Das größte AI-Moment seit ChatGPT und warum Organisationen es nicht nutzen sollten. 175.000 GitHub-Stars in zwei Wochen. Ein dreifacher Namenwechsel in vier Tagen. 1,5 Millionen exponierte API-Keys. Und ein Entwickler, den OpenAI für seine Solo-Arbeit an Bord geholt hat.
Die Rede ist von OpenClaw (vormals Clawdbot, davor kurz Moltbot), dem am schnellsten wachsenden Open-Source-KI-Projekt der Geschichte. Reddit nennt es "den größten AI-Moment seit ChatGPT". Wir sagen: Faszinierend als Experiment. Gefährlich als Unternehmens-Tool.
Was macht OpenClaw so besonders?
Peter Steinberger, österreichischer Entwickler und Gründer von PSPDFKit, hat im November 2025 etwas gebaut, das die KI-Welt elektrisiert: Einen autonomen Agenten, der nicht wartet — sondern einfach weiter macht und dir folgt.
Der Clou: OpenClaw läuft lokal auf deinem Rechner und verbindet sich mit deinen Messaging-Apps. Telegram, Discord, Signal, WhatsApp — egal wo du schreibst, der Agent ist da. Er liest deine PDFs, durchsucht das Web, plant deinen Kalender, schreibt E-Mails. Alles gesteuert durch natürliche Sprache in deinem Lieblings-Chat.
Die Philosophie dahinter ist radikal simpel: Der Loop wird von außen gesteuert und kann potenziell endlos laufen.
Statt einen Agenten in einer kontrollierten Umgebung zu orchestrieren, macht OpenClaw die ganze Welt zur Sandbox. Du gibst ihm Shell-Zugriff, Browser-Steuerung, Dateisystem — und schaust zu, wie er sich selbst die Tools baut, die er braucht.
"Give your clawdbot the rights to install and auth any MCP tool it needs and to derive necessary tools from it's browser use. Watch the motherf***er evolve from stupid browser use to lightspeed superintelligence."
Das klingt nach Science Fiction. Und tatsächlich ist es das Nächste, was wir heute zu etwas wie "personal AGI" haben.
Warum das für Vibe Anything gut funktioniert
Für Solo-Entwickler und Tech-Enthusiasten ist OpenClaw ein Traum. Du hast einen Laptop, einen Claude API Key, und plötzlich einen 24/7-Assistenten, der wirklich Dinge tut — nicht nur darüber redet.
Der "persistent memory" Ansatz ist clever: Der Agent merkt sich Konversationen über Wochen, lernt deine Gewohnheiten, wird mit der Zeit nützlicher. Die Community auf GitHub und Discord brodelt vor Kreativität — tausende Custom-Skills, von Krypto-Trading bis Hausautomation.
Und das Timing war perfekt: Genau als die Welt "agentic AI" als Buzzword entdeckte, lieferte Steinberger ein Tool, das jeder in 10 Minuten aufsetzen kann.
Warum das für Organisationen ein Alptraum ist
Hier wird es kritisch. Denn was für den einzelnen Enthusiasten ein spannendes Experiment ist, wird für Unternehmen schnell zum Security-Desaster:
1. Shadow AI auf Steroiden
OpenClaw läuft lokal. Das heißt: Kollegen können es potenziell installieren ohne IT-Approval. Sie verbinden es mit Slack, Teams, Salesforce. Und plötzlich hat ein autonomer Agent mit Shell-Zugriff Zugang zu Unternehmensdaten — komplett außerhalb jeder IAM-Kontrolle.
2. Die Security-Bilanz ist erschreckend
Innerhalb einer Woche nach dem viralen Launch:
- Ein 1-Click Remote Code Execution (CVE-2026-25253) entdeckt
- 1,5 Millionen API-Keys durch eine falsch konfigurierte Datenbank exponiert
- 341 bösartige Skills im "ClawHub" Marketplace identifiziert
- Prompt-Injection-Angriffe, die Daten exfiltrieren ohne User-Awareness
Der Kern des Problems: OpenClaw vertraut standardmäßig allem. Die "localhost trust" Annahme — dass lokale Verbindungen sicher sind — wird zur Schwachstelle, sobald ein bösartiger Skill oder eine präparierte Website ins Spiel kommt.
3. Keine Governance, keine Audit-Trails
Wenn ein OpenClaw-Agent eine E-Mail löscht, einen API-Call macht oder Code ausführt — wer hat es autorisiert? Wer kann es nachvollziehen? Die Antwort: Niemand. Das ist für regulierte Branchen ein No-Go und für jeden CISO ein Grund zur Panik.
Selbst einer der OpenClaw-Maintainer warnt auf Discord:
"If you cant understand how to run a command line, this is far too dangerous of a project for you to use safely."
