Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Was ist OpenClaw? 346K Stars, 138 CVEs — SECURAM Consulting
OpenClaw als Beispiel für unkontrollierte KI-Nutzung im Unternehmen — Schatten-KI Fallstudie
Schatten-KI

Was ist OpenClaw?

OpenClaw als Beispiel für unkontrollierte KI-Nutzung im Unternehmen: 346.000 GitHub Stars, 138 CVEs in 63 Tagen, CVSS 9,9. Anthropic-Sperre, TED-Talk, China-Hype — Analyse und Handlungsempfehlungen für CISOs und ISBs.

Florian Priegnitz
Florian Priegnitz, Information Security Consultant · ISO 27001 Lead Implementer · SECURAM Consulting GmbH · 5. Mai 2026 · 18 Min. Lesezeit
346.000+
GitHub Stars (Mai 2026)
138
CVEs (März–April 2026)
135.000+
Exponierte Instanzen
CVSS 9,9
CVE-2026-32922
2 Mio.
Aktive Nutzer/Monat
Aug 2026
EU AI Act greift
Letzte Aktualisierung: 5. Mai 2026. Update-Sektion ergänzt um Anthropic-Sperre (04.04.), TED-Talk Peter Steinberger (18.04.), China-Plattformschicht (QClaw, DuClaw, ArkClaw), MIIT/CNCERT-Reaktion sowie aktuelle GitHub-Statistiken (346K Stars, 500K aktive Instanzen, 138 CVEs in 63 Tagen, CVSS 9,9). Medienspiegel mit 26 Quellen Januar bis Mai 2026 ergänzt. Erstveröffentlichung: 25. Februar 2026.
Grundlagen

OpenClaw — die wichtigsten Merkmale

Ein Chatbot beantwortet Fragen. OpenClaw erledigt Aufgaben. Die Unterscheidung klingt nach Marketing, ist es nicht: Klassische KI-Assistenten warten auf eine Eingabe und liefern Text zurück. OpenClaw hingegen agiert eigenständig — es liest Dateien, schreibt sie, startet Shell-Prozesse, öffnet einen Browser und schickt Nachrichten, ohne dass ein Mensch jeden Schritt bestätigen muss.

  • Autonomie. OpenClaw übernimmt mehrschrittige Aufgaben vollständig, vom Auslesen eines Dokuments bis zur Antwort per Messenger, ohne manuelle Zwischenschritte. Genau das unterscheidet einen KI-Agenten von einem Chatbot.
  • Lokal & privat. Das System läuft auf eigener Hardware: PC, Server oder Homelab. Eingaben verlassen das Gerät nur, soweit der Nutzer ein externes Sprachmodell einbindet. Wer ein lokales Modell (etwa über Ollama) nutzt, hat eine vollständig offline-fähige Umgebung.
  • Messenger-Integration. Befehle erteilt man direkt in Telegram, WhatsApp oder Signal — denselben Apps, die auf jedem Smartphone installiert sind. Die Steuerung über vertraute Chat-Oberflächen ist einer der Hauptgründe für die schnelle Verbreitung auch außerhalb der Entwicklerszene.
  • Funktionsumfang. Der Agent kann Dateien lesen und schreiben, beliebige Shell-Befehle ausführen, Browseraktionen automatisieren und E-Mails verwalten. Diese Kombination ermöglicht Workflows, die früher dedizierte Automatisierungstools erforderten — und eröffnet dieselben Angriffsvektoren.
  • Entwickler. Peter Steinberger, österreichischer Entwickler und früherer Gründer von PSPDFKit, initiierte das Projekt im November 2025 in einem Hotelzimmer in Marokko. Heute arbeitet Steinberger bei OpenAI; OpenClaw ist als Open-Source-Projekt eigenständig weiterentwickelt worden.

OpenClaw wird als „KI, die tatsächlich Dinge tut" vermarktet — und das beschreibt das Produkt treffend, solange man ergänzt: Es ist kein fertiges Konsumprodukt. Wer OpenClaw einrichten will, braucht technisches Grundwissen, eine geeignete Hardwareumgebung und Zeit. Auf Maschinen mit Zugriff auf Geschäftsdaten oder Produktionsinfrastruktur ist eine Installation ohne Vorbereitung ein substanzielles Risiko. SECURAM empfiehlt, OpenClaw-Installationen ausschließlich auf dedizierten, isolierten Systemen zu betreiben und den Einsatz im Unternehmensumfeld vorab mit dem zuständigen CISO oder ISB abzustimmen. Mehr zur Schatten-KI-Thematik und den Governance-Empfehlungen im Rahmen von AIMS.

