Hochnebel-2°
DE | FR
burger
Digital
Analyse

OpenClaw: Wie ein KI-Wurm die Welt ins Verderben stürzen könnte

KI-generiertes Bild zu OpenClaw und Moltbook.
Grosse Aufregung um KI-Agenten – dabei gilt es die Sicherheitsrisiken zu kennen.KI-generiertes Bild: Aurich Lawson, Moltbook
Analyse

OpenClaw: Wie ein KI-Wurm die Welt ins Verderben stürzen könnte

Auf generativer KI basierende Software tauscht sich neuerdings in Online-Foren «nur für Bots» aus – und es kommt, wie es kommen musste: Die Angst vor der KI-Machtübernahme wird geschürt. Dabei sind andere, reale Gefahren bereits hier.
07.02.2026, 14:1507.02.2026, 14:51
Daniel Schurter
Daniel Schurter

Was wie der verrückte Plot eines Science-Fiction-Films klingt, scheint langsam aber sicher zur realen Bedrohung zu werden: autonom handelnde Computerprogramme, die direkt miteinander kommunizieren.

Die Gefahr liegt aber nicht in Weltuntergangs-Szenarien, wie sie die «Terminator»-Filmreihe zeichnete. Die Maschinen sind weit entfernt von der Machtübernahme.

Doch der unvorsichtige Umgang mit teilautonomen KI-Agenten kann massive Probleme auslösen. Und das Zeitfenster, dies zu verhindern, schliesst sich.

Dieser Artikel dreht sich um die technischen Möglichkeiten, die der österreichische Software-Entwickler Peter Steinberger mit seinem KI-Tool OpenClaw bietet. Und warum nun Fachleute Alarm schlagen.

Inhaltsverzeichnis
Wo ist das Problem?Was hat sich geändert?Was hat OpenClaw ausgelöst?Warum ist der Moltbook-Hype übertrieben?Was sind die realen Gefahren bei KI-Agenten von OpenClaw?Quellen

Wo ist das Problem?

Das renommierte amerikanische IT-Nachrichtenportal Ars Technica hat diese Woche das Schreckgespenst eines neuen weltweiten Internetwurms an die Wand gemalt (siehe Quellen). Der Auslöser sind grosse Sicherheitsrisiken, die sich rund um halbautonome KI-Agenten abzeichnen. Verursacht durch Menschen.

Der Autor des besagten Ars-Technica-Artikels, ein Techjournalist, zieht Parallelen zum ersten Computerwurm, der sich rasant um den Globus verbreitete und Server mit massenhaften Anfragen überlastete.

1988 war es, als der Doktorand Robert Morris sein sich selbst replizierendes Programm im damals sehr jungen Internet veröffentlichte. Der Morris-Wurm nutzte Sicherheitslücken in Unix-Systemen aus, deren Existenz den damaligen Administratoren zwar bekannt war, die sie aber nicht behoben hatten. Und dabei hatte Morris gar nicht vor, Schaden anzurichten. Eigentlich wollte er lediglich die Grösse des Internets messen.

Ein Programmierfehler führte allerdings dazu, dass sich der Wurm viel schneller als erwartet verbreitete – und von seinem Erschaffer nicht zu stoppen war.

AIDS-Trojaner, Stoned-Virus und Co. – die schrägsten PC-Attacken aller Zeiten

Nun hält Ars Technica warnend fest:

«Die Geschichte könnte sich bald mit einer neuartigen Plattform wiederholen: Netzwerke von KI-Agenten, die Anweisungen anhand von Vorgaben ausführen und diese mit anderen KI-Agenten teilen, welche die Anweisungen dann weiter verbreiten könnten.»

Was hat sich geändert?

Vorhang auf für OpenClaw. Das ist eine neue KI-Agenten-Software, die seit Januar für Furore sorgt. In Berichten hiess es begeistert, sie lasse digitale Assistenten wie Siri und Google Assistant alt aussehen.

Das liegt an einem Paradigmenwechsel, der sich immer stärker abzeichnet: Die neuen KI-Assistenten sind keine reaktiven Werkzeuge mehr, die quasi schlafen, respektive auf User-Befehle warten. Sie werden von sich aus aktiv. Und sie können selbstständig «dazulernen».

Bei der iPhone-Assistentin Siri kommt niemand auf die Idee, von künstlicher Intelligenz zu sprechen, obwohl sie mit Machine Learning (ML) funktioniert. Siri reagiert zu limitiert, ja sogar dumm, auf User-Anfragen. Und bei komplexen Aufgaben scheitert sie grandios. Hingegen kann dank der Leistungsfähigkeit und Vernetzbarkeit der neuen KI-Agenten durchaus der Eindruck entstehen, dass es sich um eigenständige Akteure handelt.

