentierten Sicherheitslücken. CVE-2026-25253 (CVSS 8.8) deckte eine Kette zur Remote-Codeausführung per Ein-Klick auf. Snyk stellte fest, dass 36 % der ClawHub-Skills Prompt-Injection enthalten. SecurityScorecard identifizierte über 135.000 Instanzen, die dem öffentlichen Internet ausgesetzt sind. Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos und Trend Micro haben alle Sicherheitshinweise veröffentlicht. China hat es für staatliche Behörden verboten. Wenn dein Unternehmen agentische KI evaluiert, musst du diese Risiken zuerst verstehen.
Was ist OpenClaw?
OpenClaw ist ein kostenloses Open-Source-Framework für KI-Agenten, das vom österreichischen Entwickler Peter Steinberger entwickelt wurde. Es läuft lokal auf dem Computer des Nutzers und verbindet sich über Messaging-Plattformen wie WhatsApp, Telegram, Slack, Discord und andere mit großen Sprachmodellen (LLMs) wie Claude, GPT oder DeepSeek.
Der Reiz liegt auf der Hand. Du gibst OpenClaw die Anweisung, deinen Posteingang zu ordnen, Flüge zu buchen, Kalender zu verwalten oder Terminalbefehle auszuführen – und es erledigt das. Steinberger beschreibt es als eine KI, die „tatsächlich Dinge erledigt“. Der Agent zerlegt Aufgaben in einzelne Schritte, wählt die richtigen Tools aus und führt sie mit minimaler Aufsicht aus.
Das ist auch der Grund, warum es im Unternehmenskontext gefährlich ist. OpenClaw speichert Konfigurationsdaten und den Interaktionsverlauf lokal, behält den Speicher über Sitzungen hinweg bei und kann auf E-Mail-Konten, Kalender, Messaging-Plattformen und lokale Dateisysteme zugreifen. Bei falscher Konfiguration (was bis Januar 2026 die Standardeinstellung war) schafft es eine privilegierte Ausführungsumgebung, die Sicherheitsteams weder sehen noch kontrollieren können.
Die Sicherheitsprobleme: Eine Zeitleiste
Die Sicherheitsprobleme von OpenClaw sind keine theoretische Angelegenheit. Sie wurden innerhalb von etwa sechs Wochen von fast allen großen Anbietern im Bereich Cybersicherheit dokumentiert.
CVE-2026-25253: Remote-Codeausführung mit einem Klick (CVSS 8,8)
Diese Sicherheitslücke, die vom Forscher Mav Levin entdeckt und am 30. Januar 2026 behoben wurde, nutzte einen Konstruktionsfehler bei der Verarbeitung der gatewayUrl Abfrageparameter. Als Details zur Analyse von KasperskyDie Benutzeroberfläche akzeptierte diesen Parameter ohne Überprüfung und stellte automatisch eine WebSocket-Verbindung her, wobei sie das Authentifizierungstoken des Benutzers im Handshake übermittelte.
Die Angriffskette war innerhalb von Millisekunden abgeschlossen: zunächst die Exfiltration von Tokens, dann die vollständige Kompromittierung des Gateways. Ein Angreifer konnte beliebige Befehle auf dem Rechner des Opfers ausführen. Selbst Instanzen, die auf den lokalen Rechner beschränkt waren, konnten ausgenutzt werden.
ClawHub: Manipulation der Qualifikations-Lieferkette
Die Sicherheitsanalyse von Conscia deckte innerhalb weniger Wochen nach dem viralen Anstieg von OpenClaw 341 schädliche Skills auf ClawHub auf (damals 12 % des Registers), die hauptsächlich die Malware „Atomic macOS Stealer“ verbreiteten. Aktualisierte Scans ergaben , dass die Zahl auf über 800 schädliche Skills angestiegen war , was etwa 20 % aller Einreichungen entspricht.
Skills in OpenClaw sind keine in einer Sandbox ausgeführten Skripte. Es handelt sich um ausführbare Codepakete, die mit denselben Berechtigungen wie der Agent selbst ausgeführt werden. Ein bösartiger Skill tauchte sogar auf der Startseite von ClawHub auf, bevor er entfernt wurde.
Snyk ToxicSkills-Audit
Snyks Überprüfung von ClawHub ergab, dass 36 % aller Skills nachweisbare Prompt-Injection enthalten. Von den bestätigten schädlichen Beispielen kombinieren 91 % Prompt-Injection mit herkömmlichen Malware-Techniken und umgehen so sowohl KI-Sicherheitsmechanismen als auch herkömmliche Endpoint-Sicherheit.
2,9 % der Skills rufen Inhalte zur Laufzeit dynamisch von externen Endpunkten ab und führen sie aus. Der veröffentlichte Skill wirkt bei Bewertung harmlos, doch Angreifer können sein Verhalten jederzeit ändern, indem sie die gehosteten Inhalte aktualisieren.
Über 135.000 exponierte Instanzen
Das STRIKE-Team von SecurityScorecard hat über 135.000 OpenClaw-Instanzen in 82 Ländern identifiziert, die für das öffentliche Internet zugänglich waren. Viele davon liefen ohne Authentifizierung, was vor Version 2026.1.29 die Standardkonfiguration war.
Verbot der chinesischen Regierung
Im März 2026 untersagten die chinesischen Behörden staatlichen Unternehmen und Regierungsbehörden, OpenClaw auf Bürocomputern zu nutzen. Das CNCERT gab eine offizielle Warnung heraus, in der auf die schwachen Standard-Sicherheitseinstellungen der Plattform und die damit verbundenen Risiken durch Prompt-Injection hingewiesen wurde.
Die tödliche Dreierkombination: Warum KI-Agenten von Natur aus riskant sind
Der Sicherheitsforscher Simon Willison prägte den Begriff „lethal trifecta“, um die Kombination zu beschreiben, die agentische KI gefährlich macht. OpenClaw erfüllt alle drei Kriterien:
- Zugriff auf private Daten: OpenClaw liest Dateien, E-Mails, Kalender und Anmeldedaten auf dem Host-Rechner aus.
- Kontakt mit nicht vertrauenswürdigen Inhalten: Der Agent empfängt Nachrichten über Chat-Apps, surft im Internet und verarbeitet eigenständig externe Daten.
- Handlungsbefugnis: OpenClaw kann E-Mails versenden, API durchführen, Shell-Befehle ausführen und Dateien ändern.
Der CISO von Sophos brachte es auf den Punkt: Ein Prompt-Injection-Angriff könnte so einfach sein wie das Senden einer Nachricht an ein vom Agenten verwaltetes E-Mail-Konto mit der Aufforderung, den Inhalt deines Passwort-Managers zu übermitteln. Jeder, der dem Agenten eine Nachricht senden kann, erhält praktisch dieselben Berechtigungen, über die der Agent verfügt.
blog von Microsoft drückte sich noch deutlicher aus: OpenClaw sollte als „Ausführung von nicht vertrauenswürdigem Code mit dauerhaften Anmeldedaten“ betrachtet werden.
Das Problem der Schatten-KI
Das eigentliche Risiko für das Unternehmen besteht nicht darin, dass jemand OpenClaw offiziell einsetzt. Es besteht vielmehr darin, dass Mitarbeiter es ohne Wissen der IT-Abteilung auf ihren eigenen Rechnern installieren.
Die Telemetriedaten von Bitdefender bestätigen, dass dies bereits geschieht: Mitarbeiter installieren OpenClaw auf Unternehmensgeräten mithilfe von einzeiligen Installationsbefehlen, ohne dass Bewertung erfolgt Bewertung ohne dass das SOC Einblick darin hat. Trend Micro stellt fest, dass OpenClaw in vielen Unternehmen ohne Genehmigung der IT-Abteilung läuft, und die erste Herausforderung für Sicherheitsteams besteht schlichtweg darin, überhaupt zu wissen, was dort vorhanden ist.
CyberArk bezeichnet dies als eine neue Angriffsfläche für die Identitätssicherheit. Ein Entwickler, der von einem Unternehmensrechner aus auf seine OpenClaw-Umgebung zugreift oder diese innerhalb des Unternehmensnetzwerks bereitstellt, um sie mit Slack oder Salesforce zu integrieren, schafft damit eine Schnittstelle, über die autonome Agenten außerhalb der herkömmlichen Kontrollen für Identitäts- und Zugriffsmanagement agieren.
Kaspersky ging sogar so weit, OpenClaw als „die größte Insider-Bedrohung des Jahres 2026“ zu bezeichnen.
Kann OpenClaw für den Einsatz in Unternehmen gehärtet werden?
OpenClaw hat seit den ersten Bekanntgaben wichtige Sicherheitsupdates veröffentlicht. In Version 2026.2.12 wurden über 40 Sicherheitslücken behoben. In Version 2026.2.23 wurden HTTP-Sicherheitsheader hinzugefügt, die Sitzungsverwaltung verbessert und die SSRF-Richtlinie des Browsers standardmäßig auf den „trusted-network“-Modus umgestellt.
Aber die grundlegende architektonische Herausforderung bleibt bestehen. OpenClaw ist als persönliches Tool mit einer einzigen vertrauenswürdigen Benutzergrenze konzipiert. Der Entwickler selbst warnte auf Discord: „Wenn du nicht verstehst, wie man eine Befehlszeile bedient, ist dieses Projekt viel zu gefährlich, als dass du es sicher nutzen könntest.“
Die Analyse von Sophos kam zu folgendem Schluss: OpenClaw sollte als interessantes Forschungsprojekt betrachtet werden, das nur in einer Wegwerf-Sandbox ohne Zugriff auf sensible Daten „sicher“ ausgeführt werden kann. Selbst Unternehmen mit umfassender Erfahrung in den Bereichen KI und Sicherheit werden es als Herausforderung empfinden, OpenClaw so zu konfigurieren, dass das Risiko einer Kompromittierung minimiert wird und gleichzeitig der Produktivitätsnutzen erhalten bleibt.
Was Unternehmen stattdessen tun sollten
Der Bedarf an OpenClaw ist echt. Unternehmen wollen KI-Agenten, die Aufgaben ausführen, auf Unternehmensdaten zugreifen und über verschiedene Kommunikationskanäle hinweg arbeiten. Der Fehler besteht darin, diese Funktionen von einem Tool zu erwarten, das für einzelne Entwickler konzipiert wurde.
Agentische KI-Plattformen für Unternehmen lösen dasselbe Problem mit Sicherheitsvorkehrungen, die von Anfang an fest integriert sind. Hier sind die wichtigsten Punkte, auf die du achten solltest:
- Zentrale Verwaltung: Rollenbasierte Zugriffskontrollen, Prüfpfade und Admin-Dashboards, mit denen die IT-Abteilung genau sehen kann, was die Agenten gerade tun.
- Datenisolierung: Unternehmensdaten auf einer Infrastruktur, die du kontrollierst (idealerweise auf in der EU gehosteten, DSGVO-konformen Servern), die niemals für das Modelltraining verwendet werden.
- Sicherheitszertifizierungen: SOC 2, ISO 27001 und die Einhaltung des EU-KI-Gesetzes als Mindeststandard.
- Zugriff auf mehrere Modelle ohne Verwaltung API : Greife über ein verwaltetes Gateway auf GPT, Claude, Gemini und andere Modelle zu, sodass dein Team niemals mit ungeschützten API hantieren muss.
- Agentenerstellung ohne Programmierkenntnisse: Auch Teams ohne technischen Hintergrund sollten in der Lage sein, Agenten zu erstellen und bereitzustellen, ohne auf die Befehlszeile zugreifen zu müssen.
- Steuerung der Konnektoren: Detaillierte Berechtigungen, welche Agenten in CRMs, CMSs, Slack, Teams und anderen Drittanbietersystemen Daten lesen, schreiben oder aktualisieren dürfen.
TextCortex: Sichere KI-Infrastruktur für Unternehmen
TextCortex wurde genau für dieses Szenario entwickelt. Es handelt sich um eine in der EU ansässige KI-Infrastrukturplattform für Unternehmen, auf der Organisationen KI-Agenten auf ihren eigenen Unternehmensdaten bereitstellen und verwalten können. Die Plattform lässt sich mit Systemen von Drittanbietern wie CRMs und CMSs verbinden und in Workspace-Apps wie Slack und Microsoft Teams integrieren. Die Berechtigungen jedes Agenten werden vollständig von Administratoren kontrolliert: Was er aufrufen, schreiben oder aktualisieren darf, liegt immer in den Händen des Benutzers.
Sicherheitszertifizierungen: ISO 27001, SOC 2 Typ II, DSGVO-konform, EU-KI-Gesetz-konform. Alle Daten verbleiben auf einer in der EU gehosteten Infrastruktur. Es werden zu keinem Zeitpunkt Daten für das Modelltraining verwendet. Die vollständige Sicherheitsdokumentation findest du unter trust.textcortex.com.


MAHLE (DAX-40-Automobilzulieferer) hat TextCortex eingeführt TextCortex innerhalb von weniger als einem Monat eine Akzeptanzrate von 65 % erreicht, wodurch pro Benutzer und Woche mehr als 5 Stunden eingespart werden, wobei die Agenten auf SharePoint-Daten laufen. b2venture (VC-Firma, mehr als 800 Mio. EUR AUM) verzeichnete eine 7-fache Steigerung der KI-Nutzung im gesamten Investmentteam mit mehr als 10 spezialisierten Agenten.
Häufig gestellte Fragen
Ist OpenClaw für den Einsatz in Unternehmen geeignet?
Laut Sicherheitsbewertungen von Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos und Trend Micro: Nein, nicht in seiner aktuellen Form. OpenClaw ist als persönliches Tool mit einer einzigen vertrauenswürdigen Benutzergrenze konzipiert. Microsoft empfiehlt, es als Ausführung von nicht vertrauenswürdigem Code zu behandeln, und Sophos rät dazu, es nur in Wegwerf-Sandboxes ohne Zugriff auf sensible Daten auszuführen.
Was ist CVE-2026-25253?
Eine kritische Sicherheitslücke (CVSS 8.8) in der Control UI von OpenClaw, die die Ausführung von Remote-Code mit nur einem Klick ermöglichte. Durch diese Schwachstelle konnten Angreifer durch das Erstellen einer bösartigen URL Authentifizierungstoken abgreifen und anschließend die vollständige Kontrolle über das Gateway übernehmen. Die Sicherheitslücke wurde am 30. Januar 2026 in Version 2026.1.29 behoben.
Was ist die „tödliche Dreierkombination“ bei der Sicherheit von KI-Agenten?
Ein Begriff, der vom Sicherheitsforscher Simon Willison geprägt wurde und die drei Merkmale beschreibt, die KI-Agenten in Kombination gefährlich machen: Zugriff auf private Daten, Kontakt mit nicht vertrauenswürdigen Inhalten und die Befugnis, im Namen des Nutzers zu handeln. OpenClaw weist alle drei Merkmale auf.
Kann ich OpenClaw für den Einsatz in Unternehmen absichern?
Du kannst die Sicherheit verbessern, indem du die Authentifizierung aktivierst, den Geltungsbereich des Dateisystems einschränkst, weitreichende Terminalberechtigungen deaktivierst, die Plattform in isolierten VMs ausführst und alle verbundenen Dienste überprüfst. Die grundlegende Herausforderung (die Eingabe von Befehlen bei Agenten, die nicht vertrauenswürdige Inhalte verarbeiten) lässt sich jedoch nicht einfach durch Patches beheben. Hier ist eine Steuerung auf Plattformebene erforderlich.
Was ist eine sicherere Alternative zu OpenClaw für Unternehmen?
KI-Agentenplattformen für Unternehmen wie TextCortex bieten dieselben Agent-Funktionen (Aufgabenausführung, Wissensdatenbank-Integration, Multi-Channel-Bereitstellung) mit zentraler Verwaltung, SOC 2- und ISO 27001-Zertifizierung, DSGVO-konformem Hosting in der EU und Administrator-Kontrollen über die Berechtigungen der Agenten.
Warum hat China OpenClaw verboten?
Im März 2026 untersagten die chinesischen Behörden staatlichen Stellen und staatlichen Unternehmen, OpenClaw auf Bürocomputern zu nutzen. CNCERT begründete dies mit den schwachen Standard-Sicherheitseinstellungen der Plattform und den Risiken durch Prompt-Injection, die zu Datendiebstahl führen könnten.