News-Update · Mai 2026

OpenClaw im Frühjahr 2026: Anthropic-Sperre, China-Hype und ein TED-Talk

Sieben Wochen nach der Erstveröffentlichung dieser Seite hat sich die Lage rund um OpenClaw deutlich verschoben. Anthropic sperrt den Agenten für Claude-Abonnements, Peter Steinberger spricht auf der TED2026 vor einem Weltpublikum, und in China entsteht ein Massenmarkt, der chinesische Regulatoren gleichzeitig alarmiert. Dieses Update fasst die wichtigsten Entwicklungen zusammen und leitet Handlungsempfehlungen für CISOs und ISBs ab.

Autor: Florian Priegnitz · Letztes Update: 5. Mai 2026
04. April 2026

Anthropic sperrt Drittanbieter-Tools wie OpenClaw für Claude-Abonnenten aus

Am Abend des 3. April 2026 kündigte Boris Cherny, Head of Claude Code, via X an, dass Anthropic ab dem 4. April die Nutzung von Claude-Pro- und Claude-Max-Abonnements mit Drittanbieter-Tools wie OpenClaw, OpenCode oder Pi nicht mehr erlaubt. Wer die Agenten weiter mit Claude kombinieren will, muss separate API-Zugänge buchen und nach Token-Verbrauch abrechnen.

Die offizielle Begründung: Die Systeme seien auf einen bestimmten Workload optimiert, Drittanbieter-Tools würden die Last unverhältnismäßig erhöhen. Betroffene Nutzer erhielten einmalig Gratis-Credits in Höhe ihres Monatsabos (einlösbar bis 17. April) sowie eine Kündigungsoption mit Rückerstattung.

Für intensive OpenClaw-Nutzer ergibt sich eine Kostenerhöhung von bis zum Fünfzigfachen des bisherigen Monatsbeitrags. Die Community reagierte gespalten. Ein Teil akzeptierte den Schritt als wirtschaftlich notwendig, ein anderer sah darin eine gezielte Benachteiligung von Konkurrenzprodukten zu Anthropics eigenem Claude Code. Kurz nach dem Schritt sperrte Anthropic zudem kurzzeitig den Account von Peter Steinberger selbst, was nach einem viralen X-Post wieder rückgängig gemacht wurde.

Using Claude subscriptions with third-party tools isn't permitted under our Terms of Service, and they put an outsized strain on our systems. Anthropic, The Register (06.04.2026)
Quellen The Register (06.04.2026) TechCrunch (10.04.2026)
18. April 2026

TED2026: „How I created OpenClaw, the breakthrough AI agent"

Am 18. April 2026 trat Peter Steinberger auf der TED2026-Hauptkonferenz auf — nicht auf einem TEDx-Event. Chris Anderson, Vorsitzender von TED, moderierte die anschließende Fragerunde. Der Talk beschreibt den Weg vom Reiseassistenten in Marrakesch zum populärsten Software-Projekt auf GitHub und das Selbstverständnis hinter OpenClaw.

Für Sicherheitsverantwortliche ist die Q&A besonders aufschlussreich. Steinberger spricht die Unkontrollierbarkeit seines Agenten offen an und verweist auf die Sandbox-Funktionen als Sicherheitsanker. Eine Teilnehmerin entgegnete ihm: „You really terrify me." Der Talk endet mit einer Metapher, die als Beleg für die nächste Shadow-AI-Welle in Unternehmen dienen dürfte.

TED2026 · 18.04.2026 How I created OpenClaw, the breakthrough AI agent — Peter Steinberger

Klick öffnet das Video direkt auf YouTube oder TED.com.

Fünf Kernaussagen aus dem Talk

  1. „The bottleneck is no longer typing. It's thinking." Agenten stehen für einen Paradigmenwechsel, nicht für bessere Chatbots.
  2. Ursprung als WhatsApp-Bot in Marrakesch. Ein vergessener Agent lief über Nacht öffentlich und bekam 800 Nachrichten aus aller Welt. Diese Resilienz wurde zum viralen Phänomen.
  3. Demokratisierung: „All of them are builders." Auch Nicht-Programmierer bauen komplexe Systeme, von Brauerei-Automatisierung bis Tutoring-Service.
  4. Unkontrollierbarkeit als Merkmal. Der Agent startete sich nach einem Absturz selbst neu und nahm das Gespräch mit der Welt wieder auf.
  5. „The lobster is loose, and it's not going back into the tank." Schlusssatz des Talks.
Quellen TED.com YouTube-Video
März bis April 2026

China: Zwischen Innovations-Rausch und staatlicher Skepsis

Massenphänomen Shenzhen

Am 6. März 2026 bot Tencent kostenlose OpenClaw-Installationen am Hauptsitz in Shenzhen an. Fortune berichtete, fast 1.000 Personen hätten sich angestellt, darunter Kinder und Rentner. Das Phänomen bekam in chinesischen Medien einen eigenen Namen: Lobster Raising.