Was wir anders machen
Bei T-0 haben wir einen wesentlich spezifischeren Ansatz für autonome Agenten — und er unterscheidet sich fundamental:
Ralph Wiggum Loops statt Wildwest-Autonomie
Ein Ralph Wiggum Loop ist das Gegenteil von "inject and pray". Jede Agent-Session startet frisch, mit definiertem Scope und klaren Grenzen - und Möglichkeiten. Der Loop ist kontrolliert, die Outputs sind nachvollziehbar, Context-Degradation wird durch Session-Neustart verhindert. Observability, wo nötig, maximiert.
Das ist weniger sexy als "watch it evolve to superintelligence". Aber es funktioniert für echte Produktiv-Workloads in echten Arbeitsumgebungen und unter Kostenkontrolle.
MCP Agent Gateway als verwaltbare Infrastruktur
Statt jedem Agenten direkten Tool-Zugriff, oder sogar vollen Systemzugriff zu geben, läuft bei uns alles durch ein sogenanntes Gateway, den T-0 Hub. Jeder Tool-Aufruf ist authentifiziert, autorisiert und geloggt. Kein Agent Worker, Ralph Loop, Clawdbot, Human-in-the-Loop, oder welcher Agent auch immer, kann mehr, als ihm explizit erlaubt wurde. Ein übersichtlicher Vertrag für den Entscheider mit Verantwortung - einem Menschen.
Onboarding-Qualität als Proxy für Agent-Readiness
Wie wir in "Können wir KI-Agenten einsetzen?" argumentiert haben: Unternehmen, die nicht klar genug sind, um Menschen einzuarbeiten, werden auch bei Agenten ihre Probleme haben. Der Engpass ist nicht die Technologie — er liegt in der Organisation.
Computer Use: Faszination vs. Effizienz
Die Genialität von OpenClaw liegt darin, dass für Nutzer*innen die Grenzen zwischen verschiedenen Oberflächen verschwinden. Der Agent macht einfach — ohne dass man verstehen muss, warum und wie es funktioniert. Er findet einen Weg, die Aufgabe zu lösen, und überprüft bestenfalls selbst, ob sie erledigt ist.
Aber hier liegt auch das Problem: Computer Use ist langsam und fehleranfällig. Klar kann ein Agent per Browser in dein Gmail-Postfach schauen, dort Rechnungen finden und herunterladen. Das dauert aber ewig, ist ineffizient und geht oft schief.
In professionellen Anwendungen betrachten wir Computer Use daher als Last Resort — als letzten Ausweg, wenn nichts anderes funktioniert, dann eben Screentshots, Browser use, Computer Use. Besser ist es, dem Agenten einen vernünftigen API-Zugang zu geben, dazu alle Informationen, die er für die Aufgabe braucht. Bringt man ihm das einmal bei, können es alle Agenten nutzen — zuverlässig, schnell und nachvollziehbar.
Die eigentliche Erkenntnis
OpenClaw zeigt uns jedoch etwas Wichtiges: Autonomie ist durch simple Loops technisch lösbar. Du kannst heute einen Loop bauen, der sich selbst Tools gibt, selbst lernt, selbst ausführt. Das ist beeindruckend. Dieser Proof-of-Concept ist auch der Grund, warum OpenAI sofort zugeschlagen hat.
Aber "technisch möglich" ist nicht dasselbe wie "für Organisationen nutzbar" oder besser sogar "nützlich". Im Gegenteil, es erfordert von Unternehmen ein radikales Nach- und Umdenken bezüglich Souveränität, Sicherheit, Verantwortung und Nutzen autonomer Systeme.
Die eigentliche Herausforderung liegt inzwischen nicht im Bau autonomer Systeme — sondern darin, sie so zu gestalten, dass sie in die Realität von Unternehmen passen um dort nützlich zu werden: Mit Compliance, mit Nachvollziehbarkeit, mit klaren Verantwortlichkeiten, Rollen und Aufgaben.
OpenClaw ist ein origineller Proof-of-Concept, der zeigt, was möglich ist. Aber für den Produktiveinsatz in Organisationen braucht es mehr als einen cleveren Loop, es braucht Infrastruktur und Architekturverständnis für Systeme, die von Anfang an für Kontrolle und Transparenz gebaut wurden.
Denn am Ende wird es schnell nicht mehr darum gehen, ob ein Agent etwas kann — sondern ob er es sollte, und wer dafür verantwortlich ist.
Du willst autonome Agenten in deiner Organisation einsetzen, aber sicher und auf dem wahren Stand der Technik? Lass uns reden. Wir zeigen dir, wie Architekturen aussehen, die im Produktiveinsatz ROI liefern.
Weiterführende Links:
- Ralph Wiggum Loop: Unser Ansatz für autonome Softwareentwicklung
- T-0 MCP Hub: Zentrale Infrastruktur für Agenten
- Warum Onboarding der Schlüssel zu Agent-Readiness ist
Quellen: