Fallstudie Shadow-AI
OpenClaw und die Grenzen der Kontrolle
Ein Open-Source-Agent wird über Nacht zum Sicherheitsrisiko in tausenden Unternehmen. Was der Fall für ISMS, EU AI Act und Ihre Risikoanalyse bedeutet.
Was ist OpenClaw (ehemals Clawbot)?
OpenClaw ist ein quelloffenes KI-Agenten-Framework, das es ermöglicht, große Sprachmodelle mit alltäglichen Anwendungen zu verbinden – darunter WhatsApp, Telegram, Slack, E-Mail, Kalender und Browser. Es läuft lokal auf dem Rechner des Nutzers, benötigt keine Cloud-Infrastruktur und kann eigenständig Shell-Befehle ausführen.
Entwickelt wurde das Tool im November 2025 von Peter Steinberger, dem österreichischen Gründer von PSPDFKit, während eines Marokko-Aufenthalts – ursprünglich als persönlicher Reiseassistent. Nach der Open-Source-Veröffentlichung verbreitete es sich innerhalb weniger Wochen viral in der Entwickler-Community und wurde massenhaft auf Firmenrechnern installiert, häufig ohne Wissen der IT-Abteilung.
Der ursprüngliche Name Clawdbot wurde auf Betreiben von Anthropic geändert – das Unternehmen sah eine Kollision mit dem Markennamen „Claude". Nach einem kurzen Zwischenstopp als Moltbot einigte sich Steinberger in Absprache mit Sam Altman auf den heutigen Namen OpenClaw.
Fallstudie Shadow-AI · BusinessBreakfast 25.03.2026
OpenClaw – Timeline
Von einem Reiseassistenten in Marokko zum größten Shadow-AI-Sicherheitsvorfall des Jahres – in weniger als drei Monaten.
Ein Österreicher, eine Stunde, ein Tool
UrsprungPeter Steinberger – Gründer von PSPDFKit (2021 für über 100 Mio. USD verkauft), auf Reisen zwischen Marrakesch und dem Atlasgebirge – verbindet WhatsApp mit einem KI-Tool, um bei schlechtem Internet Restaurants zu finden. Das Ergebnis: ein lokaler KI-Agent namens Clawdbot. Er open-sourct das Projekt. Entwickler weltweit bauen sofort weiter.
Anthropic schickt Anwaltspost – Namensstreit & Rebrand-Chaos
BrandingAnthropic fordert per Trademark-Abmahnung eine Umbenennung. „Clawdbot" verletze die Markenrechte an „Claude". Steinberger benennt das Projekt zunächst in Moltbot um, dann, nach Absprache mit Sam Altman (OpenAI), in OpenClaw. Direkt beim Rebrand wird das X-Konto von Krypto-Betrügern gekapert und GitHub-Repositories mit Malware kompromittiert. Steinberger: „I was close to crying. Everything's fucked."
OpenClaw wird Mainstream und erhält 135.000 GitHub Stars in Wochen
Virales WachstumDas Tool läuft lokal auf dem Rechner, verbindet sich mit WhatsApp, Telegram, Slack, E-Mail, Kalender und Browser und kann eigenständig Shell-Befehle ausführen. Die „Getting Things Done"-Community adoptiert es massenhaft. Mitarbeiter installieren es auf Firmenrechnern – ohne Wissen der IT-Abteilung. Erste Sicherheitsforscher beginnen hinzuschauen.
Erste kritische Sicherheitslücken werden publik
SicherheitSlowMist findet einen Authentication-Bypass: API-Keys und private Chat-Verläufe ungeschützt. Sicherheitsforscher Jamieson O'Reilly findet per Shodan-Scan innerhalb von Sekunden über 900 exponierte Instanzen – allein durch Suche nach „Clawdbot Control" auf Port 18789. Ursache: Default-Konfiguration bindet den Listener an 0.0.0.0 – jeder im Internet kann sich verbinden. Für ein Tool mit Root-Zugriff auf das Dateisystem eine katastrophale Voreinstellung.
Das volle Ausmaß: 135.000 exponierte Instanzen im offenen Internet
KritischVollständiger Security-Scan: 135.000+ exponierte Instanzen. 63 % anfällig für mindestens einen bekannten Exploit. Über 15.000 sofort per Remote Code Execution angreifbar. Viele der IP-Adressen: Firmennetzwerke. Exponierte Daten: Anthropic API-Keys, Telegram-Tokens, Slack-OAuth-Credentials, Salesforce- und GitHub-Zugänge. Palo Alto Networks bezeichnet OpenClaw als „größte Insider-Bedrohung 2026".
Meta verhängt internes Verbot – Kündigung bei Zuwiderhandlung
UnternehmensreaktionInterne Dokumente (via Wired): Ein Manager bei Meta verbietet OpenClaw auf allen Firmengeräten. Wer das Tool trotzdem installiert, riskiert die Kündigung. Besonders brisant: Zuckerberg hatte OpenClaw selbst genutzt und Steinberger abzuwerben versucht. Meta ist nicht allein – Microsoft und weitere Tech-Konzerne folgen mit eigenen Warnungen.
Lex Fridman Podcast: Übernahmeangebote – Steinberger geht zu OpenAI
EntscheidungIm Lex Fridman Podcast (Episode #491) bestätigt Steinberger: Sowohl Meta als auch OpenAI haben Übernahmeangebote gemacht – Zuckerberg via WhatsApp, Altman mit Rechenkapazität. Die genauen Summen sind nicht öffentlich bestätigt. Steinberger wählt OpenAI – nicht wegen des Geldes, sondern weil das Projekt Open Source bleiben muss. „I told them: I don't do this for the money. I want to have fun and have impact." OpenClaw zieht in eine unabhängige Foundation, Steinberger entwickelt bei OpenAI die nächste Generation persönlicher Agenten.
OpenClaw läuft weiter – auch in Ihrem Unternehmen möglicherweise
Status quoTrotz Verboten, CVEs und öffentlicher Warnungen: OpenClaw wird täglich neu installiert. Die meisten IT-Abteilungen haben keinen Überblick, ob und wo das Tool im eigenen Netz läuft. Laut IBM/Censuswide-Studie nutzen 80 % der Beschäftigten in größeren Unternehmen KI-Tools ohne Genehmigung – OpenClaw ist nur die aktuell sichtbarste Spitze eines strukturellen Problems.
EU AI Act greift vollständig – Shadow-AI wird zum Haftungsthema
RegulierungAb August 2026 müssen Unternehmen nachweisen können, welche KI-Systeme sie einsetzen – und dass diese den Anforderungen des EU AI Acts entsprechen. Wer Shadow-AI unkontrolliert im Einsatz hat, haftet. Tools wie OpenClaw, die autonom agieren, Daten verarbeiten und auf externe Dienste zugreifen, fallen direkt in den Anwendungsbereich. Sechs Monate bis zur Deadline.
* IBM / Censuswide-Studie, Nov. 2025: Unternehmen ab 500 Mitarbeitern.
Medienspiegel OpenClaw
OpenClaw trifft auf Smart Glasses: Freihändiges Vibe Coding direkt im Blickfeld
Raspberry Pi wird zum überraschenden Profiteur von OpenClaw
Von gehypt bis riskant: Was ihr über OpenClaw (vormals Moltbot) wissen müsst
Mehr als 60 Sicherheitsprobleme in KI-Assistent OpenClaw gelöst
KI-Hype OpenClaw: OpenAI nimmt österreichischen Entwickler unter Vertrag
Der Österreicher, der das Silicon Valley im Alleingang aufmischt
KI-Bot im Test: Von OpenClaw nicht begeistert zu sein, ist schwer
OpenClaw-Hype: Wenn KI-Agenten außer Kontrolle geraten
KI-Assistent OpenClaw bekommt VirusTotal an die Seite
OpenClaw: Mein KI-Assistent regelt das. Oder er räumt mein Konto leer
OpenClaw Partners with VirusTotal for Skill Security
KI-Bot: OpenClaw (Moltbot) mit hochriskanter Codeschmuggel-Lücke
OpenClaw ausprobiert: Die gefährlichste Software der Welt?
Clawdbot-Moltbot: OpenClaw nach rasanten Namensänderungen unter Beschuss
Introducing OpenClaw
Kontakt
Wir freuen uns auf Ihre Nachricht.
Kontaktdaten
20354 Hamburg
Direkter Kontakt
- Vertrieb: [email protected]
- Bewerbung: [email protected]
Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.