PAS7 Studio

Technologie

OpenClaw: ein persönlicher KI-Agent in deinen Chats — und warum Sicherheit die halbe Miete ist

OpenClaw ist eine Open-Source-Plattform für persönliche KI-Agenten, die du selbst hostest und aus WhatsApp/Telegram/Slack/Discord nutzt. Wir erklären Gateway als Control Plane, Channels sowie Skills/ClawHub, zeigen praxiserprobte Use Cases (Inbox Zero, Release-Koordinator, Content-Scout) und vergleichen die vielen Alternativen (LangGraph, AutoGen, CrewAI, OpenHands, n8n, Dify, Flowise, AutoGPT, Open Interpreter) inklusive Hardening-Checkliste.

22. Feb. 2026· 16 Min. Lesezeit
Mit PAS7 Studio über Agenten & Hardening sprechen
OpenClaw: Cover zum VirusTotal-Partnership-Post für das Scannen von Skills in ClawHub

Was du aus diesem Artikel mitnimmst

Kein Hype-Recap, sondern ein Framework: was OpenClaw ist, wo es stark ist, wo es gefährlich wird, und wie du es gegen die „ganze Menge“ an Alternativen sauber abgrenzt.

  • Was OpenClaw ist und warum es local-first ist: dein Assistent, deine Maschine, deine Keys. [1][2]

  • Wie OpenClaw aufgebaut ist: Channels → Gateway (Control Plane) → Sessions/Tools/Agents. [2]

  • Skills und ClawHub: warum Extensions eine Supply-Chain-Angriffsfläche mit Agent-Rechten sind. [2][7][8]

  • 3 praxiserprobte Use Cases: Inbox Zero, Release-Koordinator, Content-Scout für Blog/Marketing. [2][1]

  • Hardening-Checkliste: Sandboxing, DM Pairing, Allowlists, Isolation und Credential-Disziplin. [2][8][9]

  • Vergleich mit Alternativen: LangGraph/AutoGen/CrewAI (Frameworks), OpenHands (Coding Agent), n8n/Dify/Flowise (Automation/Orchestrierung), AutoGPT (Continuous Agents), Open Interpreter (lokaler Code + Computer Control). [11][12][13][14][18][16][17][19][15]

  • Namenskollision: „OpenClaw“ gibt es auch als Open-Source-Reimplementation des Spiels Captain Claw (1997) — anderes Projekt. [20]

OpenClaw in einfachen Worten

OpenClaw ist eine Open-Source-Plattform für persönliche KI-Agenten, die du auf deinen Geräten (Laptop/Homelab/VPS) betreibst und mit Channels verbindest, die du ohnehin nutzt: WhatsApp, Telegram, Slack, Discord usw. Das zentrale Versprechen lautet: „Your assistant. Your machine. Your rules.“ [1]

In der Praxis heißt das:

1) der Agent ist näher an deinen Daten und Tools (Files, E-Mail, Kalender, Tasks),

2) die Sicherheitsverantwortung ist ebenfalls näher bei dir (Isolation, Tokens, Access Rules, Skills-Kontrolle). [2][8]

Das README liefert ein starkes Mental Model: „Gateway ist die Control Plane; das Produkt ist der Assistent.“ Denk an einen Runtime-Stack mit Interfaces (Channels) und Capabilities (Skills), nicht an einen einzelnen Chatbot. [2]

So funktioniert’s: Channels → Gateway (Control Plane) → Agents/Sessions/Tools

OpenClaw versucht, „Agent im Chat“ wie ein echtes Systemprodukt zu behandeln: mit Control Plane, Sessions, Policies, Tools und UI/CLI-Bedienfläche.

Ein simples Diagramm (aus dem README abgeleitet) hilft Teams schnell zu alignen: [2]

TEXT
WhatsApp / Telegram / Slack / Discord / …


┌───────────────────────────────┐
│            Gateway            │
│         (control plane)       │
│     ws://127.0.0.1:18789      │
└──────────────┬────────────────┘

               ├─ CLI (openclaw …)
               ├─ Web UI
               └─ Agent runtime (tools / sessions)

Architektur-Signal: Wenn du einen persönlichen Agenten im Messenger willst, passt OpenClaw. Wenn du Agent-Graphs und Orchestrierung selbst bauen willst, nimm Frameworks wie LangGraph/AutoGen/CrewAI. Andere Kategorie. [11][12][13]