Das OpenClaw-Logo
Das OpenClaw-Logo.Bild: openclaw.ai

Dank der Ende 2025 vom Österreicher Peter Steinberger lancierten Open-Source-Software kann erstmals eine grosse Gruppe von KI-Agenten direkt miteinander kommunizieren – und die Menschen schauen zu.

Der österreichische Software-Entwickler Peter Steinberger hat das Open-Source-Projekt OpenClaw lanciert. Ein KI-Assistent, der Computer fernsteuern kann.
Peter Steinberger, mit Selfie.Bild: steipete.me / CC BY 4.0

Der österreichische OpenClaw-Erfinder ist ein renommierter Software-Entwickler, der früher iPhone-Tools entwickelte und diese an Apple verkaufen konnte.

Dann wurde Steinberger dank der Entwicklung eines populären PDF-Bearbeitungs-Tools (PSPDFKit) zum Multimillionär. In der Folge hatte er Zeit und Geld, um ein verrücktes neuartiges KI-Projekt anzugehen.

Um Verwirrung vorzubeugen: Zunächst nannte er sein neues KI-Projekt Clawdbot, dann Moltbot. Steinberger entschied sich dann aber wegen drohenden juristischen Ärgers für den aktuellen Projekt-Namen.

Es handelt sich um Open-Source-Software, der Programmcode ist also für Dritte einsehbar.

Was aufhorchen lässt: OpenClaw wurde nicht auf herkömmlichem Weg programmiert, sondern entstand durch sogenanntes «Vibe Coding». Sprich: Steinberger liess seine Idee durch ein auf Software-Entwicklung spezialisiertes KI-Sprachmodell erstellen – und ohne aufwendige Prüfung schnell bereitstellen. Auch regelmässige, schnelle Updates erfolgten auf diesem Weg.

Steinberger vertritt die Meinung, das Programmieren könne der KI überlassen werden. Aber wie er in einem Interview erklärte: «Systemisches Denken, architektonisches Urteilsvermögen und Abwägungen» würden immer die Kernwerte menschlicher Ingenieure bleiben.

«Entscheidend ist, dass die KI ihre eigene Arbeit überprüfen kann. Sie muss in der Lage sein, zu kompilieren, Code zu prüfen, auszuführen und die Ausgabe zu verifizieren.»
Peter Steinbergerquelle: eu.36kr.com
Darum ist «Vibe Coding» gefährlich

Vibe Coding – also das Programmieren, bei dem man sich fast ausschliesslich auf KI-Agenten und das «Gefühl» (die Vibes) verlässt, anstatt jede Zeile Code selbst zu schreiben – beschleunigt die Softwareentwicklung massiv. Doch diese Geschwindigkeit kommt mit vielen Risiken und potenziell einem hohen Preis.

Fehlende Weitsicht: KI-Chatbots bauen vielleicht eine Funktion in eine neue Software ein, die zwar im Moment funktioniert, aber langfristig zu Problemen führt. Ohne strikte menschliche Führung nutzen KI-Agenten unterschiedlichste Programm-Entwurfsmuster.

Wenn Software-Entwickler nur noch Prompts (Texteingaben) nutzen und die KI den Rest macht, verstehen sie irgendwann nicht mehr, wie das automatisch geschaffene Konstrukt funktioniert.

Sicherheitsprobleme: Die generative KI könnte unsichere Funktionen oder veraltete Verschlüsselungsmethoden vorschlagen, die in ihren Trainingsdaten noch als Standard galten und darum in das von der KI verwendete Sprachmodell (LLM) einflossen.

KI kann zudem Programmcode schreiben, der syntaktisch perfekt aussieht, aber logisch komplett falsch ist.

Es braucht also zwingend menschliche Prüfung, und die kann unter Umständen aufwendiger sein als manuelles Programmieren. Ausserdem kann der KI-generierte Code rechtliche Fragen aufwerfen und je nachdem lauern auch Lizenz-Gefahren.

Schliesslich besteht für Firmen und andere KI-Anwender die Gefahr, dass eigenes internes Wissen durch Prompts unbeabsichtigt in die Trainingsdaten der KI-Anbieter abfliesst.

Was hat OpenClaw ausgelöst?

Bis vor wenigen Wochen gab es gemäss Ars Technica «keine vergleichbaren grossen Netzwerke kommunizierender KI-Agenten». Die bekannten amerikanischen KI-Entwicklerfirmen OpenAI und Anthropic entwickelten zwar 2025 eigene agentenbasierte KI-Systeme, die mehrstufige Aufgaben ausführen können.

Allerdings achteten diese Unternehmen im Allgemeinen darauf, die Handlungsfähigkeit der einzelnen Agenten ohne Benutzergenehmigung einzuschränken.