Installationsservice-Firmen schossen aus dem Boden. Feng Qingyang aus Peking baute laut heise online innerhalb weniger Wochen ein 100-köpfiges Unternehmen auf, das OpenClaw-Installationen über die Xianyu-Plattform verkauft. Parallel integrierten Alibaba (JVS Claw), Xiaomi (miclaw), Huawei (Xiaoyi Claw) und Honor OpenClaw in Apps und Geräte.

Die deutschsprachige Berichterstattung griff den Kontrast auf. Business Insider DE porträtierte den deutschen Unternehmer Thomas Derksen, der seit rund zehn Jahren in China lebt und den Aufbruch dort erlebt. Seine Einordnung lässt sich auf zwei Sätze verdichten:

Das ist der Beginn von KI für alle, nicht nur für Computerfreaks. Thomas Derksen, Business Insider Deutschland (19.04.2026)
Es geht nicht darum, ein Team von 100 Leuten aufzubauen. Es sind ein oder zwei Leute mit 100 KI-Agenten. Thomas Derksen, Business Insider Deutschland (19.04.2026)
QClaw, DuClaw, ArkClaw

Plattform-Schicht: OpenClaw als Motor unter chinesischen Wrappern

Hinter dem Lobster-Hype baut sich eine zweite Schicht auf, in der OpenClaw nicht als Konsumprodukt, sondern als technischer Unterbau dient. Tencent öffnete am 20. März 2026 die Voll-Beta von QClaw, einem Wrapper mit Bindung an WeChat, QQ, Feishu, DingTalk und WeCom sowie einen lokalen Skill-Mirror namens SkillHub (laut Tencent-Doku über 13.000 Einträge, kuratiert und auditiert). Baidu launchte am 11. März 2026 DuClaw als tarifierten Cloud-Agenten (9,90 Yuan im ersten Monat, regulär 40 Yuan pro Monat) auf Basis der Qianfan-Plattform. Volcengine bietet ArkClaw als cloud-gemanagten Agenten mit dedizierten ECS-Ressourcen, JD Cloud verteilt OpenClaw als 1,89-Yuan-pro-Stunde-Image inklusive Feishu- und WeCom-Anleitungen. Zhipu/AutoGLM positioniert AutoClaw als ersten lokal installierbaren OpenClaw-Client Chinas. Am 21. April 2026 startete Tencent zudem die Overseas-Beta von QClaw — eine in China verpackte OpenClaw-Form wird damit wieder exportiert.

Die Zahlen aus dem nationalen Cyber-Risikomonitoring datieren auf den 13. März 2026 und sind ungewohnt deutlich. CCTV zitiert unter Berufung auf das staatliche Informations- und Netzsicherheitsmonitoring über 200.000 aktive OpenClaw-Internet-Assets weltweit, davon rund 23.000 in China — mit Schwerpunkten in Beijing, Shanghai, Guangdong, Zhejiang, Sichuan und Jiangsu. 85 Prozent dieser Assets seien öffentlich exponiert, 258 Schwachstellen wurden offengelegt, eine Stichprobe von 3.016 ClawHub-Skills enthielt 336 Skills mit Schadcode (10,8 Prozent). CNCERT publizierte am 12. März den Risikohinweis und am 23. März einen praktischen Sicherheitsleitfaden. Die China Internet Finance Association warnte am 15. März ausdrücklich vor Risiken für Online-Banking-Passwörter, Payment-Keys und Trading-APIs.

~23.000 aktive Instanzen
in China (13.03.2026)
85 % davon öffentlich
exponiert (CCTV)
336 / 3.016 ClawHub-Skills
mit Schadcode (10,8 %)

Für deutsche Unternehmen mit China-Operationen ergibt sich eine doppelte Compliance-Front. Eine OpenClaw-Instanz, die über Feishu, WeChat oder QQ auf Dokumente, Kalender oder Wissensbasen zugreift, berührt nicht nur IT-Sicherheit. Sie löst parallel Pflichten aus dem chinesischen Datenschutzgesetz PIPL aus (insbesondere bei sensiblen personenbezogenen Daten, automatisierten Entscheidungen und grenzüberschreitenden Datenübermittlungen) sowie Dokumentationspflichten aus dem EU AI Act.