Control Plane

Gateway

Eine zentrale Control Plane für Sessions, Channels, Events, Tools sowie UI/CLI-Zugriff. [2]

Channels

Chat-Oberflächen

Messenger/Chat-Apps anbinden, damit der Agent dort antwortet, wo du arbeitest. [1][2]

Skills

Erweiterungen

Skills erweitern Fähigkeiten, erben aber Rechte und werden zum Supply-Chain-Risiko. [7][8]

Gateway Control Panel UI: Verwaltung von Channels/Integrationen und Betrieb des Agents. Quelle: Bitsight. [10]

Section architecture screenshot

Quick Start: so sieht eine „saubere“ Installation aus

Der empfohlene Weg im README ist der Onboarding-Wizard. Minimaler Ablauf: CLI installieren → openclaw onboard → Gateway starten → Testnachricht senden oder direkt chatten. [2]

BASH
npm install -g openclaw@latest

openclaw onboard --install-daemon

openclaw gateway --port 18789 --verbose

openclaw message send --to +1234567890 --message "Hello from OpenClaw"

openclaw agent --message "Ship checklist" --thinking high

Danach beginnt die echte Arbeit: Access Policies (DM Pairing, Sandbox für Gruppen-Sessions) und Secret/Token-Hygiene. OpenClaw schlägt sogar openclaw doctor vor, um riskante Konfigurationen aufzudecken. [2]

3 gelöste Use Cases: so würden wir das bei PAS7 Studio umsetzen

Unten sind drei Patterns, die in der ersten Woche spürbaren Nutzen liefern. Dafür braucht es kein „AGI“, aber klare Limits und Betriebsdisziplin.

Use Case 1 — Inbox Zero ohne „autonomes Senden“

Ziel: Der Agent liest/klassifiziert/entwirft, aber das finale Senden wird immer von einer Person bestätigt.

  • Regel #1: Der Agent sendet keine E-Mail ohne explizite Freigabe (human-in-the-loop).

  • Regel #2: Eingehende Inhalte sind untrusted input (E-Mail ist ein idealer Prompt-Injection-Träger). [8][9]

  • Flow: Triage → Kurz-Zusammenfassungen → 2–3 Entwürfe → Kontextfragen → Freigabe.

  • Artefakt: täglicher „Inbox Digest“ in Telegram/Slack plus Labels/Regeln fürs Sorting.

  • Credentials: Least-Privilege OAuth/Tokens und ein separates Pilot-Postfach für Rollout. [8]

  • Team-Hinweis: Microsoft empfiehlt explizit Isolation (VM/Device) und das Treating als untrusted execution mit persistent credentials. [8]

Use Case 2 — Release-Koordinator im Chat: Checklists, Briefing, Post-Release Report

Ziel: Weniger menschliche Fehler bei Releases. Der Agent agiert als Operator: sammelt Kontext, erinnert Schritte, schreibt Summaries, aber kritische Actions sind approval-gated.

  • Input: Im Release-Channel „Ship checklist“ schreiben (README-Beispiel), der Agent generiert eine Stack-Checkliste. [2]

  • Artefakte: Changelog-Links, Migrations, Feature Flags, Rollback-Plan.

  • Gates: Alles, was Infra/Prod verändert, läuft nur nach expliziter Freigabe.

  • Output: Post-Release Report: was shipped, was rolled back, Action Items.

  • Hardening: Für Gruppen/Channels Sandbox für non-main Sessions in Docker aktivieren, wie im README beschrieben. [2]

Use Case 3 — Content-Scout: Quellen → Draft → PR-fertiger Post

Ziel: Tech-Story/Trend finden → Quellen sammeln → Outline im eigenen Format → PR für Review erzeugen.

  • Strikte Policy: Der Agent erfindet keine Fakten; er arbeitet aus Quellen und liefert Zitate für jede Kernbehauptung.

  • Flow: (1) Links sammeln, (2) Thesen extrahieren, (3) Outline, (4) Draft, (5) echte Bilder aus Quellen, (6) PR.

  • Security: Skills, die externen Content holen, öffnen indirekte Prompt-Injection-Wege (Content kann Instructions tragen). Microsoft und Snyk betonen diese Risikoklasse. [7][8]

  • Praktisch: Content-Workflows in einem separaten Workspace/Agent isolieren, ohne Prod-Secrets.

OpenClaw-Sicherheit: Realität und minimale sichere Baseline

Agenten kombinieren untrusted input + Actions + langlebige Tokens. Dadurch verschiebt sich die Boundary: du planst Containment und Recovery, nicht nur Prävention. [8]

Minimum-Hardening:

- Isolation: Microsoft empfiehlt Evaluation nur in isolierter Umgebung (VM/dedicated device), separaten non-privileged Accounts und ohne sensible Daten. [8]

- DM Policies: DM Pairing verhindert, dass unbekannte Sender direkt Commands injizieren. Pflicht. [2]

- Group Sandbox: agents.defaults.sandbox.mode: "non-main" läuft in Docker-Sandboxes und reduziert Blast Radius. [2]

- Skills: als privilegierter Code behandeln. „Install by default“ ist hier gefährlich. Snyk zeigt relevante Anteile mit kritischen Problemen und hostile patterns. [7]

- Defense in depth: Scanning ist Layer, keine Garantie. Das sagt OpenClaw selbst. [3]

YAML
agents:
  defaults:
    sandbox:
      mode: "non-main"

Risiko #1

Token-Leakage

Credentials/Daten können exfiltriert werden: der Agent handelt mit deinen Rechten. [8][7]

Risiko #2

Memory Poisoning

Persistenter Zustand kann manipuliert werden, sodass der Agent langfristig injizierten Regeln folgt. [8]

Risiko #3

Host-Compromise

Wenn der Agent dazu gebracht wird, Code zu holen/auszuführen (Skill/Instruction), kann die Kompromittierung den Host treffen. [8][9]

„Poisoned Skill“: typischer Angriffspfad über ein öffentliches Skills-Registry. Quelle: Microsoft Security Blog. [8]

Section security-hardening screenshot

Schnelles Ökosystem-Wachstum bedeutet schnelles Wachstum des Supply-Chain-Risikos. Quelle: Snyk ToxicSkills. [7]

Section security-hardening screenshot

Skill-Scanning: wichtig, aber nicht ausreichend

OpenClaw kündigte eine VirusTotal-Integration zum Scannen von Skills in ClawHub an: deterministisches Packaging → Hash → VT lookup/upload → Code Insight → Labels/Blocking → tägliche Re-Scans. Das ist ein sinnvoller Defense-in-Depth-Layer. [3]

Aber der Post ist klar: kein Silver Bullet. „Clean“ heißt nicht „safe“, und Prompt Injection kann Signatur-Checks umgehen. Daher brauchst du Layer: Access Policies, Isolation, Least Privilege, Skill-Review, Monitoring und einen Rebuild-Plan. [3][8]

Alternativen zu OpenClaw: viele Optionen, verschiedene Kategorien

Für fairen Vergleich: sortiere nach Zielbild:

1) Persönlicher self-hosted Agent im Chat (OpenClaw-Kategorie)

- OpenClaw: Channels + Gateway + Runtime + Skills. [1][2]

2) Frameworks für Agent-Systeme (du baust Runtime/Graphs)

- LangGraph: Orchestrierung stateful, long-running Agents. [11]

- AutoGen: Framework für Multi-Agent-Kollaboration. [12]

- CrewAI: Rollen-basierte Multi-Agent-Automatisierung. [13]

3) Coding Agents (Repos, Tests, PRs)

- OpenHands: Plattform für cloud coding agents. [14]

4) Automation/Orchestrierung mit Agents (low/no-code)

- n8n AI Agent node: Agent als Workflow-Node mit Tools. [18]

- Dify: Plattform für agentische Workflows + RAG + Ops. [16]

- Flowise: Visual Builder für Agents/Chains. [17]

5) Lokale Code-Ausführung / Computer Control

- Open Interpreter: LLM führt lokal Code aus (shell/python/js). [15]

6) Continuous Agent Platforms

- AutoGPT: Plattform für kontinuierliche Agenten. [19]

TEXT
Persönlicher Agent in WhatsApp/Telegram → OpenClaw.
Graph-Orchestrierung + Checkpointing + HITL → LangGraph.
Multi-Agent Rollen & Collaboration → AutoGen/CrewAI.
PRs und Tests automatisieren → OpenHands.
Workflow-Automation mit Integrationen → n8n/Dify/Flowise.
Lokale Ausführung / Computer Control → Open Interpreter.

Hinweis: „OpenClaw“ ist auch ein Captain Claw (1997)-Reimplementation-Projekt

In der Suche taucht „OpenClaw“ auch als Open-Source-Reimplementation des Platformers Captain Claw (1997) auf. Das ist ein anderes C++-Game-Projekt ohne Bezug zur KI-Agent-Plattform. [20]

Quellen

Wir verlinken nur Quellen, die die Aussagen und Beispiele in diesem Artikel direkt stützen. Die verwendeten Bilder sind real und stammen aus diesen Primärquellen (anschließend lokal als .webp gespeichert).

FAQ

Ist OpenClaw ein Chatbot oder eine Agent-Plattform?

Eher eine Plattform: Channels (Messenger), Gateway als Control Plane, Sessions/Tools und Skills als Erweiterungen. Das README formuliert es so: Gateway ist die Control Plane; das Produkt ist der Assistent. [2]

Ist es sicher, OpenClaw auf einem Work-Laptop mit Prod-Access zu betreiben?

Microsoft rät davon ab: als untrusted execution mit persistent credentials behandeln und nur isoliert evaluieren (VM/dedicated device), mit separaten non-privileged Accounts und ohne sensible Daten. [8]

Löst VirusTotal-Scanning das Skill-Risiko?

Es ist ein Defense-in-Depth-Layer, aber keine Garantie. Der offizielle Post betont, dass Scanning nicht alles findet und Prompt Injection Signaturen umgehen kann. [3]

Wie minimieren wir Skill-Risiko?

Skills wie privilegierten Code behandeln: Allowlist, Review, Least Privilege, Isolation und separate Workspaces ohne Prod-Secrets. Snyk zeigt realen Supply-Chain-Druck im Ökosystem. [7][8]

Womit vergleichen, wenn ich Coding-Tasks will?

Mit Coding-Agent-Systemen wie OpenHands. OpenClaw ist primär ein persönlicher Agent im Chat; andere Kategorie. [14]

Agenten shippen, ohne unnötiges Risiko zu shippen

OpenClaw hat einen starken UX: Agent im Chat, der Actions ausführt. Produktionswert entsteht aber erst, wenn Sicherheit Teil des Designs ist: Isolation, Least Privilege, Access Policies, Skills-Governance, Monitoring und Recovery-Plan.

PAS7 Studio hilft: schneller Risk Audit, Baseline-Hardening, und 2–3 produktionsreife Workflows (Inbox/Release/Content) mit human approval und kontrolliertem Blast Radius.

PAS7 Studio kontaktierenOpenClaw offizielles Repository

Verwandte Artikel

Entdecken Sie weitere nützliche Artikel

growthFebruary 15, 2026

AI SEO / GEO im Jahr 2026: Ihre nächsten Kunden sind nicht Menschen — sondern Agents

Suche verschiebt sich von Klicks zu Antworten. Bots und AI-Agents crawlen, zitieren, empfehlen — und kaufen zunehmend. Erfahren Sie, was AI SEO / GEO bedeutet, warum klassisches SEO nicht mehr reicht und wie PAS7 Studio Marken im agentischen Web sichtbar macht.

Lesen →
telegram-media-saverJanuary 8, 2025

Automatisches Tagging und Suche für gespeicherte Links

Integration mit GDrive/S3/Notion für automatisches Tagging und schnelle Suche über Such-APIs

Lesen →
servicesJanuary 1, 2025

Bot-Entwicklung und Automatisierungs-Dienste

Professionelle Telegram-Bot-Entwicklung und Automatisierung von Geschäftsprozessen: Chatbots, KI-Assistenten, CRM-Integrationen und Prozessautomatisierung.

Lesen →
backend-engineeringFebruary 15, 2026

Bun vs Node.js im Jahr 2026: Warum sich Bun schneller anfühlt (und wie du dein Projekt vor der Migration prüfst)

Bun ist ein schnelleres All-in-one JavaScript-Toolkit: Runtime, Package Manager, Bundler und Test Runner. Hier ist, was wirklich stimmt (mit Benchmarks), was brechen kann und wie du mit @pas7-studio/bun-ready einen kostenlosen Readiness-Audit bekommst.

Lesen →

Professionelle Entwicklung für Ihr Geschäft

Wir erstellen moderne Web-Lösungen und Bots für Unternehmen. Erfahren Sie, wie wir Ihnen helfen können, Ihre Ziele zu erreichen.

Unsere Dienstleistungen