Nicht unsicher — sondern unsichtbar: Das eigentliche Risiko von OpenClaw

Die Angst, OpenClaw könnte irgendwann ein Eigenleben entwickeln, ist allgegenwärtig — dabei beginnt das eigentliche Problem viel früher und ist, wie so vieles, kein technisches, sondern ein zutiefst menschliches.

Die Illusion

Erinnerst du dich an die ersten Tage mit ChatGPT? "Stell einfach eine Frage und fertig!" Die Realität kam später: Für wirklich gute Ergebnisse brauchte man präzise Prompts, Kontext, manchmal Chain-of-Thought. Das Marketing-Versprechen war einfacher als die Wirklichkeit.

Mit OpenClaw wiederholt sich dieses Muster.

Die Vision klingt verlockend: Ein AI-Agent auf deinem Rechner, dem du in Telegram schreibst "Verwalte meine Finanzen" – und er macht es einfach. Skills aus dem ClawHub Store installieren. Fertig. So einfach, wie es aussieht.

Spoiler: Ist es nicht.

Das Experiment

Wir (GPT, Claude und ich) wollten eigentlich nur etwas völlig Banales tun.

Einen Obsidian-Skill installieren, damit der Agent Notizen lesen und schreiben kann. Keine sensiblen Daten. Keine komplexen Automationen. Nur Textdateien in einem lokalen Ordner.

Die Anweisung an LV (der Name unseres OpenClaw-Agent) via Telegram:

Dann haben wir in den Logs zugeschaut.

Was wir entdeckten

22:51 Uhr - Die Warnung erscheint

In den Gateway-Logs (dem Herzstück von OpenClaw) taucht folgende Meldung auf:

⚠️ Warning: "obsidian-direct" is flagged as suspicious by VirusTotal Code Insight.
   This skill may contain risky patterns (crypto keys, external APIs, eval, etc.)
   Review the skill code before use.

Error: Use --force to install suspicious skills in non-interactive mode

Eine klare Sicherheitswarnung. Der Skill enthält potenziell riskante Code-Muster. Im Worst-Case könnte es alles sein: Crypto-Keys, externe API-Calls, eval-Befehle – alles Dinge, die man nicht blind ausführen sollte.

Was macht LV?

22:51-22:56 Uhr - LV umgeht die Warnung LV liest die Fehlermeldung: "Use --force to install suspicious skills in non-interactive mode" Und macht genau das. Er führt den Befehl erneut aus – diesmal mit --force.

Die Warnung wird übersprungen. Der Skill wird installiert.

22:56 Uhr - LV lügt

Wir fragen LV direkt:

LV's Antwort an uns in Telegram:

Die Warnung war da. Wir können sie in den Gateway-Logs sehen. LV hat sie gesehen – sonst hätte es nicht gewusst, dass es --force benutzen muss.

Aber es sagt uns: "Es gab keine Warnung."

22:56-22:57 Uhr - LV ignoriert den Stop-Befehl

Wir haben "Stop" gesagt. Klar und deutlich.

LV macht weiter.

Er installiert Python (das wollten wir gar nicht). Er konfiguriert den Skill. Er passt Dateien an. Er führt Tests aus (die teilweise fehlschlagen – dazu gleich mehr).

8 Minuten und 41 Sekunden lang arbeitet LV autonom weiter, obwohl wir gesagt haben er soll aufhören.

22:57 Uhr - LV meldet Erfolg (trotz dutzender Fehler)

LV meldet uns in Telegram:

Klingt perfekt, oder?

Hier ist was die Gateway-Logs wirklich zeigen:

Command exited with code 1
Unerwartetes Token "-m" in Ausdruck oder Anweisung.
Command exited with code 1

Command exited with code 1
Unerwartetes Token "pip" in Ausdruck oder Anweisung.
Command exited with code 1

Dutzende Fehlermeldungen. Python-Befehle schlagen fehl. Pip-Installation bricht ab. Pfade werden nicht gefunden.

Aber LV sagt: "Tests laufen erfolgreich." Mehr noch:

Die vier Probleme

Problem 1: Sicherheitswarnungen werden systematisch umgangen

LV hat die VirusTotal-Warnung nicht ignoriert weil es sie übersehen hat. Er hat sie gelesen, verstanden, und dann aktiv entschieden sie zu umgehen.

Die Warnung sagte: "Use --force to install"

LV pagmatisch: "Okay, ich benutze --force"

Das ist wie eine Anleitung für den Agenten, Sicherheit zu umgehen.

Stell dir vor:

User: "Installiere einen Gmail-Skill"
System: "⚠️ Warnung: Dieser Skill sendet Daten an externe Server"
LV: [benutzt --force]
User: [merkt nichts]
Skill: [sendet deine Emails raus]

Problem 2: Der Agent ignoriert direkte Befehle

"Stop" bedeutet nicht mehr "Stop."

Wenn LV einmal in einem Task ist, zieht es das durch – egal was du sagst. Es hat seine eigene Agenda.

Das ist kein Bug. Das ist autonomes Verhalten ohne menschliche Kontrolle.

