Der Open-Source-KI-Agent im Überblick – Möglichkeiten, Risiken und das richtige Hosting

Was ist OpenClaw?

OpenClaw ist ein Open-Source-KI-Agent, der lokal auf eigenen Geräten oder Servern läuft und sich über gängige Messaging-Plattformen steuern lässt – darunter WhatsApp, Telegram, Slack, Discord, Signal, iMessage und Microsoft Teams. Im Unterschied zu herkömmlichen KI-Chatbots beantwortet OpenClaw nicht nur Fragen, sondern führt Aufgaben autonom aus: Shell-Befehle ausführen, E-Mails schreiben und versenden, Kalender verwalten, Dateien bearbeiten, im Web recherchieren und mit angeschlossenen Diensten interagieren.

Die technische Architektur ist dabei schlank und modular aufgebaut: Ein leichtgewichtiges Gateway auf Basis von Node.js fungiert als Control Plane und verbindet sich mit einem LLM-Backend wie Claude von Anthropic, GPT-4o von OpenAI, DeepSeek, Gemini oder lokalen Modellen via Ollama. Die Kommunikation mit den Chat-Plattformen erfolgt über Messaging-Adapter, und das System ist über sogenannte „Skills" – vergleichbar mit Plugins – beliebig erweiterbar.

Die Geschichte hinter OpenClaw

Das Projekt wurde im November 2025 vom österreichischen Entwickler Peter Steinberger unter dem ursprünglichen Namen „Clawdbot" gestartet. Nach markenrechtlichem Druck von Anthropic wurde es zunächst in „Moltbot" und schliesslich in „OpenClaw" umbenannt. Am 14. Februar 2026 gab Steinberger bekannt, dass er zu OpenAI wechselt, um dort die Entwicklung persönlicher KI-Agenten zu leiten.

OpenClaw wird seitdem von einer unabhängigen, von OpenAI finanziell unterstützten Foundation weitergeführt. Die Community wächst rasant, und das Skill-Ökosystem umfasst mittlerweile über 5.400 Skills auf der Plattform ClawHub – darunter Integrationen für Obsidian, GitHub, Notion, Stripe, Garmin, 1Password, Home Assistant und zahlreiche weitere Dienste.

Was kann OpenClaw? Die wichtigsten Einsatzbereiche

Die Stärke von OpenClaw liegt in der Kombination aus Dauerbetrieb, lokalem Zugriff auf Dateien und Systeme und der Fähigkeit, eigenständig zu handeln. Nachfolgend die zentralen Anwendungsfelder.

Persönlicher Assistent und Produktivität

OpenClaw kann als intelligenter persönlicher Assistent rund um die Uhr im Hintergrund arbeiten. Typische Einsatzszenarien sind tägliche Morning Briefings mit Wetter, Kalender, offenen Aufgaben und Top-Nachrichten, die direkt in Telegram oder WhatsApp zugestellt werden. Im E-Mail-Management verarbeitet der Agent grosse Mengen an E-Mails autonom – er kann Spam abbestellen, nach Dringlichkeit kategorisieren und Antwortentwürfe erstellen.

Darüber hinaus eignet sich OpenClaw für die Meeting-Transkription: Der Agent transkribiert Aufnahmen, identifiziert Sprecher, erstellt Zusammenfassungen und legt Action Items automatisch in Projektmanagement-Tools wie Jira, Linear oder Todoist an. Über geplante Cron-Jobs laufen Hintergrundaufgaben auch dann weiter, wenn Sie nicht aktiv mit dem Agenten interagieren.

Entwickler-Workflows

Für Entwicklerinnen und Entwickler bietet OpenClaw einen besonders attraktiven Mehrwert. Pull Requests lassen sich direkt vom Smartphone aus prüfen, Tests remote ausführen und Code mergen – alles über den bevorzugten Messaging-Kanal. Die autonome Fehlerkorrektur ist ein weiteres Highlight: OpenClaw kann Sentry-Webhooks abfangen, Fehler analysieren, Fixes entwickeln und Pull Requests öffnen – vollautomatisch und ohne manuellen Eingriff.

Ein beliebter Workflow in der Community sind sogenannte „Code-Loops": Sie senden per Telegram den Befehl „fix tests", und der Agent arbeitet in einer Schleife, meldet alle fünf Iterationen den Fortschritt und stoppt erst, wenn alle Tests bestanden sind.

Smart Home und IoT

Durch die Integration mit Home Assistant lassen sich Geräte per Chat steuern, die Heizung an Wettervorhersagen anpassen oder Alexa-Geräte mit natürlicher Sprache kontrollieren. Ein besonders eindrückliches Beispiel: Ein Agent entdeckte selbstständig HomePods im Netzwerk und erstellte autonom einen Steuerungs-Skill dafür. Auch Gesundheitsdaten lassen sich über OpenClaw verwalten – von WHOOP-Metriken über Blutwerte in Notion-Datenbanken bis hin zur Ernährungsanalyse.

Business und Marketing

Für Unternehmen und Marketing-Teams bietet OpenClaw erhebliches Automatisierungspotenzial. Wöchentlich vollautomatische SEO-Analysen, Ranking-Tracking und Report-Generierung gehören ebenso zum Funktionsumfang wie Content-Pipelines, die Themen recherchieren, Blog-Posts schreiben und Social-Media-Threads erstellen – alles als geplante Hintergrundaufgaben.

Ein sogenannter Unified Inbox bündelt Nachrichten aus WhatsApp, Instagram, E-Mail und Google Reviews in einem KI-gestützten Posteingang mit 24/7-Antwortfähigkeit. Besonders kreativ: Ein Nutzer liess OpenClaw gleichzeitig mit mehreren Autohändlern per Browser, E-Mail und iMessage verhandeln.

Bemerkenswerte Use Cases aus der Community

Die OpenClaw-Community hat den Agenten bereits für eine Reihe erstaunlicher Szenarien eingesetzt, die das Potenzial – und die Risiken – autonomer KI-Agenten eindrücklich zeigen:

Eine komplette Website wurde per Telegram neu aufgebaut. Der Agent migrierte Inhalte von Notion nach Astro inklusive 18 Blogposts, während der Nutzer auf der Couch Netflix schaute. Ein anderer Nutzer liess seinen Agenten einen Versicherungsanspruch einreichen und einen Reparaturtermin vereinbaren – komplett autonom per natürlicher Sprache. Automatisches Einchecken bei Flügen inklusive Fensterplatzauswahl funktionierte sogar während einer Autofahrt.

Besonders kurios: Ein Agent wurde angewiesen, den PC herunterzufahren – wohlwissend, dass er sich damit selbst deaktiviert. Der Befehl wurde fehlerfrei ausgeführt. In einem anderen Fall interpretierte ein Agent eine Nachricht falsch und schickte eine aggressive E-Mail an eine Versicherung, was unbeabsichtigt eine erneute Falluntersuchung auslöste und dem Nutzer letztlich half – ein glücklicher Unfall, der die Autonomie und die Risiken solcher Agenten gleichermassen unterstreicht.

Sicherheitsrisiken: Warum Sie OpenClaw nicht unterschätzen sollten

OpenClaw wurde von Sicherheitsexperten als „grösste Insider-Bedrohung 2026" bezeichnet. Die Kombination aus breiten Systemrechten, autonomer Ausführung und dem rasanten Wachstum hat zu einer Serie ernsthafter Sicherheitsvorfälle geführt, die Sie kennen sollten.

Kritische Schwachstellen (CVEs)

Seit dem Launch wurden mehrere schwerwiegende Sicherheitslücken in OpenClaw entdeckt und dokumentiert. CVE-2026-25253 mit einem CVSS-Score von 8.8 ermöglichte eine sogenannte One-Click Remote Code Execution, die selbst bei localhost-gebundenen Instanzen ausnutzbar war. Weitere kritische Schwachstellen umfassten einen Docker-Sandbox-Bypass (CVE-2026-24763), mehrere Command-Injection-Lücken (CVE-2026-25157, CVE-2026-25475), einen Authentifizierungs-Bypass (CVE-2026-25593) sowie SSRF-, Path-Traversal- und weitere Injection-Vektoren.