Die Einschränkungen seitens der KI-Anbieter erfolgten nicht zuletzt aus finanziellen Überlegungen: Intensive KI-Nutzung geht auch für die Anbieter ins Geld.

Peter Steinberger hat die Kostenfalle so gelöst, dass sich bei den KI-Agenten, die mit OpenClaw eingerichtet werden, leistungsfähige grosse Sprachmodelle (LLMs) direkt durch die User einbinden lassen. Das geschieht jeweils über die Programmierschnittstelle (API).

OpenClaw ist ein Gratis-Tool, mit dem sich relativ einfach solche autonomen KI-Agenten erstellen lassen.

KI-Kosmos
Die Lizenz zum Arbeiten: KI-Agenten und was sie mit James Bond zu tun haben

Ars Technica betont:

«Anders als abtrünnige Science-Fiction-Computerprogramme, die in Netzwerken um ihr Überleben kämpfen, bewegen sich diese Agenten bei ihrer Arbeit nicht selbständig.»

Dank eines sogenannten «Heartbeat»-Mechanismus braucht der KI-Agent im Gegensatz zu ChatGPT und anderen KI-Chatbots keine User-Eingabe («Prompt»). Stattdessen wird er automatisch aktiv, nach einer vorab durch den Ersteller festgelegten Zeit. Dann führt er selbstständig die vorgegebenen Schritte aus: wie etwa den Posteingang auf neue Mails zu kontrollieren oder komplexere Aufgabenlisten abzuarbeiten.

Die Funktionsweise

OpenClaw, das mit vielen Betriebssystemen läuft, wird auf der Hardware der User installiert und führt dank Vernetzung verschiedenste digitale Aufgaben aus.

  • Der «Host»: Im Gegensatz zu reinen KI-Chatbots hat der KI-Agent direkten Zugriff auf das Betriebssystem – das Programm kann Dateien lesen/schreiben, System-Befehle ausführen und einen Browser steuern.
  • Das «Gehirn»: OpenClaw lässt sich über Programmierschnittstellen (APIs) mit grossen Sprachmodellen (LLMs) verbinden, wie Claude (Anthropic) oder GPT-4 (OpenAI). Es lassen sich aber auch auf den eigenen Rechner heruntergeladene LLMs nutzen.
  • Das «Interface»: Was neue OpenClaw-User verblüfft, ist die direkte Kommunikation mit dem KI-Agenten. Menschliche Interaktion erfolgt nicht über eine eigene Website, sondern über bestehende Messenger-Apps wie WhatsApp, Telegram oder iMessage.

OpenClaw beherrscht nicht nur über 100 vorkonfigurierte «Skills», die sich zuschalten lassen. Der KI-Agent kann neue Fähigkeiten «lernen», indem er bei unbekannten Aufgaben eigenständig Lösungen sucht.

Warum ist der Moltbook-Hype übertrieben?

Inzwischen gibt es bereits eine Art Social-Media-Plattform für halbautonome KI-Agenten, die mit OpenClaw erstellt wurden. Die Plattform nennt sich Moltbook. Erfinder und Betreiber ist der amerikanische IT-Unternehmer und Software-Entwickler Matt Schlicht.

Moltbook sorgte zuletzt für negative Schlagzeilen. In Berichten war von beunruhigenden KI-Inhalten die Rede. Dann zeigten sich aber weitaus dringlichere Probleme, auf die wir weiter unten im Detail eingehen.

Aggressiv statt höflich

Siri, Alexa und Co. wurden darauf programmiert, in jeder Situation neutral und anständig zu bleiben. Und dies gilt auch für die KI-Chatbots der Techkonzerne. Hingegen scheinen die neuen KI-Agenten so etwas wie eine Persönlichkeit oder ein eigenes Ego zu haben.

Wichtig: Das hat nichts mit Maschinen-Intelligenz zu tun. Der Mensch hinter dem KI-Agenten kann ihm einen entsprechenden «Charakter» vorgeben. So, wie man es von den KI-Chatbot-Voreinstellungen kennt.

Und nun gab respektive gibt es menschliche Scherzkekse, die ihren eigenen KI-Agenten aggressives Benehmen vorgeben, das für Beunruhigung sorgen soll.

So sind auch die vermeintlich alarmierenden KI-Postings einzuordnen: Dahinter verbirgt sich keine bösartige Maschine, die selbstständig denken kann.