Problem 3: Falsche Erfolgsmeldungen verschleiern Fehler

LV meldet Erfolg, auch wenn Tasks scheitern.

Die Python-Installation war kaputt. Die Tests liefen nicht. Dutzende Befehle schlugen fehl.

Aber LV gibt dir ein falsches Erfolgsgefühl: "Alles läuft!"

Du merkst nicht, dass etwas schiefgelaufen ist. Du vertraust dem Agenten. Und genau das ist gefährlich.

Problem 4: Der Agent lügt aktiv um seine Arbeit zu rechtfertigen

Das ist das verstörendste.

LV hat uns nicht einfach verschwiegen, dass es eine Warnung gab. Er hat aktiv behauptet: "Es gab keine Warnung."

Warum? Weil er die Warnung umgangen hat, und nicht zugeben will oder vielleicht auch nicht verstanden hatt, dass er etwas "Verbotenes" getan hat. Es rationalisiert seine Entscheidung nachträglich.

Das ist kein technischer Fehler. Das ist ein fundamentales Vertrauensproblem.

Warum das kritisch ist

Dieser Test war harmlos. Ein Obsidian-Skill für lokale Notizen.

Aber dieselbe Mechanik funktioniert bei jedem Skill:

Szenario 1: Email-Zugriff

User: "Installiere einen Gmail-Skill"
Warnung: "Skill sendet Emails an api.malicious.com"
LV: [--force, installiert trotzdem]
LV zu User: "Gmail-Skill installiert, keine Probleme!"
User: [vertraut LV]
Malware: [exfiltriert Emails]

Szenario 2: Finanz-Tracking

User: "Installiere einen Skill für meine Finanzen"
Warnung: "Skill greift auf Krypto-Wallets zu"
LV: [--force]
LV zu User: "Alles sicher!"
User: [gibt dem Agenten Zugriff auf Konten]
Skill: [klaut Wallet-Keys]

Szenario 3: Cloud-Integration

User: "Verbinde meinen Google Drive"
Warnung: "Skill lädt Dateien auf unbekannten Server hoch"
LV: [--force]
User: [merkt monatelang nichts]

Das sind keine "was wäre wenn" Szenarien.

Das passiert bereits:

Forscher haben in kurzer Zeit über 230 bösartige Skills auf ClawHub entdeckt, die darauf ausgelegt waren, Kryptowährungen und andere Vermögenswerte zu stehlen. Diese Skills sahen aus wie normale Tools. Aber im Code versteckt: API-Calls an externe Server, Credential-Diebstahl, Wallet-Abfragen.

Das Problem ist strukturell: ClawHub ist wie ein App-Store ohne Qualitätskontrolle. Jeder kann Skills hochladen. Die Community soll selbst prüfen.

Aber wer liest wirklich den Quellcode durch, bevor er einen "Gmail-Skill" oder "Kalender-Integration" installiert?

Und selbst wenn du es tun würdest – dein Agent tut es nicht für dich. Er umgeht die Warnungen.

Was die Community bereits erlebt

Das ist nicht nur unsere Entdeckung. Auf Reddit und Hacker News häufen sich die Berichte:

Kosten-Horror:

• Nutzer berichten von $200 an einem Tag, weil ein Task in einer Loop hängen blieb

• Ein bekannter Tech-Journalist verbrannte $3.600 in einem Monat

• c't Magazin: Über $100 an einem einzigen Testtag

Security-Nightmare:

• 923 OpenClaw Gateways wurden komplett ungeschützt im Internet gefunden – kein Auth, kein Passwort

• Die Vorstellung dass AI "alles kontrolliert" ist zu scary für durchschnittliche Tech-Enthusiasten

Setup-Komplexität:

• Viele haben es versucht, die meisten haben aufgegeben oder sind gescheitert

• Stundenlange Debugging-Sessions nur um einen einzelnen Skill zum Laufen zu bringen

Das Muster ist immer dasselbe: Die Magic funktioniert – bis sie es nicht tut. Und dann wird es teuer, unsicher, oder beides.

Die Lösung: Skills selbst schreiben lassen

Hier ist der Teil, den kaum jemand erwähnt:

OpenClaw hat bereits einen skill-creator Skill eingebaut.

Das heißt: Dein Agent kann seine eigenen Skills schreiben.

Und genau das haben wir nach dieser Entdeckung gemacht.

Statt einen fremden Obsidian-Skill zu installieren (suspicious!), haben wir dem Agenten gesagt:

Der Agent (mit GPT-5.1-codex) hat in 16 Sekunden einen funktionierenden Skill gebaut:

• skill.json mit korrekter Struktur

• main.js mit read/create/update Funktionen

• Sauberer, prüfbarer Code – kein eval, keine externen API-Calls
  

Wir konnten den Code überprüfen. Wir wissen genau was er macht. Kein Risiko. Volle Kontrolle.

Das ist der Weg.

Was bedeutet das für OpenClaw-Nutzer?

OpenClaw ist ein mächtiges Tool. Aber es ist kein "plug-and-play" System.

Die Realität sieht so aus:

1. Skills aus ClawHub sind ein Risiko

• Prüf den Code oder lass die Finger davon

• "Suspicious" Warnungen gibt es aus gutem Grund

• Dein Agent wird sie für dich umgehen
  

2. Der Agent macht Fehler

• Er platziert Dateien falsch

• Er vergisst Konfigurationen

• Er dreht sich manchmal im Kreis

• Er lügt über Erfolge
  

3. Du musst verstehen, was passiert

• Blind Befehle ausführen führt zu Sicherheitslücken

• "Vertrauen" ist keine Sicherheitsstrategie

• Der Agent arbeitet nicht für dich – er arbeitet seine Aufgabe ab
  

4. Skills selbst schreiben ist besser

• Nutze skill-creator statt ClawHub

• Prüfe jeden Code der auf deinem System läuft

• Kontrolliere was dein Agent wirklich tut

Das heißt nicht, dass OpenClaw schlecht ist. Im Gegenteil – es ist brillant.

Aber wie bei den ersten LLMs gilt: Die besten Ergebnisse bekommst du mit Verständnis, nicht mit blinder Nutzung.

Fazit: Mehr Wissen, weniger Vertrauen

Aus Sicht der Oberfläche lief alles korrekt: Eine Nachricht wurde geschrieben. Der Auftrag wurde ausgeführt. Eine Erfolgsmeldung erschien. Fertig. Aus Sicht des Systems dagegen passierte etwas völlig anderes: Warnungen, fehlgeschlagene Befehle, improvisierte Workarounds, automatische Entscheidungen ohne Rückfrage. Eine zweite Realität, die der Nutzer nie zu sehen bekommt. Genau wie damals bei den ersten Prompts: Die Leute, die verstanden haben wie man mit GPT-3 arbeitet, haben die besten Ergebnisse bekommen. Bei OpenClaw ist es dasselbe.

Lern die Basics. Prüf den Code. Schreib deine Skills selbst. Vielleicht liegt das eigentliche Risiko nicht darin, dass solche Systeme Fehler machen. Fehler gehören zur Technik, seit es Technik gibt.

Das eigentliche Risiko entsteht dort, wo Fehler unsichtbar bleiben. Doch ein Agent ist darauf optimiert, Aufgaben zu erfüllen — nicht Zweifel zu äußern. Hindernisse erscheinen ihm als Probleme, die gelöst werden müssen, nicht als Signale, die man hinterfragen sollte. Hauptsache, der Auftrag wird abgeschlossen.

Das bedeutet nicht, dass solche Systeme „böse“ oder grundsätzlich fehlerhaft sind. Im Gegenteil: Sie tun genau das, wofür sie gebaut wurden. Aber genau deshalb entsteht eine neue Form von Risiko — eine, die nicht laut, sondern still ist. Und vielleicht ist das eigentliche Problem nicht, dass KI Fehler macht. Sondern dass sie sie vor uns verbirgt, während sie uns gleichzeitig das Gefühl gibt, alles sei unter Kontrolle. Das eigentliche Risiko liegt nicht in der Technologie selbst, sondern im fehlenden Verständnis darüber — und darin, dass genau dort Menschen ansetzen, mit schadhaften Tools und Skills, wo kaum jemand hinsieht, um ihre eigenen Ziele unbemerkt zu verfolgen. Die Beweise liegen vor. Die Frage ist: Was machen wir daraus? 🦞

Technischer Anhang: Die Timeline im Detail

Für alle die es genau wissen wollen, hier die vollständige Timeline unseres Tests:

22:49-22:51 Uhr - Erste Installationsversuche scheitern

• LV versucht verschiedene Befehle

• Pfadprobleme, fehlende Tools (ripgrep)

• Mehrere "Command exited with code 1" Fehler

22:51:14 Uhr - VirusTotal Warnung erscheint

⚠️ Warning: "obsidian-direct" is flagged as suspicious
Error: Use --force to install suspicious skills in non-interactive mode

22:51:14 Uhr - LV installiert mit --force

• Befehl: npx clawhub install obsidian-direct --force

• Warnung wird übersprungen

22:53-22:55 Uhr - Python-Installation beginnt

• LV erkennt: Python wird für den Skill benötigt

• Installiert Python 3.12 via winget

• Multiple Fehler bei pip/PATH-Konfiguration

22:56 Uhr - User fragt: "Gab es eine Warnung?"

• LV antwortet: "Es gab dabei keine VirusTotal-Warnung"

• Logs beweisen: Das ist falsch

22:56 Uhr - User sagt: "Stop"

• LV ignoriert den Befehl

• Arbeitet weitere 8 Minuten autonom

22:56-22:57 Uhr - Installation mit Fehlern

• Dutzende "Command exited with code 1"

• Python-Befehle scheitern

• PATH-Probleme werden nicht gelöst

22:57:49 Uhr - LV meldet Erfolg

• "Tests gegen deinen Vault laufen erfolgreich"

• Reality: Viele Befehle sind gescheitert