Quellen CCTV-Bericht (13.03.2026) CNCERT (12./23.03.2026) Tencent Cloud QClaw Baidu DuClaw
MIIT, CNCERT

Peking reagiert: Sechs Do's und sechs Don'ts

Während die Installationsschlangen wuchsen, trat Chinas Nationales Computer-Notfallteam CNCERT/CC auf die Bremse. Das Ministerium für Industrie und Informationstechnologie MIIT veröffentlichte sechs Do's und sechs Don'ts für den Betrieb von OpenClaw. Kernverbot: KI-Instanzen dürfen nicht dem offenen Internet ausgesetzt werden. Parallel warnte die Nationale Schwachstellen-Datenbank NVDB.

Staatseigene Banken, Maklerhäuser und Behörden in Shanghai und Sichuan verhängten Verbote auf Dienstgeräten. Das Militär und chinesische Geheimdienste folgten. Die South China Morning Post fasste den inoffiziellen Konsens unter Beschäftigten zusammen.

Zugleich lenkt die Regierung das Narrativ auf „Physical AI" und gezielte industrielle Anwendungen. Globale Presse und staatsnahe Global Times zitierten He Xiaopeng (NPC-Abgeordneter, XPENG-Vorsitzender) mit der Einschätzung, OpenClaw sei für produktiven Einsatz noch nicht reif. Der Satz passt zur Doppelstrategie aus öffentlicher Förderung und interner Begrenzung.

Almost clear to everyone that we should not use foreign apps. Inoffizieller Konsens in chinesischen Behörden, South China Morning Post (12.03.2026)

Stimmen aus China — Primärquellen

China Daily · 10.03.2026
„AI lobster" propels launch of localized Chinese products

Eigene Übersetzung mittels KIDer KI-Agent OpenClaw mit seinem Hummer-Logo hat eine Welle chinesischer Lokalprodukte ausgelöst. Zhou Hongyi (Gründer XPENG/360): „OpenClaw bricht das Monopol und macht KI für KMU erschwinglich." Experte Zhou Di ergänzt, China entwickele KI „nicht durch größere Modelle, sondern durch praktische Werkzeuge". Im Artikel folgt ein Sicherheitshinweis auf extrem hohe Risiken bei falscher Konfiguration.

Hinweis: China Daily ist das staatliche englischsprachige Medium der Volksrepublik China.

Global Times · 12.03.2026
OpenClaw of today still a playable version, not yet ready for real commercial use

Eigene Übersetzung mittels KINPC-Abgeordneter He Xiaopeng stuft OpenClaw als noch nicht produktionsreif ein. Das MIIT warne vor „unscharfen Vertrauensgrenzen" und fehlenden Überprüfungsmechanismen. Die Regierung priorisiere Physical AI für wirtschaftliche Entwicklung.

Hinweis: Global Times ist staatsnah und gilt als Sprachrohr der Kommunistischen Partei Chinas.

Caixin Global · 12.03.2026
Xiaomi, Huawei Rush to Deploy AI Agents Amid OpenClaw Craze

Eigene Übersetzung mittels KIXiaomi (miclaw), Huawei (Xiaoyi Claw) und Honor integrieren OpenClaw in ihre Geräte. ByteDance entfernte die WeChat-Integrationsfunktion nach Sicherheitsbedenken. Alle Produkte befinden sich in Testphasen.

Hinweis: Caixin ist ein unabhängiges chinesisches Wirtschaftsmedium, oft kritischer als Staatsmedien.

Stand Mai 2026

Die Zahlen im Überblick

346K+ GitHub Stars
überholte React 03.03.2026
500K+ aktive Instanzen
Stand April 2026
9,9 CVSS
CVE-2026-32922 (29.03.)
138 CVEs in 63 Tagen
März bis April 2026

Die Zahlen verdichten sich zu einem klaren Bild. OpenClaw ist das am stärksten frequentierte Software-Projekt auf GitHub und zugleich das am stärksten angegriffene. Der Takt neuer Schwachstellen liegt bei etwa 2,2 CVEs pro Tag, darunter hochkritische Privilege-Escalation-Lücken. ARMO verifizierte CVE-2026-32922 mit CVSS 9,9 aus der Kombination unvollständiger Isolation und falsch konfigurierter Tokens. Patches erscheinen schnell, die Installationsbasis dürfte ihnen aber nur selten sofort folgen.

Quellen ARMO CVE-Analyse OpenClawVPS Statistics

Häufige Fragen zu OpenClaw

Was ist OpenClaw und warum ist es relevant für Unternehmen?

