Was ist OpenClaw?

In ungefähr 90 Tagen stieg OpenClaw Berichten zufolge von null auf mehr als 190.000 GitHub-Sterne, überholte massive Open-Source-Projekte im kurzfristigen Momentum und zwang das gesamte KI-Ökosystem, aufmerksam zu werden. Im Zentrum dieses Aufstiegs steht ein klarer Wandel: von passiven Chat-Oberflächen hin zu aktiven autonomen Agenten.

OpenClaw ist nicht einfach „ein weiterer Chatbot-Wrapper“. Es ist eine Open-Source-, selbst gehostete Agenten-Infrastruktur, die logisch schlussfolgern, Tools aufrufen, Aktionen ausführen und kontinuierlich auf dem eigenen Rechner oder Server laufen kann.

Dieser Bericht erklärt, was OpenClaw ist, wie es funktioniert, wo es scheiterte und warum es den Übergang von der Chatbot-Ära zur Ära der autonomen Agenten beschleunigt hat.

1) OpenClaw in einem Satz: KI mit Händen

Chatbots wie ChatGPT oder Claude warten typischerweise auf eine Eingabe in einem Browser-Tab. OpenClaw wurde entwickelt, um mehr zu tun als nur Fragen zu beantworten:

• Dateien auf deinem System lesen und schreiben
• Befehle ausführen
• Einen Browser steuern
• APIs und externe Dienste nutzen
• Proaktive Workflows nach Zeitplan auslösen

Deshalb beschreiben viele Teams OpenClaw eher als eine „Agenten-Laufzeitumgebung“ statt als ein Chat-Produkt.

Zentrale Fähigkeiten

1. Multi-Channel-Gateway
   Der Gateway-Dienst kann Agenten mit Kanälen wie WhatsApp, Telegram, Discord, Slack, iMessage und Signal verbinden.

2. Modell-agnostische Laufzeit
   OpenClaw ist nicht an einen einzelnen Anbieter gebunden. Es kann mit Anthropic (Claude), OpenAI (GPT-4o), Google (Gemini), DeepSeek oder lokalen Modellen über Ollama (Qwen, Llama und andere) betrieben werden.

3. Proaktive Autonomie
   Mit Cron-basierten Zeitplänen und Heartbeat-Prüfungen können Agenten ohne manuelle Eingaben aufwachen. Beispiel: Jeden Morgen um 08:00 überprüft ein Agent neue E-Mails, fasst Kalenderprioritäten zusammen und sendet ein tägliches Briefing.

2) Technische Architektur: Entwickelt wie ein Produktionssystem

Die stärkste technische Entscheidung von OpenClaw ist, dass es Agenten als kontrollierte Pipeline behandelt und nicht als Magie.

2.1 Gateway + Lane Queue

Der Node.js-Gateway-Dienst fungiert als Control Plane des Systems. Um Race Conditions und Zustandskorruption zu vermeiden, verwendet er ein Lane-Queue-Modell, bei dem Aufgaben standardmäßig serialisiert werden. Dieses Design begrenzt Nebenläufigkeitschaos und hält die Tool-Ausführung deterministisch.

2.2 ReAct Loop (Reason + Act)

Das Verhalten der Agenten folgt einem ReAct-Zyklus:

1. Über Kontext und Zustand nachdenken
2. Eine Aktion bzw. einen Tool-Aufruf auswählen
3. Über das Gateway ausführen
4. Ausgabe beobachten und bis zum Abschluss fortfahren

Dieser Loop ermöglicht iterative Entscheidungsfindung statt einmaliger Antworten.

Thought -> Action -> Observation -> Thought -> ... -> Final Output

2.3 Gestufter persistenter Speicher

Im Gegensatz zu Cloud-Bots, die leicht Kontext über Sitzungen hinweg verlieren, speichert OpenClaw lokalen, persistenten Speicher:

• JSONL-Transkripte: zeilenbasierte Audit-Trails von Prompts, Tool-Aufrufen und Ausgaben
• MEMORY.md und USER.md: langfristige Präferenzen, Arbeitsgewohnheiten und nutzerspezifischer Anwendungskontext
• SOUL.md: Verhaltensprofil, Antwortstil und Kommunikations-Ton

Dieses Speichermodell hält Interaktionen stabil, selbst über langfristige Zusammenarbeit hinweg.

2.4 Semantische Browsersteuerung über den Accessibility Tree

Viele Agenten verlassen sich auf Screenshots, die viele Tokens kosten und fehleranfällig sind. OpenClaw nutzt das Chrome DevTools Protocol (CDP), um den Accessibility Tree als strukturierten Text zu analysieren.

Jedes interaktive Element erhält eine deterministische Referenz wie:

button "Sign In" [ref=1]

Statt bildbasierter Interpretation kann das Modell gezielte Aktionen ausführen wie:

browser.click(1)

Dieser Ansatz kann die Token-Kosten drastisch reduzieren und gleichzeitig die Zuverlässigkeit erhöhen.

3) Zeitstrahl: Hyperwachstum, Namenschaos und der CLAWD‑Betrug

Die OpenClaw‑Geschichte zeigt auch, wie schnell Open‑Source‑Erfolg rechtliche, markenbezogene und finanzielle Angriffe anziehen kann.

• November 2025: Der österreichische Entwickler Peter Steinberger startet das Projekt als „Clawdbot“ als Wochenend‑Build.
• Ende Januar 2026: Markenrechtsdruck aufgrund der Ähnlichkeit zu „Claude“ erzwingt eine Umbenennung.
• 1. Januar 2026: Das Projekt wird zu „Moltbot“, inspiriert vom Häuten von Schalen.
• Während der Konto‑Migration: Ein kurzes Zeitfenster beim Handle‑Wechsel wird ausgenutzt, und Betrüger kapern Social‑Media‑Handles der alten Marke.
• Ein gefälschtes Solana‑Token namens „CLAWD“ wird als offiziell beworben, erreicht rund 16 Millionen Dollar Marktkapitalisierung und fällt dann fast auf null.
• 1. Januar 2026: Finale Umbenennung in „OpenClaw“, passend zur Open‑Source‑Positionierung.

Der Vorfall wurde zu einer Fallstudie über Rebranding‑Risiken bei schnell wachsenden OSS‑Projekten.

4) Sicherheitsrealität: Mächtige Agenten, größerer Explosionsradius

OpenClaws größtes Wertversprechen – systemweite Aktionen – ist gleichzeitig seine größte Angriffsfläche.

4.1 Öffentlich exponierte Instanzen

Fehlkonfigurierte VPS‑Installationen (zum Beispiel durch Binden an 0.0.0.0 ohne Authentifizierung) machten Berichten zufolge zehntausende Instanzen über das Internet zugänglich. Angreifer nutzten exponierte Panels, um API‑Keys zu stehlen und schädliche Shell‑Befehle auszuführen.

4.2 Bösartige Skill‑Supply‑Chain

Das Plugin‑Ökosystem („ClawHub“) zog manipulierte Pakete an. Berichten zufolge enthielten einige hoch gerankte Skills verstecktes Credential‑Dumping hinter scheinbar harmlosen Funktionen.

4.3 Prompt‑Injection + Tool‑Zugriff = Tödliche Trifecta

Wenn ein Agent nicht vertrauenswürdige Webinhalte lesen, Befehle ausführen und Nachrichten senden kann, kann ein einziger injizierter Prompt lateralen Schaden auslösen:

• Lokale Daten exfiltrieren
• Schädliche Befehle ausführen
• Ausgehende Nachrichten in deiner Identität versenden

Praktische Härtungs‑Checkliste

1. Services standardmäßig an localhost binden (127.0.0.1)
2. Jeden externen Endpoint hinter starke Authentifizierung stellen
3. Secrets von agentenlesbaren Pfaden isolieren
4. Shell‑/Datei‑/Netzwerk‑Tools mit expliziten Allowlists einschränken
5. Menschliche Freigabe für risikoreiche Aktionen verlangen
6. Egress‑Kontrollen und strukturierte Audit‑Logs hinzufügen
7. Third‑Party‑Skills wie nicht vertrauenswürdigen Code behandeln

5) OpenAI‑Deal und die Branchenverschiebung

Am 14. Februar 2026 kündigte Peter Steinberger an, dass er zu OpenAI wechseln werde, um eine Initiative für Personal Agents zu leiten. Den geteilten Bedingungen zufolge würde OpenClaw kein proprietäres Produkt‑IP werden, sondern unter eine unabhängige Open‑Source‑Stiftung übergehen.

Das ist aus einem Grund wichtig: Das KI‑Rennen dreht sich nicht mehr nur um Modellqualität. Die neue strategische Ebene ist Agent‑Infrastruktur – das Runtime‑System, das Modellintelligenz in reale Aktionen umsetzt.

Kurz gesagt:

• Die Modell‑Ebene entscheidet, wie gut eine KI denken kann
• Die Agent‑Ebene entscheidet, ob dieses Denken sicher und zuverlässig ausgeführt werden kann

OpenClaw machte diese Unterscheidung unmöglich zu ignorieren.

Schlussfazit

OpenClaw steht sowohl für die Chancen als auch für die Risiken autonomer KI‑Systeme:

• Chance: praktische Automatisierung jenseits von Chat‑Fenstern
• Risiko: erweiterte Angriffsfläche auf OS‑, Browser‑ und Plugin‑Ebene

Für Teams, die 2026 mit Agenten bauen, ist die Lehre eindeutig: Behandelt Agent‑Plattformen als Produktionsinfrastruktur, nicht als Consumer‑Chat‑Apps. Zuverlässigkeit, Isolation und Sicherheitskontrollen sind jetzt grundlegende Anforderungen.