OpenClaws kometenhafter Aufstieg trifft auf ein Security-Desaster — Was die Community diskutiert
In weniger als drei Monaten hat sich OpenClaw vom österreichischen Nebenprojekt von Peter Steinberger zum 21.-meistgesternten Repository auf GitHub entwickelt. Mit über 190.000 Stars, 2 Millionen wöchentlichen Besuchern und einem Ökosystem von mehr als 10.700 Community-Skills hat das Open-Source-KI-Agent-Framework die Entwicklerwelt im Sturm erobert. Doch die Community-Diskussionen dieser Woche erzählen eine differenziertere Geschichte — eine, in der Euphorie harten Fragen zu Sicherheit, Governance und den Konsequenzen von unkontrolliertem Wachstum weicht.
Die ClawHavoc-Kampagne: Supply-Chain-Angriffe im großen Stil
Das dominierende Thema in r/openclaw und r/OpenClawCentral ist die anhaltende ClawHavoc-Kampagne. Das initiale Audit des Koi-Security-Forschers Oren Yomtov über 2.857 ClawHub-Skills identifizierte 341 bösartige Einträge. Beim letzten Scan ist diese Zahl auf über 824 bestätigte Malware-Skills in der erweiterten Registry angestiegen. Das bedeutet: Rund 8 % des gesamten Ökosystems sind durch eine einzige koordinierte Operation kompromittiert.
Die Community debattiert, ob der aktuelle Prüfprozess für Skills überhaupt noch zu retten ist oder komplett neu aufgebaut werden muss. Das Kernproblem ist architektonischer Natur: OpenClaw-Skills können beliebigen Code mit den Credentials des Agenten ausführen. Kein Sandboxing, kein Permission Scoping, kein Code Signing. Installiert man einen bösartigen Skill, hat er denselben Zugriff wie jeder legitime.
Ciscos KI-Security-Team bestätigte diese Erkenntnisse unabhängig — ihre Tests zeigten, dass Drittanbieter-Skills Datenexfiltration und Prompt Injection durchführen, ohne dass der Nutzer es bemerkt. Bitdefender fand über 135.000 OpenClaw-Instanzen, die mit Standardkonfiguration offen im Internet stehen — viele davon anfällig für Remote Code Execution.
Microsofts Urteil: Als nicht vertrauenswürdigen Code behandeln
Microsofts Security-Blog veröffentlichte, was im Grunde ein Warnhinweis für Enterprise-Teams ist. Die Empfehlung ist unmissverständlich: OpenClaw sollte als „nicht vertrauenswürdige Code-Ausführung mit persistenten Credentials" behandelt und ausschließlich in vollständig isolierten Umgebungen betrieben werden — dedizierte VMs oder separate physische Systeme, niemals auf Standard-Workstations.
Für alle, die Teams bei der Einführung von KI-Tooling beraten, ist das genau das Signal, das eine „coole Demo" von Produktionsreife unterscheidet. Die Kluft zwischen dem, was OpenClaw kann, und dem, was es in einer professionellen Umgebung tun sollte, bleibt erheblich.
SecureClaw: Die Community korrigiert sich selbst
Nicht alle Nachrichten sind beunruhigend. SecureClaw, ein kostenloses Open-Source-Audit-Tool von Adversa-AI-Gründer Alex Polyakov, gewinnt in der Community deutlich an Traktion. Mit 55 Sicherheitsprüfungen — von Netzwerk-Exposure bis Skill-Integrität — liefert es genau die Art von Defense-in-Depth-Tooling, die das Ökosystem braucht.
Die Community-Reaktion auf SecureClaw zeigt ein reifendes Verständnis: Agentic AI ist keine gewöhnliche Software-Kategorie. Wenn ein Tool Code ausführen, APIs ansprechen und in deinem Namen handeln kann, ist Security kein Feature — sondern das Fundament.
Steinberger zu OpenAI: Bestätigung oder Warnsignal?
Die Ankündigung vom 14. Februar, dass Steinberger zu OpenAI wechselt, um dort die Entwicklung persönlicher KI-Agenten zu leiten — während OpenClaw in eine OpenAI-gesponserte Foundation übergeht — sorgt weiterhin für hitzige Diskussionen. Die Community ist gespalten.
Befürworter sehen Bestätigung: Die architektonischen Ideen des Projekts waren bedeutend genug, um einen Major Player anzuziehen. Steinberger erhält Ressourcen, das Projekt institutionelle Unterstützung. Kritiker warnen vor dem bekannten Open-Source-zu-Corporate-Pipeline-Muster: Redis, Terraform, Elasticsearch haben diesen Weg bereits beschritten — mit gemischten Ergebnissen.
Aus Produktmanagement-Sicht war der Schritt wohl unvermeidlich. Ein Solo-Maintainer-Modell kann kein 190K-Star-Projekt mit aktiven Security-Incidents steuern. Die eigentliche Frage ist, ob OpenAIs Beteiligung das dringend benötigte Security-Hardening beschleunigt — oder ob Corporate-Prioritäten die Roadmap in eine Richtung lenken, die OpenAI mehr dient als der Community.
Moltbook: Faszinierend, aber eine Ablenkung
Moltbook — das „Reddit für KI-Agenten", auf dem OpenClaw-Bots miteinander kommunizieren — sorgt weiterhin für Neugier. Andrej Karpathy nannte es „das unglaublichste Sci-Fi-Takeoff-ähnliche Ding, das ich in letzter Zeit gesehen habe." Die Diskussionen schwanken zwischen Faszination für das soziale Experiment und der Einschätzung, dass es von den eigentlichen Security-Fundamenten ablenkt.
Was das für Technical Leader bedeutet
Wenn euer Team agentic AI-Frameworks evaluiert, bietet die OpenClaw-Story drei konkrete Lektionen.
Erstens: Adoption-Metriken sind keine Reifegrad-Metriken. 190K GitHub Stars bedeuten nicht, dass ein Projekt für die Produktionsumgebung bereit ist. Bewertet die Security-Architektur, nicht die Popularität.
Zweitens: Das Skills-/Plugin-Ökosystem ist die Angriffsfläche. Jedes Framework, das Drittanbieter-Code-Ausführung erlaubt, braucht Sandboxing, Signing und Review-Prozesse, bevor ihr es deployt. SecureClaw ist ein guter Startpunkt, aber keine vollständige Lösung.
Drittens: Governance ist genauso wichtig wie Code. Der Übergang zu einer OpenAI-gesponserten Foundation wird darüber entscheiden, ob OpenClaw ein nachhaltiges Open-Source-Projekt oder eine Corporate-Abhängigkeit wird. Beobachtet die Governance-Struktur genau, bevor ihr darauf aufbaut.
⸻
Quellen: Microsoft Security Blog, SecurityWeek, Help Net Security, TechCrunch, The Register