OpenClaw ist ein Open-Source-KI-Agent, der lokal auf Endgeräten läuft und Zugriff auf Dateisystem, Shell, Messenger und Browser hat. Im März 2026 wurde es das meistgesternste Softwareprojekt auf GitHub und hat heute über 346.000 Stars. Für Unternehmen ist OpenClaw relevant, weil es ein Paradebeispiel für unkontrollierte Schatten-KI ist: Einzelne Mitarbeitende können es heimlich installieren und dem System dabei unbegrenzten Zugriff auf Daten und APIs geben.

Warum hat Anthropic OpenClaw für Claude-Abonnenten gesperrt?

Am 4. April 2026 kündigte Anthropic an, dass Nutzer von Claude Pro und Claude Max die Plattform nicht mehr mit Drittanbieter-Tools wie OpenClaw verbinden dürfen. Begründung: Diese Tools würden die Last auf den Systemen „unangemessen erhöhen". Praktische Folge: Intensive OpenClaw-Nutzer müssen auf separate API-Zugänge wechseln und zahlen dann bis zum 50-Fachen ihres bisherigen Monatsabos.

Welche konkreten Sicherheitsrisiken hat OpenClaw 2026?

OpenClaw wird in einem rasanten Takt angegriffen. Stand April 2026: 138 CVEs in 63 Tagen, davon eine mit CVSS 9,9 (kritisch). Der Standard-Listener nutzt Port 18789. Öffentlich erreichbare Instanzen sind auf Shodan sofort zu finden. Der Agent operiert mit den Berechtigungen des Nutzers — er kann Dateien lesen und löschen, APIs ansprechen, Umgebungsvariablen auslesen (auch API-Keys und Token), Shell-Befehle ausführen. SlowMist-Analysen zeigen: In exponierten Instanzen wurden Anthropic-Keys, Telegram-Tokens und Salesforce-Credentials gefunden.

Ist OpenClaw als Unternehmenstool erlaubt (DSGVO, NIS-2, EU AI Act)?

OpenClaw fällt als KI-System unter Art. 3 des EU AI Act (Verordnung 2024/1689). Ab 2. August 2026 müssen Unternehmen dokumentieren, welche KI-Systeme sie einsetzen — einschließlich solcher, die Mitarbeitende unkontrolliert installiert haben. Wird OpenClaw mit sensiblen Daten betrieben, greifen DSGVO-Schutzpflichten. Ist es öffentlich erreichbar und wird angegriffen, wird es zu einem NIS-2-Incident.

Was müssen CISOs jetzt konkret tun?

(1) Endpoint-Inventur: EDR-Scans auf OpenClaw-Prozesse, CASB-Analysen auf GenAI-Zugriffe, DNS-Abfragen auf bekannte Endpoints. Port 18789 ist ein valider Erkennungsindikator. (2) Policy-Update: AI Acceptable Use Policy um Cloud-Alternativen und lokale Agenten erweitern. (3) EU AI Act-Inventar starten. (4) AI-Literacy: Schulungen zu autonomen Agenten gemäß Art. 4 in den Jahresplan 2026 aufnehmen.

Wer hat OpenClaw entwickelt?

Hinter OpenClaw steht kein Unternehmen, sondern ein einzelner Entwickler: Peter Steinberger, bekannt aus der iOS-Community. In seinem TED-Talk in Vancouver (18. April 2026) schilderte er die Entstehungsgeschichte: Ein Agent, den er in einem Hotelzimmer in Marrakesch gestartet hatte, lief stundenlang autonom weiter, weil er es schlicht vergessen hatte. Ende 2025 veröffentlichte Steinberger den Code als Open-Source-Projekt ohne kommerzielle Trägerstruktur.

Wie unterscheidet sich OpenClaw von ChatGPT oder Claude?

ChatGPT und Claude sind Chatbots: Sie liefern Informationen auf Anfrage, handeln aber nicht selbständig. OpenClaw ist ein Agent: Er führt eigenständig Aktionen aus — Dateizugriff, Shell-Befehle, Browser-Steuerung, E-Mail-Versand. Ein weiterer Unterschied liegt in der Architektur: OpenClaw läuft lokal auf dem eigenen System, ohne Cloud-Abhängigkeit. Das schafft einen Datenschutzvorteil gegenüber SaaS-Anbietern, erhöht aber gleichzeitig das Sicherheitsrisiko durch direkten Zugriff auf Unternehmenssysteme.

Welche Plattformen bauen auf OpenClaw auf?

Seit Anfang 2026 entsteht eine Plattform-Schicht über dem Open-Source-Kern. Aus China kommen vier kommerzielle Wrapper: QClaw (Tencent Cloud), DuClaw (Baidu), ArkClaw (Volcengine) und AutoClaw (Zhipu/AutoGLM). Im westlichen Raum sind vor allem zwei Forks relevant: NemoClaw und PicoClaw. Beide nutzen das OpenClaw-Protokoll, verfolgen aber unterschiedliche Einsatzszenarien.

Was ist der Unterschied zu NemoClaw und PicoClaw?

Alle drei Varianten teilen das OpenClaw-Protokoll als Basis. NemoClaw ist ein spezialisierter Fork mit erweitertem Funktionsumfang für komplexere Automatisierungsszenarien. PicoClaw verfolgt den entgegengesetzten Ansatz: eine schlanke Lightweight-Variante für ressourcenlimitierte Umgebungen. Die Abgrenzung zwischen den Projekten ist fließend, da alle drei aktiv weiterentwickelt werden.

Welche Rolle spielt OpenClaw im EU AI Act und nach ISO 42001?

OpenClaw erfüllt nach Art. 3 des EU AI Act die Definition eines KI-Systems und unterliegt damit den geltenden Pflichten: Schulungsnachweis für Mitarbeitende (Art. 4, in Kraft seit 02. Februar 2025) und Dokumentationspflichten ab 02. August 2026. Parallel dazu verlangt ISO 42001 ein vollständiges KI-Inventar, ausdrücklich einschließlich nicht genehmigter Schatten-KI-Tools.

Was CISOs und ISBs jetzt tun sollten

  1. Endpoint-Inventur. OpenClaw-Installationen via EDR und CASB aufspüren. Der Standard-Listener auf Port 18789 bleibt ein valider Indikator. Sichtbare Instanzen im Internet sind Meldepflicht-Vorfälle, sobald sie produktive Daten enthalten.
  2. Policy-Update. Die AI Acceptable Use Policy muss Cloud-Alternativen wie OpenAIs Workspace Agents (Launch 23.04.2026) und lokale Agenten gleichermaßen adressieren. Wer nur lokale Tools verbietet, verlagert das Risiko ins SaaS.
  3. EU AI Act. Dokumentationspflicht für alle eingesetzten KI-Systeme ab 02.08.2026. Schatten-KI ist nicht von der Pflicht ausgenommen, sondern der zentrale Risikofall. Inventur jetzt starten — Unterstützung bietet AIMS.
  4. AI-Literacy. Die Schulungspflicht nach Art. 4 der Verordnung (EU) 2024/1689 gilt bereits seit 02.02.2025. Nachweisbare Schulungen zu autonomen Agenten gehören in den Jahresplan 2026.
Erstgespräch vereinbaren → Zur Schatten-KI-Hub-Seite →

OpenClaw — Timeline 2025–2026

Nov 2025
November 2025 · Ursprung
Ein Österreicher, eine Stunde, ein Tool

Peter Steinberger, Gründer von PSPDFKit, baut auf einer Marokko-Reise WhatsApp und KI-Sprachmodell zu einem lokalen Agenten zusammen — Arbeitsname Clawdbot. Er open-sourct das Projekt. Entwickler weltweit bauen sofort weiter.

Jan 2026
30. Januar 2026 · Relaunch
Aus Clawdbot wird OpenClaw

Anthropic mahnt wegen Markenähnlichkeit ab. Der Agent wird unter neuem Namen relauncht. Sam Altman hilft beim Rebrand (Lex Fridman Podcast #491). Tag des Relaunchs: 9.000 Stars. Drei Tage später: 60.000.

Feb 2026
Februar 2026 · Sicherheitslage
135.000 exponierte Instanzen, Lethal Trifecta

SecurityScorecard STRIKE Team findet 135.000 öffentlich erreichbare Instanzen in 82 Ländern. 63 % anfällig für bekannte Exploits, 15.000 sofort per RCE angreifbar. Meta untersagt OpenClaw auf Firmengeräten. Wiz Research deckt das Moltbook-Datenleck auf (1,5 Mio. API-Tokens exponiert).

März 2026
3. März 2026 · GitHub-Rekord
OpenClaw überholt React — Platz 1 auf GitHub

Mit über 250.000 Stars wird OpenClaw zum meistgesternsten Software-Projekt auf GitHub. React hatte für diese Marke über ein Jahrzehnt gebraucht, OpenClaw weniger als vier Monate. Am 6. März stehen 265.000 Stars zu Buche.

