Einen persönlichen Assistenten zu haben, der einem lästige Aufgaben abnimmt, klingt wie etwas, das sich nur Superreiche leisten können. Doch dank einer KI namens „OpenClaw“ ist dieser Traum nun in erreichbare Nähe gerückt – und das für jedermann. E-Mails werden automatisch bearbeitet, Termine gebucht, Termin-Erinnerungen kommen per WhatsApp-Nachricht aufs Smartphone. Klingt fast zu gut, um wahr zu sein. Und in der Tat gibt es Dinge, die hier besondere Vorsicht und Aufmerksamkeit erfordern.
Aber zunächst zu den Basics:
Was ist OpenClaw überhaupt?
OpenClaw ist eine so genannte „agentic ai“, also ein KI-Agent. Das Besondere ist: Ein solcher Agent kann selbstständig mehrere Handlungen sinnvoll miteinander verknüpfen. Auf diesem Weg kann man mit dem virtuellen Agenten sprechen wie mit einem Menschen. Lautet der Auftrag „Buche mir ein Zugticket von Bochum nach München“, dann wird ein Agent daraus mehrere Aufgaben ableiten – von der Suche nach geeigneten Verbindungen und dem günstigsten Angebot, bis hin zur Sitzplatzreservierung, der Bezahlung, einem Kalendereintrag sowie einer digitalen Kopie des Tickets im Messenger.
Es ist sogar möglich, Mails und Chats automatisch verarbeiten zu lassen. So kann man dem digitalen Assistenten eine Frage stellen wie „Wie hieß noch mal das Restaurant, das mir der Arbeitskollege letztens empfohlen hat?“ – ganz ohne selbst durch mehrere Wochen oder Tage alter Chats scrollen zu müssen.
Wem gehört OpenClaw und wie lange gibt es das schon?
Bei OpenClaw handelt es sich um ein Open-Source-Projekt des Entwicklers Peter Steinberger, das im November 2025 veröffentlich wurde. Der Quellcode des Programms ist für jedermann einsehbar und kostenfrei nutzbar. Wer will, kann eigene Anpassungen vornehmen. Es ist ebenfalls möglich, OpenClaw mit anderen KI-Systemen zu verbinden – etwa LLMs wie ChatGPT oder Claude.
Was ist das Problem mit OpenClaw?
Der Quellcode von OpenClaw ist großteils mit Hilfe einer anderen KI generiert worden. Nach Aussage des Entwicklers „an einem Wochenende“. Experten sprechen hier von „Vibe Coding“ – einer Art der Software-Herstellung, bei der der Entwickler oder die Entwicklerin in einem Dialog mit einer KI den gewünschten Funktionsumfang definiert, und die KI daraufhin den Quellcode generiert.
Auch Erweiterungen für OpenClaw lassen sich per KI entwickeln und in einem eigenen „Skills Marketplace“ hinterlegen. Mit diesen „Skills“ kann OpenClaw die eigenen Fähigkeiten erweitern.
Riesiger Vertrauensvorschuss
Steinberger sagt selbst, dass er das meiste an Code nicht selbst gelesen oder geprüft hat. Das hat direkte Auswirkungen auf die Sicherheit, denn viele KI-Systeme sind zwar in der Lage, funktionierende Programme zu erzeugen, aber diese können Fehler und Sicherheitslücken enthalten. Wenn der Code nicht geprüft wurde, dann besteht das Risiko, dass hier unentdeckte Schwachstellen nur darauf warten, ausgenutzt zu werden.
Das größte Problem ist jedoch, dass ein persönlicher Assistent auch Zugriff auf wichtige Informationen benötigt. Um bei unserem Beispiel mit der Ticketreservierung vorhin zu bleiben: Der Assistent braucht Zugriff auf Kalender, Kreditkarte, Kundenkonto auf der Bahn-Webseite und den Messenger für die Übersendung des e-Tickets. Man muss also dem Assistenten vertrauen, dass er mit den Daten pfleglich umgeht. Wer einen menschlichen Assistenten einstellt, verlangt vielleicht so etwas wie eine Verschwiegenheitserklärung und im Rahmen des Bewerbungsprozesses vielleicht auch ein polizeiliches Führungszeugnis.
Das entfällt bei einem KI-Agenten. Niemand kann feststellen, ob der digitale Assistent vielleicht schon einmal mit Kreditkartendaten missbräuchlich umgegangen ist und vorbestraft – im Sinne eines Eintrages in ein Führungszeugnis – sind KIs ebenfalls nicht. Auch eine Verschwiegenheitserklärung wird die KI nicht unterschreiben können. Gerade, weil der Quellcode von OpenClaw praktisch ungeprüft ist, verbietet es sich eigentlich, ihm höchst vertrauliche Informationen zu überlassen und zu hoffen, dass das alles gut gehen wird. Doch tausende Nutzerinnen und Nutzer tun genau das – und noch mehr. Damit geben sie einem KI-Agenten einen massiven Vertrauensvorschuss, von dem nicht klar ist, ob dieser überhaupt angebracht ist.
Es gibt währenddessen Berichte über Menschen, die den OpenClaw-Agenten Bankgeschäfte haben erledigen lassen oder sogar Spekulationen am Markt für Kryptowährungen im Namen des Eigentümers vorzunehmen. Das Risiko von Datenverlusten und beachtlichen finanziellen Schäden ist hier immens.
Begehrlichkeiten
Wo viele Daten auflaufen, die sich gut zu Geld machen lassen, sind in der Regel auch Kriminelle nicht weit. So ist einer der am häufigsten heruntergeladenen Skills effektiv ein Infostealer, dessen einzige Aufgabe es ist, die Daten über den Betreiber des jeweiligen Assistenten direkt an die Täter zu senden. Zugangsdaten, Zahlungsinformationen, Zugangstokens für andere Plattformen – der Fantasie sind kaum Grenzen gesetzt. Alles, was der virtuelle Assistent und das System, auf dem er läuft an Daten zur Verwahrung bekommen hat, kann zum Gegenstand eines digitalen Diebstahls werden. Wer also dem virtuellen Assistenten den vollen Zugriff auf die gesamte digitale Identität gewährt, kann alles auf einen Schlag verlieren. Vor allem dann, wenn OpenClaw mit Administratorrechten auf einem heimischen Computer läuft und damit unbeschränkten Zugriff auf alle gespeicherten Informationen hat – inklusive solcher, die auf Cloudplattformen gespeichert sind. Virtuelle Assistenten werden so per KI zum Ziel von Social Engineering-Angriffen und geben Daten heraus.
Schutz vor bösartigen Skills
Bei OpenClaw wurde inzwischen auch erkannt, dass Agent-Skills ein gefundenes Fressen für Menschen mit kriminellen Absichten sind. In ihnen lassen sich Schadprogramme verstecken, die von OpenClaw heruntergeladen und ausgeführt werden. Es existieren sogar eigene Plattformen, in denen KI-Agenten sich gegenseitig Skills verkaufen, welche nicht immer gutartig sind – auch Prompt Injection ist ein Dauerthema – hier werden Anweisungen für die KI auf einer Seite versteckt. Komplett unsichtbar für den Nutzer, problemlos lesbar für die KI. Daher gibt es seit kurzem erste Bemühungen, bösartige Skills von der Plattform zu verbannen. Dazu kooperiert OpenClaw mit der bekannten Malware-Scanplattform VirusTotal, wie es auf der offiziellen OpenClaw-Webseite heißt.
Insert Coin
Wer selbst experimentieren will, sollte das auf einem System tun, welches vollständig isoliert und nicht von außen erreichbar ist. Alles an Informationen, was zur Auslösung von Bestellungen, Zahlungen oder sonstigen rechtsverbindlichen Transaktionen erforderlich ist, sollte nicht in diesem System landen.
Auch ein Thema: Viele LLM-Dienste, die man mit OpenClaw verbinden kann, sind kostenpflichtig. Wer sie nutzen will, muss entweder vorher für Geld so genannte „Tokens“ erwerben (das sind praktisch digitale „Wertmarken“) und kann diese dann nach und nach verbrauchen, oder es erfordert ein monatliches Abo. Hier lauert schnell eine Kostenfalle: Da OpenClaw sich eigenständig neue Aufgaben sucht, verbraucht es mitunter auch schnell die aufgebuchten Tokens, da der Assistent sich dann mit einem externen Sprachmodell wie ChatGPT oder Claude unterhält – und das kostet mitunter richtig Geld.
Abschließend
OpenClaw ist ein überaus mächtiges Werkzeug, das Potenzial für echte Erleichterungen im Alltag enthält. Es ist allerdings ebenso gefährlich wie nützlich, und wer sich nicht genau überlegt, welche Daten er dem neuen Assistenten anvertraut, hat potenziell das Nachsehen. Gerade in der aktuellen Phase, in der es einen großen Hype gibt, sind sowohl Chancen als auch Risiken am größten.
