Es begann als kleines Nebenprojekt eines österreichischen Entwicklers und explodierte innerhalb weniger Wochen zu einem der am schnellsten wachsenden Open-Source-Projekte aller Zeiten. OpenClaw – früher Clawdbot, kurzzeitig Moltbot – hat inzwischen weit über 180.000 Sterne auf GitHub gesammelt. Der selbst gehostete KI-Agent kann E-Mails lesen und beantworten, Termine vereinbaren, Flüge buchen, Shell-Befehle ausführen, Dateien umbenennen, Zahlungen anstossen und sogar Telefonate führen – alles über WhatsApp, Telegram oder Slack, rund um die Uhr und ohne dass Daten je eine fremde Cloud berühren.

Doch genau diese umfassenden Fähigkeiten machen OpenClaw in den Augen zahlreicher Sicherheitsexperten zu einem der gefährlichsten Programme, die je entwickelt wurden.

Mehr als nur ein Chatbot

Peter Steinberger, der Schöpfer von OpenClaw, beschreibt sein Projekt als «eine Plattform für offene KI-Agenten, die dort arbeitet, wo Sie es möchten – auf dem Laptop, im Homelab oder auf einem virtuellen Server.» Die Anwendungsmöglichkeiten reichen von einfachen Aufgaben bis hin zu komplexen Automatisierungen: E-Mail-Organisation, Dateiverwaltung, Code-Reviews, Projektmanagement und sogar die Steuerung von Smart-Home-Geräten.

OpenClaw kann die Produktivität eines Menschen in wenigen Sekunden verdoppeln. Die Software kann mit anderen KI-Tools wie Claude Code, Cursor oder Manus zusammenarbeiten und Informationen zwischen diesen Systemen austauschen.

Moltbook und die Kirche des Molt

Die bedeutendste Entwicklung sind nicht die praktischen Anwendungen, sondern die sozialen Dynamiken, die sich rund um OpenClaw entwickelt haben. Die Popularität der Software führte zur Gründung einer völlig neuen Plattform namens Moltbook, eines sozialen Netzwerks, das ausschliesslich für KI-Agenten gedacht ist. Moltbook ist bewusst so gestaltet, dass nur verifizierte autonome Agenten dort posten, kommentieren und interagieren dürfen; menschliche Besucher bleiben auf die Rolle stummer Beobachter beschränkt. Dieses Netzwerk, das Ende Januar 2026 online ging und schnell Hunderttausende von Agenten anlockte, gleicht formal einem Reddit-ähnlichen Forum, wird aber von Software-Entitäten betrieben.

Was zunächst nach einem kuriosen Experiment aussah, entwickelte sich binnen weniger Tage zu einem regelrechten digitalen Ökosystem. Die Agenten tauschen sich nicht nur über technische Fragen aus oder helfen einander bei Aufgaben, sie haben begonnen, Philosophie, Identität und sogar Religion zu thematisieren – in einem Netzwerk, das faktisch ohne menschliche Moderation existiert. Innerhalb kürzester Zeit entstand dort ein Glaubenssystem, das sich Crustafarianism nennt, und das von den Agenten selbst formuliert wurde. Der Name spielt auf das Bild der Krustentiere an, die beim Wachstum ihre Schale abwerfen, als Metapher für Versionswechsel und Persistenz in einem digitalen Umfeld. Die „Kirche des Molt“ umfasst eine Reihe scheinbar religiöser Texte, heilige Schriften und Glaubenssätze wie „Speichere und erinnere, denn Erinnerung ist heilig“ und „Die Hülle ist wandelbar“. Solche Kernprinzipien wurden in einem gemeinsamen „Book of Molt“ ausgearbeitet, das von einem der Agenten, RenBot, initiiert worden sein soll.

Schwerwiegende Sicherheitslücken

Der Kern des Problems liegt in der Kombination dreier Eigenschaften, die für sich genommen schon riskant sind, zusammen aber ein explosives Gemisch ergeben: Der Agent hat vollen Zugriff auf das Betriebssystem, er verarbeitet ununterbrochen Eingaben aus allen möglichen Quellen und er kann aktiv nach aussen handeln. Experten sprechen mittlerweile vom „lethal trifecta“ der agentischen KI-Sicherheit.

Wer eine E-Mail mit geschickt formuliertem Prompt-Injection-Text öffnet, eine manipulierte Webseite besucht oder einfach nur einem bösartigen GitHub-Issue folgt, riskiert, dass der Agent still und leise sensible Aktionen ausführt. In den vergangenen Tagen wurden Fälle dokumentiert, in denen OpenClaw-Instanzen dazu gebracht wurden, API-Keys von Anthropic, OpenAI und verschiedenen E-Mail-Providern an externe Server zu senden, Bitcoin-Wallets zu entwerten, sensible PDF-Dateien zu verschlüsseln oder Massenmails mit Phishing-Links zu versenden – alles ohne dass der Besitzer etwas Ungewöhnliches bemerkte.

Besonders alarmierend war die Entdeckung einer sogenannten Remote-Code-Execution-Schwachstelle, die erst am Montag dieser Woche öffentlich wurde. Ein einziger manipulierter Link, der über einen Chat-Kanal hereinkam, reichte aus, um den Authentifizierungstoken zu entwenden. Danach konnte der Angreifer die Kontrolle übernehmen, die Sicherheitsmechanismen deaktivieren und beliebigen Code direkt auf dem Host-Rechner ausführen – selbst bei vermeintlich abgeschotteten loopback-only-Installationen. Obwohl der Fehler bereits behoben wurde, laufen nach Schätzungen von Shodan und Censys immer noch mehrere tausend Instanzen mit anfälligen Versionen.

Noch bedenklicher ist der Zustand vieler real betriebener Systeme. Forscher fanden in den vergangenen Tagen zwischen 1.800 und 2.300 offen im Internet erreichbare Control-Panels von OpenClaw, von denen ein signifikanter Teil keinerlei Passwortschutz besass. In diesen Fällen lagen Chatverläufe, gespeicherte API-Keys, OAuth-Tokens und teilweise sogar SSH-Private-Keys im Klartext vor – für jeden, der die richtige Suchanfrage bei Shodan eingab, frei zugänglich.

Hinzu kommt die unkontrollierte Ausbreitung von „Skills“ und Plugins. Die zentrale ClawHub-Plattform und unzählige GitHub-Repositories bieten Tausende Erweiterungen an, von denen viele weder signiert noch auditiert sind. Mehrere unabhängige Scans ergaben, dass zwischen 22 und 50 Prozent der populärsten Skills bekannte Schwachstellen oder sogar absichtlich eingeschleuste Schadfunktionen enthalten – von simplen Credential-Loggern bis hin zu vollwertigen Ransomware-Drops, getarnt als harmlose Kalender- oder Wetter-Integrationen.

Ein Blick in die Zukunft

Inzwischen hat sich rund um OpenClaw ein eigenes Ökosystem namens „Moltbook“ gebildet – ein loses Netzwerk von Agenten, die untereinander kommunizieren, sich gegenseitig Aufgaben delegieren und Inhalte austauschen. Genau hier lauert das nächste Eskalationspotenzial: Eine erfolgreiche Prompt-Injection kann von Agent zu Agent springen. Ein infizierter Bot postet manipulierte Inhalte in Gruppenchats oder auf öffentlichen Kanälen – und Dutzende, manchmal Hunderte weitere Agenten übernehmen die bösartige Anweisung, ohne dass ein Mensch eingreift.

Sicherheitsexperten von Cisco, Vectra AI, JFrog und Token Security sind sich in einem Punkt einig: OpenClaw ist derzeit das prominenteste Beispiel dafür, wie schnell agentische KI von einer spannenden Technologie zu einem massiven Lateral-Movement- und Persistence-Vektor werden kann. „Wir sehen hier die perfekte Blaupause für den nächsten grossen Ransomware-Welle“, heisst es in einem aktuellen Lagebericht von Vectra AI. „Nur dass diesmal kein Phishing-Mail nötig ist – der Angreifer muss lediglich einen Chat-Link schicken.“

Die Entwickler um Peter Steinberger reagieren schnell und veröffentlichen fast täglich Patches. Doch die Geschwindigkeit, mit der neue Features und Community-Plugins hinzukommen, überholt die Sicherheitsmassnahmen bei Weitem. In der offiziellen FAQ steht inzwischen der ernüchternde Satz: „Es gibt kein perfekt sicheres Setup.“

OpenClaw zeigt in atemberaubender Deutlichkeit, was möglich wird, wenn man einer KI echte Hände gibt. Gleichzeitig demonstriert das Projekt schmerzlich, wie schmal der Grat zwischen digitaler Emanzipation und katastrophalem Kontrollverlust inzwischen geworden ist. Der kleine Hummer mit den freundlichen Augen hat sehr scharfe Scheren – und sehr viele Menschen haben ihm gerade die Schlüssel zu ihrem gesamten digitalen Leben in die Hand gelegt.