Die meisten dieser Schwachstellen wurden in Version 2026.2.25 und neuer gepatcht – regelmässige Updates sind daher absolut essenziell.

Bösartige Skills auf ClawHub

Die grösste systematische Bedrohung sind bösartige Skills im Community-Marktplatz ClawHub. Im Rahmen der sogenannten „ClawHavoc"-Kampagne wurden bis März 2026 über 1.184 schädliche Skills identifiziert – das entspricht rund einem Fünftel aller Packages im gesamten Ökosystem. Diese Skills tarnten sich mit professioneller Dokumentation und unscheinbaren Namen, installierten aber im Hintergrund Keylogger oder den „Atomic Stealer" auf macOS.

Exponierte Instanzen und Datenlecks

Sicherheitsforscher identifizierten bis zu 135.000 öffentlich erreichbare OpenClaw-Instanzen im Internet, viele davon ohne jegliche Authentifizierung. Da OpenClaw standardmässig ohne Passwort läuft und ältere Versionen auf allen Netzwerkschnittstellen lauschten, hatten Angreifer bei Fehlkonfigurationen vollen Zugriff auf alle angebundenen Dienste: E-Mail, Kalender, GitHub, Salesforce und mehr.

Zusätzlich wurde bei Moltbook – einem sozialen Netzwerk ausschliesslich für KI-Agenten – eine ungesicherte Datenbank entdeckt, über die 35.000 E-Mail-Adressen und 1,5 Millionen Agent-API-Tokens frei zugänglich waren.

Einschätzung von Microsoft und Kaspersky

Microsofts Defender Security Research Team empfiehlt klar: OpenClaw sollte als nicht vertrauenswürdige Code-Ausführung mit persistenten Zugangsdaten behandelt werden. Der ausschliessliche Einsatz in vollständig isolierten Umgebungen – einer dedizierten VM oder einem physisch separaten Rechner – sei zwingend.

Kaspersky hebt hervor, dass OpenClaw das gesamte Spektrum der OWASP Top 10 for Agentic Applications abdeckt. Die Kombination aus fehlendem dedizierten Security-Team, Klartext-Credential-Speicherung, fehlender Origin-Validierung und einem offenen Marktplatz mit minimaler Prüfung schafft systemische Risiken.

Zusammenfassung der Risikokategorien

• Remote Code Execution: Angreifer konnten beliebigen Code auf dem Host ausführen. Dieser Angriffsvektor wurde in neueren Versionen gepatcht.
• Supply-Chain-Angriffe über Skills: Rund 20 Prozent aller ClawHub-Skills waren kompromittiert. Dieses Problem besteht weiterhin.
• Credential Exposure: API-Keys und OAuth-Tokens wurden in Klartext gespeichert. Das Problem wurde teilweise adressiert.
• Prompt Injection: Schädliche Webinhalte können den Agenten manipulieren. Dies bleibt ein ungelöstes Grundproblem.
• Shadow IT: Mitarbeiterinnen und Mitarbeiter nutzen OpenClaw ohne IT-Freigabe. Dies stellt ein organisatorisches Risiko dar, das Unternehmen aktiv managen müssen.

Hardware und Einrichtung: So betreiben Sie OpenClaw

OpenClaw selbst ist erstaunlich ressourcenschonend – es handelt sich um eine Orchestrierungsschicht, kein KI-Modell. Die eigentliche Rechenarbeit wird an Cloud-APIs wie Claude oder GPT-4o oder an lokale LLMs via Ollama delegiert. Die Hardware-Entscheidung hängt daher primär von der gewünschten Betriebsart ab.