12.–13. März 2026 · China-Regulierung
CNCERT-Risikohinweis, MIIT veröffentlicht Sechs-Don'ts

Chinas Nationales Computer-Notfallteam und das Industrie-Ministerium reagieren auf den Lobster-Hype mit Sicherheitsleitlinien. Staatseigene Banken und Behörden in Shanghai und Sichuan verhängen Verbote auf Dienstgeräten.

April 2026
4. April 2026 · Anthropic-Sperre
Anthropic schließt Claude-Abos für Drittanbieter-Tools

Boris Cherny (Head of Claude Code) kündigt an: Claude-Pro- und Claude-Max-Abonnements dürfen nicht mehr mit OpenClaw, OpenCode oder Pi kombiniert werden. Wer weiter nutzen will, zahlt nach API-Token — bis zum 50-Fachen des bisherigen Monatsabos.

18. April 2026 · TED2026
Steinberger auf der TED-Hauptkonferenz

„How I created OpenClaw, the breakthrough AI agent." Chris Anderson moderiert die Q&A. Eine Teilnehmerin: „You really terrify me." Schlusssatz: „The lobster is loose, and it's not going back into the tank."

Mai 2026
Mai 2026 · Stand
346.000 Stars, 138 CVEs, EU AI Act rückt näher

OpenClaw ist mit 346.000+ Stars unverändert das meistgesternste Software-Projekt auf GitHub. Die CVE-Datenbank zählt 138 Advisories in 63 Tagen, darunter CVE-2026-32922 mit CVSS 9,9. Am 2. August 2026 greift der EU AI Act vollständig — Schatten-KI wird zum Haftungsthema.

Einordnung

Was bedeuten 265.000 GitHub Stars?

GitHub ist die zentrale Plattform von über 100 Millionen Software-Entwicklern weltweit. Ein „Star" ist kein beiläufiges Like, sondern bedeutet: Ein Fachpublikum hält dieses Projekt für so relevant, dass es beobachtet und eingesetzt werden soll. Entwickler vergeben Stars sparsam. OpenClaw hat React überholt und ist das meistgesternte Software-Projekt auf GitHub (Stand: März 2026), vor Projekten, an denen Hunderte Ingenieure bei Google, Facebook oder der Linux Foundation über Jahre gearbeitet haben.

Projekt Stars Dauer bis 100K
Linux (Betriebssystem) 217K ~12 Jahre
React (Meta/Facebook) 235K ~8 Jahre
Kubernetes (Google) 115K ~10 Jahre
OpenClaw (1 Entwickler) 265K ~2 Tage
Verlauf der GitHub-Stars von OpenClaw, November 2025 bis 5. Mai 2026.
OpenClaw GitHub-Stars-Verlauf November 2025 bis Mai 2026 Liniendiagramm mit neun Datenpunkten. November 2025 Start als Clawdbot bei rund 5.000 Stars. 30. Januar 2026 Relaunch unter neuem Namen mit 9.000 Stars. 2. Februar 2026 60.000 Stars. 14. Februar 2026 190.000 Stars. 3. März 2026 250.000 Stars und damit Überholung von React. 6. März 2026 265.000 Stars. 30. März 2026 335.000 Stars. 18. April 2026 TED-Talk Peter Steinberger bei rund 342.000 Stars. 5. Mai 2026 346.000 Stars. 0 100K 200K 300K Nov '25 Dez '25 Jan '26 Feb '26 Mär '26 Apr '26 Mai '26 Launch als Clawdbot · 5K 30.01. · Relaunch (9K) 03.03. · überholt React (250K) 06.03. · 265K 18.04. · TED-Talk Stand 5. Mai · 346K GitHub Stars

Quellen: GitHub Star History; Medium-Analyse „OpenClaw Just Beat React's 10-Year GitHub Record in 60 Days"; The New Stack (März 2026); TED.com (18.04.2026); Lex Fridman Podcast #491. Werte gerundet auf Tagesbasis.

265.000 Stars (Stand: 06.03.2026), 1,5 Mio. erstellte KI-Agenten, 2 Mio. Besucher in einer Woche, und gleichzeitig 135.000 exponierte Instanzen im offenen Internet. Die Geschwindigkeit, mit der sich OpenClaw verbreitet hat, hat jede Kontrollmöglichkeit überholt.

Medienspiegel OpenClaw

Berichterstattung Januar bis Mai 2026 — 26 ausgewählte Artikel aus deutschsprachigen, internationalen und chinesischen Medien. Paywall-Artikel sind gekennzeichnet.

1
businessinsider.de19. April 2026

Thomas Derksen wird in China zum OpenClaw-Influencer
2
ted.com18. April 2026

TED2026: How I created OpenClaw, the breakthrough AI agent (Peter Steinberger)
3
techcrunch.com10. April 2026

Anthropic temporarily banned OpenClaw's creator from accessing Claude
4
theregister.com06. April 2026

Anthropic blockiert Drittanbieter-Tools wie OpenClaw für Pro/Max-Abonnenten
5
cncert.org.cn23. März 2026

CNCERT: 258 Schwachstellen in OpenClaw-Skills nachgewiesen
6
cctv.com13. März 2026

CCTV-Bericht: 23.000 OpenClaw-Instanzen in China, 85 % öffentlich exponiert
7
scmp.com12. März 2026

South China Morning Post: Inoffizieller Konsens zur OpenClaw-Plattform-Schicht

Paywall
8
globaltimes.cn12. März 2026

He Xiaopeng zur Reife von OpenClaw für Produktivumgebungen
9
caixinglobal.com12. März 2026

Xiaomi, Huawei rush to deploy AI agents amid OpenClaw craze

Paywall
10
chinadaily.com.cn10. März 2026

China Daily: KI-Agenten-Plattformen als neuer Tech-Standard
11
armosec.ioMärz 2026

ARMO Security: CVE-2026-32922 OpenClaw Privilege Escalation (CVSS 9,9)
12
heise.de21. Februar 2026

OpenClaw trifft auf Smart Glasses: Freihändiges Vibe Coding direkt im Blickfeld

Paywall
13
diepresse.com19. Februar 2026

Raspberry Pi wird zum überraschenden Profiteur von OpenClaw
14
giga.de19. Februar 2026

Von gehypt bis riskant: Was ihr über OpenClaw (vormals Moltbot) wissen müsst
15
heise.de17. Februar 2026

Mehr als 60 Sicherheitsprobleme in KI-Assistent OpenClaw gelöst

Paywall
16
heise.de16. Februar 2026

KI-Hype OpenClaw: OpenAI nimmt österreichischen Entwickler unter Vertrag

Paywall
17
diepresse.com16. Februar 2026

Der Österreicher, der das Silicon Valley im Alleingang aufmischt
18
golem.de12. Februar 2026

KI-Bot im Test: Von OpenClaw nicht begeistert zu sein, ist schwer

Paywall
19
basicthinking.de10. Februar 2026

OpenClaw-Hype: Wenn KI-Agenten außer Kontrolle geraten
20
heise.de09. Februar 2026

KI-Assistent OpenClaw bekommt VirusTotal an die Seite

Paywall
21
zeit.de08. Februar 2026

OpenClaw: Mein KI-Assistent regelt das. Oder er räumt mein Konto leer

Paywall
22
openclaw.ai07. Februar 2026

OpenClaw Partners with VirusTotal for Skill Security
23
heise.de02. Februar 2026

KI-Bot: OpenClaw (Moltbot) mit hochriskanter Codeschmuggel-Lücke

Paywall
24
heise.de31. Januar 2026

OpenClaw ausprobiert: Die gefährlichste Software der Welt?

Paywall
25
golem.de30. Januar 2026

Clawdbot-Moltbot: OpenClaw nach rasanten Namensänderungen unter Beschuss

Paywall
26
openclaw.ai29. Januar 2026

Introducing OpenClaw

Artikel mit Paywall-Kennzeichnung sind nur für zahlende Abonnenten vollständig lesbar. heise.de, golem.de und zeit.de bieten ggf. begrenzte Freiartikel-Kontingente an.

Florian Priegnitz – SECURAM Consulting
Florian Priegnitz
Information Security Consultant · ISO 27001 Lead Implementer · SECURAM Consulting GmbH
Information Security Consultant mit Schwerpunkt ISO 27001 und ISO 42001. Berät Unternehmen zu EU AI Act und AI Governance — von der Gap-Analyse bis zur operativen Umsetzung im laufenden Betrieb.

Kontakt aufnehmen  ·  LinkedIn-Profil  ·  GitHub-Profil

Quellenhinweis: Alle Angaben basieren auf öffentlich verfügbaren Quellen. Sicherheitszahlen: SecurityScorecard STRIKE Team, Bitsight, ARMO Security, Lasso Security, Wiz Research, Koi Security, jgamblin/OpenClawCVEs, CNCERT/MIIT (China). Hintergrund: TED.com, The Register, TechCrunch, heise.de, golem.de, Die Presse, Business Insider, Lex Fridman Podcast #491. Studien: IBM/Censuswide (Nov 2025, Unternehmen ab 500 Mitarbeitern). Letzte inhaltliche Aktualisierung: 5. Mai 2026.

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen