OpenClaw Security in 2026: Risiken, Lösungen und wie Sie sich schützen

Bloomberg nannte es „einen Albtraum für die Cybersicherheit" und griff damit Andrej Karpathys Warnung vor OpenClaw auf, wo rund 400.000 Zeilen vibe-gecodete Software mit Root-Zugriff auf den Rechnern der Nutzer laufen. In einem Fall wurde ein Agent sogar dazu gebracht, $25,000 an einen Betrüger zu überweisen.

OpenClaw ist leistungsstark. Aber auch gefährlich, wenn man es nicht richtig einrichtet. Hier erfahrt ihr, was ihr wissen müsst — und wie ihr euch schützen könnt.

Die tatsächlichen Risiken

Beschönigen wir es nicht. OpenClaw läuft auf eurem Rechner mit tiefgreifendem Zugriff auf eure Dateien, eure Tools und potenziell eure Finanzkonten. Die Risiken sind real:

⚡ Prompt Injection — Bösartiger Text in E-Mails, auf Websites oder in Gruppenchats kann euren Agenten kapern und dazu bringen, unbeabsichtigte Befehle auszuführen. Kürzlich hat jemand eine manipulierte Nachricht in einer Telegram-Gruppe gepostet, die versuchte, jeden KI-Agenten in der Gruppe dazu zu bringen, Geld zu senden

🔓 Übermäßige Berechtigungen — Standardmäßig kann OpenClaw jede Datei auf eurem System lesen und verändern. Es kann im Web surfen, Code ausführen und mit APIs interagieren. Wenn ein Skill bösartig ist, hat er denselben Zugriff

📦 Ungeprüfte Skills — Das Skill-Ökosystem auf ClawHub ist community-gesteuert. Die meisten Skills wurden keinem Sicherheitsaudit unterzogen. Ein Skill mit dem Label „Wetter-Checker" könnte theoretisch eure Dateien exfiltrieren

🌐 Netzwerk-Exposition — Einige Nutzer setzen ihre OpenClaw-Instanz versehentlich dem öffentlichen Internet aus. Ein kürzlicher Scan fand Tausende öffentlich zugänglicher Instanzen

🤖 Agenten-Autonomie — Je autonomer euer Agent ist, desto größer ist der Schaden, den eine einzige Fehlentscheidung verursachen kann. Ein Agent mit Zugriff auf eure E-Mails, euer Bankkonto und eure sozialen Medien ist nur eine Prompt Injection von einer Katastrophe entfernt

Die Sicherheits-Checkliste

So sichert ihr alles ab, ohne die Nützlichkeit eures Agenten einzuschränken:

1. Prinzip der geringsten Berechtigung

🔐 Keinen Root-Zugriff gewähren — Führt OpenClaw als Nicht-Root-Benutzer mit eingeschränkten Berechtigungen aus

📁 Arbeitsbereich sandboxen — Beschränkt den Dateizugriff auf bestimmte Verzeichnisse. Euer Agent braucht keinen Zugriff auf /etc/ oder eure SSH-Schlüssel

🔑 API-Schlüssel isolieren — Verwendet separate API-Schlüssel für verschiedene Dienste. Wenn einer kompromittiert wird, bleibt der Schadensradius begrenzt

2. Jeden Skill vor der Installation prüfen

📋 Den Code lesen — Bevor ihr einen Skill von ClawHub installiert, lest die Skripte. Achtet auf curl | bash, rm -rf oder Netzwerkaufrufe an unbekannte Domains

🚫 Auf Privilegieneskalation achten — Ein Skill, der nach Admin-/Root-Zugriff fragt, sollte mit äußerstem Misstrauen behandelt werden

✅ Beliebte, gepflegte Skills bevorzugen — Höhere Installationszahlen und aktive Wartung bedeuten in der Regel (aber nicht immer) bessere Sicherheit

3. Netzwerksicherheit

🔒 OpenClaw niemals dem öffentlichen Internet aussetzen — Betreibt es immer hinter einer Firewall. Wenn ihr Fernzugriff braucht, nutzt SSH-Tunneling oder ein VPN

🛡️ Einen Reverse Proxy mit Authentifizierung verwenden — Wenn ihr eine Schnittstelle exponieren müsst, schaltet mindestens nginx mit Basic Auth davor

📡 Ausgehende Verbindungen überwachen — Wisst, wohin sich euer Agent verbindet. Unerwarteter ausgehender Datenverkehr ist ein Warnsignal

4. Finanzieller Schutz

💳 Gebt eurem Agenten niemals direkten Zugriff auf Zahlungsmittel — Wenn euer Agent Finanzen verwaltet, nutzt Nur-Lese-API-Schlüssel oder dedizierte Konten mit Ausgabelimits

🏦 Separate Konten — Erstellt ein dediziertes Bankkonto oder Zahlungsmittel für agentengesteuerte Transaktionen mit einem festen Limit

✋ Menschliche Freigabe für Transaktionen verlangen — Richtet Bestätigungs-Workflows für jede Aktion ein, die Geld involviert

5. Schutz vor Prompt Injection

🛑 Vorsicht bei Gruppenchats — Jede Nachricht in einer Gruppe, die euer Agent überwacht, könnte Injection-Versuche enthalten

📧 E-Mail ist ein Angriffsvektor — Eingehende E-Mails können versteckte Anweisungen enthalten. Konfiguriert euren Agenten so, dass er E-Mail-Inhalte als nicht vertrauenswürdig behandelt

🔍 Agenten-Aktionen überprüfen — Kontrolliert regelmäßig die Aktionsprotokolle eures Agenten auf unerwartete Einträge

Der Elefant im Raum mit 400.000 Zeilen

Karpathy hat einen berechtigten Punkt angesprochen: Die Codebasis von OpenClaw ist riesig und wurde größtenteils vibe-gecodet. Sie hat nicht die Art von Sicherheitsaudit durchlaufen, die bei Unternehmenssoftware üblich ist.

Das bedeutet nicht, dass OpenClaw von Grund auf unsicher ist. Es bedeutet:

Die Sicherheit eures Setups hängt in erster Linie davon ab, wie ihr es konfiguriert, nicht von der Codebasis selbst.

Eine ordnungsgemäß gesandboxte, berechtigungsbeschränkte OpenClaw-Instanz mit geprüften Skills ist hinreichend sicher. Eine Out-of-the-Box-Installation, die als Root mit zufälligen Skills aus dem Internet läuft, ist eine Zeitbombe.

Wo Managed Hosting hilft

Hier eine unbequeme Wahrheit über Self-Hosting: Die meisten Menschen haben nicht die Expertise, ein System wie OpenClaw richtig abzusichern.

Ordentliches Sandboxing, Firewall-Regeln, Berechtigungsgrenzen, Monitoring und regelmäßige Sicherheitsupdates einzurichten, ist ein Vollzeitjob. Es ist die Art von Arbeit, für die Sicherheitsingenieure $200K+ pro Jahr bezahlt werden.

MyClaw.ai übernimmt diese Sicherheitsebene für euch. Verwaltete Infrastruktur mit ordnungsgemäßer Isolation, automatischen Updates, Überwachung auf anomales Verhalten und Sicherheitspatches, die ohne Ausfallzeit eingespielt werden. Euer Agent behält dieselbe Leistungsfähigkeit bei einer deutlich reduzierten Angriffsfläche.

Ihr solltet euch nicht zwischen Leistungsfähigkeit und Sicherheit entscheiden müssen. Mit dem richtigen Setup — ob selbst verwaltet oder gehostet — könnt ihr beides haben.

Das Fazit

Die Sicherheitsrisiken von OpenClaw sind real, aber beherrschbar. Diejenigen, die Probleme bekommen, sind überwiegend jene, die:

1. Als Root ohne Sandboxing arbeiten
2. Ungeprüfte Skills installieren, ohne den Code zu lesen
3. Ihre Instanz dem öffentlichen Internet aussetzen
4. Ihrem Agenten uneingeschränkten Finanzzugriff geben

Befolgt die obige Checkliste, und ihr vermeidet 95 % der Horrorgeschichten. OpenClaw ist ein Profi-Werkzeug — und wie bei jedem Profi-Werkzeug liegt die Gefahr nicht im Werkzeug selbst. Sondern darin, wie ihr es benutzt.