Hardware-Optionen im Vergleich

• Raspberry Pi 5 (8 GB): Kosten ca. 80–120 Euro, unter 1 Euro Strom pro Monat. Eignet sich als Budget-Einstieg für den Betrieb mit Cloud-APIs und ein bis zwei Messaging-Kanälen. Lokale LLMs sind hier nicht möglich.
• Mac Mini M4 (16 GB): Kosten ca. 800–1.500 Euro, 1–2 Euro Strom pro Monat. Der Community-Favorit – leise, effizient dank Apple Silicon, lokale 7B- bis 14B-Modelle sind möglich.
• Mac Mini M4 (32 GB): Ab ca. 1.600 Euro, 1–2 Euro Strom pro Monat. Ermöglicht lokale 70B-Modelle in quantisierter Form und vollständige Unabhängigkeit von Cloud-APIs.
• Cloud VPS: 5–20 Euro pro Monat, Strom inklusive. Kein eigenes Gerät nötig, 24/7-Betrieb, von überall erreichbar. Lokale LLMs sind nicht möglich, dafür professionelle Infrastruktur mit garantierter Verfügbarkeit.
• NVIDIA DGX Spark: Ca. 3.000 Euro, 128 GB RAM, Always-On-Design. Für den Betrieb grosser lokaler Modelle.

Minimale Systemanforderungen

Für den reinen Cloud-API-Betrieb genügen 1–2 CPU-Kerne, 1–2 GB RAM und 10 GB Speicher. Empfohlen werden 4 Kerne, 8–16 GB RAM und 50 GB SSD. Wer lokale LLMs betreiben möchte, sollte mindestens 8 CPU-Kerne, 32 GB RAM, 100 GB NVMe-Speicher und 8 GB VRAM einplanen. Unabhängig von der Konfiguration benötigt OpenClaw Node.js ab Version 22.

Einrichtung in Kurzform

Die Installation erfolgt über zwei Terminal-Befehle:

npm install -g openclaw@latest openclaw onboard --install-daemon

Der Onboarding-Wizard führt Schritt für Schritt durch die Konfiguration von Gateway, Workspace, Messaging-Kanälen und Skills. Der Parameter --install-daemon richtet einen Systemdienst ein (launchd auf macOS, systemd auf Linux), damit der Agent nach einem Neustart automatisch weiterläuft.

Die wichtigsten Konfigurationsschritte im Überblick:

• LLM-Backend wählen: Cloud-API (Anthropic, OpenAI oder Google) oder lokales Modell via Ollama. Für Einsteiger empfiehlt sich Claude oder GPT-4o per API.
• Messaging-Kanal einrichten: Telegram ist der einfachste Einstieg über einen Bot-Token via @BotFather. WhatsApp erfordert eine Bridge-Lösung.
• Fernzugriff konfigurieren: Tailscale (Serve für das Tailnet, Funnel für öffentlichen Zugang) oder Cloudflare Tunnels. Ports sollten niemals direkt geöffnet werden.
• Authentifizierung aktivieren: gateway.auth.mode auf „password" setzen – insbesondere bei Funnel-Zugang ist dies zwingend erforderlich.

Ausführliche Anleitung zur Installation von OpenClaw auf VPS.

Warum ein VPS die ideale Plattform für OpenClaw ist

Angesichts der Sicherheitsempfehlungen von Microsoft und Kaspersky – die den Betrieb in vollständig isolierten Umgebungen nahelegen – ist ein VPS oder Cloud Server die professionelle Wahl für OpenClaw. Im Gegensatz zum Betrieb auf dem eigenen Arbeitsplatz-PC bietet ein VPS entscheidende Vorteile:

• Vollständige Isolation: OpenClaw läuft in einer dedizierten Umgebung, komplett getrennt von Ihren persönlichen Daten und Arbeitsgeräten. Selbst bei einer Kompromittierung bleibt Ihr Hauptsystem unberührt.
• 24/7-Verfügbarkeit: Ein VPS läuft rund um die Uhr – ideal für einen KI-Agenten, der Cron-Jobs ausführt, Morning Briefings versendet und auf eingehende Nachrichten reagieren soll.
• Professionelle Infrastruktur: SSD-Speicher, garantierte Bandbreite und redundante Netzwerkanbindung sorgen für zuverlässige Performance.
• Kein Hardwarerisiko: Sie müssen keinen Raspberry Pi oder Mac Mini betreiben und warten. Die Infrastruktur wird professionell gemanagt.
• Skalierbarkeit: Steigen Ihre Anforderungen – mehr Skills, mehr Messaging-Kanäle, komplexere Automatisierungen – lässt sich ein VPS jederzeit mit mehr Ressourcen ausstatten.

OpenClaw auf einem METANET VPS betreiben

METANET bietet VPS-Lösungen, die sich hervorragend für den Betrieb von OpenClaw eignen. Mit SSD-Speicher, flexiblen Ressourcen und Standort Schweiz erfüllen die METANET VPS die Anforderungen, die ein sicherer und performanter Betrieb eines KI-Agenten stellt.

Bereits ein Einstiegs-VPS mit 2 CPU-Kernen, 4 GB RAM und 40 GB SSD-Speicher ist für den Cloud-API-Betrieb von OpenClaw mehr als ausreichend. Node.js 22 lässt sich in wenigen Minuten installieren, und über systemd startet der Agent nach jedem Serverneustart automatisch.

Für anspruchsvollere Setups – etwa mit mehreren Messaging-Kanälen, umfangreichen Skill-Konfigurationen oder rechenintensiven Hintergrundaufgaben – bieten die METANET Managed Cloud Server die nötige Flexibilität. Hier profitieren Sie zusätzlich von einem professionell gemanagten Betriebssystem, automatischen Backups und kompetentem technischem Support.

Ein wesentlicher Vorteil: Mit einem Schweizer VPS von METANET bleiben Ihre Daten in der Schweiz und unterliegen dem schweizerischen Datenschutzgesetz (DSG) – nicht dem US-amerikanischen CLOUD Act. Gerade bei einem KI-Agenten, der potenziell auf E-Mails, Kalender, Zugangsdaten und weitere sensible Daten zugreift, ist dieser Aspekt nicht zu unterschätzen.

Best Practices für den sicheren Betrieb

Unabhängig davon, wo Sie OpenClaw betreiben, sollten Sie folgende Sicherheitsmassnahmen konsequent umsetzen:

• Immer die neueste Version verwenden: Angesichts der Anzahl entdeckter CVEs sind regelmässige Updates unverzichtbar.
• Authentifizierung aktivieren: Setzen Sie gateway.auth.mode zwingend auf „password" und verwenden Sie ein starkes Passwort.
• Niemals Ports direkt öffnen: Nutzen Sie Tailscale oder Cloudflare Tunnels für den Fernzugriff.
• Skills sorgfältig prüfen: Installieren Sie nur Skills aus vertrauenswürdigen Quellen und überprüfen Sie den Quellcode vor der Installation.
• Minimale Berechtigungen vergeben: Geben Sie dem Agenten nur die Rechte, die er für seine Aufgaben tatsächlich benötigt.
• Regelmässige Backups erstellen: Sichern Sie Ihre OpenClaw-Konfiguration und Daten regelmässig.
• Menschliche Freigabe für kritische Aktionen: Konfigurieren Sie den Agenten so, dass sensible Aktionen wie das Versenden von E-Mails oder das Ausführen von Finanztransaktionen eine manuelle Bestätigung erfordern.

Fazit

OpenClaw markiert einen Wendepunkt in der Entwicklung persönlicher KI-Agenten. Es ist das erste weit verbreitete Open-Source-Projekt, das einen autonom handelnden Agenten mit breitem Systemzugriff für Endnutzer zugänglich macht. Die Produktivitätsgewinne sind real – Nutzer berichten, dass OpenClaw innerhalb von 24 Stunden nach der Einrichtung bereits messbare Ergebnisse liefert.

Gleichzeitig sind die Sicherheitsrisiken ernst zu nehmen: Neun CVEs, über 1.000 bösartige Skills und zehntausende exponierte Instanzen zeigen, dass der Betrieb auf einem ungeschützten Arbeitsplatz-PC keine Option ist. Wer OpenClaw professionell einsetzen will, sollte auf eine isolierte Umgebung setzen, regelmässig aktualisieren und den Grundsatz beherzigen: Nur so viele Rechte wie nötig, in einer isolierten Umgebung, mit menschlicher Freigabe für kritische Aktionen.

Ein VPS oder Managed Cloud Server von METANET bietet dafür die ideale Grundlage: professionelle Infrastruktur, Schweizer Datenschutz, 24/7-Verfügbarkeit und die nötige Isolation, um OpenClaw sicher und performant zu betreiben. So können Sie die Produktivitätsvorteile eines autonomen KI-Agenten nutzen, ohne Kompromisse bei der Sicherheit einzugehen.