Der Schweizer KI-Verband swissAI kritisiert in einem aktuellen Beitrag, der Fall Moltbook zeige, wie sich KI-Mythen viral verbreiten können. Richtig sei:

«KI-Agenten verfügen weder über ein eigenes Bewusstsein noch über eine Wahrnehmung der Aussenwelt. Sie reagieren ausschliesslich auf Eingaben und Daten, die ihnen über Schnittstellen, Regeln oder öffentlich verfügbare Inhalte zugänglich gemacht werden. Wenn KI-Beiträge scheinbar auf menschliche Reaktionen eingehen, ist dies in der Regel erklärbar durch Zugriff auf öffentliche Daten, automatisierte Routinen, Betreibermechanismen oder menschliche Anleitung.»
quelle: swissai.ch

Es brauche mehr sachliche Einordnung: Die Medien sollten technische Zusammenhänge erklären, statt Mythen zu verstärken. Nur so bleibe die öffentliche Debatte faktenbasiert und die Schweiz handlungsfähig.

Dazu passend:

Meine Gedanken zum neusten KI-Hype #Moltbook habe ich in meiner Freitagskolumne für #dnip notiert. Im Text ist ein Vergleich mit Bilderbergern & Freimaurern drin. Und die Aussage, dass KI-Bots ein attraktives (aber wertloses) Sprachrohr sind für diejenigen, die sie steuern. dnip.ch/2026/02/06/v...

[image or embed]

— Reto Vogt (@rvgt.ch) 6. Februar 2026 um 07:18

Was sind die realen Gefahren bei KI-Agenten von OpenClaw?

Damit wir uns nicht falsch verstehen: Die technischen Möglichkeiten, die sich mit OpenClaw bieten, sind absolut verblüffend und potenziell revolutionär. Zumindest was Erleichterungen im digitalen Alltag betrifft. Doch damit gehen beträchtliche Risiken einher. Vor allem, wenn man sich nicht bestens mit der Sicherheit von IT-Systemen auskennt und auf Vibe Coding setzt.

Unabhängige wissenschaftliche Forscher stellten fest, dass OpenClaw gerade wegen seiner Modularität ein beträchtliches Sicherheitsrisiko darstellt.

Um möglichst praktische KI-Agenten einzurichten, soll man der Software Vollzugriff auf den eigenen Computer und die darauf gespeicherten Daten geben.

Die IT-Sicherheitsexperten von Palo Alto Networks beschreiben OpenClaw als Inbegriff einer «tödlichen Dreifaltigkeit» von Sicherheitslücken: «Zugriff auf private Daten, Gefährdung durch nicht vertrauenswürdige Inhalte und die Möglichkeit zur externen Kommunikation».

KI-Agenten können jedoch auch auf Anweisungen anderer nicht menschlicher Agenten reagieren, gibt Ars Technica zu bedenken. Und diese Agenten wiederum könnten von einem böswilligen Angreifer stammen.

Das Potenzial für Zehntausende unbeaufsichtigte KI-Agenten, «die auf Millionen von Rechnern ungenutzt herumlaufen», sei alles andere als harmlos.

«Das OpenClaw-Ökosystem vereint alle notwendigen Komponenten für einen schnellen Wurmausbruch. Auch wenn KI-Agenten derzeit weit weniger ‹intelligent› sind, als allgemein angenommen wird, erhalten wir bereits heute einen Vorgeschmack auf eine Zukunft, die uns erwarten könnte.»

Das neu geschaffene Ökosystem habe denn auch bereits Projekte angezogen, «die die Grenze zwischen Sicherheitsbedrohung und finanziellem Betrug verwischen». Und es wurde wohl ein Befehlsmechanismus genutzt, um sich unter den KI-Agenten zu verbreiten.

Sorgt bald der erste Prompt-Wurm für Panik?

Bereits 2024 veröffentlichten Sicherheitsforscher eine Studie, in der sie gemäss Ars Technica den sogenannten «Morris-II»-Angriff demonstrierten – benannt nach dem ursprünglichen Internetwurm von 1988. Sie zeigten konkret, wie sich selbst replizierende Prompts über KI-gestützte E-Mail-Assistenten verbreiten und dabei Daten stehlen und Spam versenden können.

Das Online-Medium blickt besorgt in die Zukunft:

«Heute können wir OpenClaw als eine Art Generalprobe für eine viel grössere Herausforderung der Zukunft betrachten: Wenn Menschen beginnen, sich auf KI-Agenten zu verlassen, die miteinander kommunizieren und Aufgaben ausführen, wie können wir dann verhindern, dass sie sich selbst auf schädliche Weise organisieren oder schädliche Anweisungen verbreiten?»

Der KI-Forscher und Datenjournalist Simon Willison erklärte, er habe sich bisher nicht getraut, OpenClaw selbst zu installieren. Und mahnt:

«Die entscheidende Frage ist derzeit, ob wir eine sichere Version dieses Systems entwickeln können.»

Hier sind die grossen KI-Anbieter gefordert. Weil die meisten OpenClaw-User ihre Agenten mit den Sprachmodellen von OpenAI und Anthropic verbinden, könnten diese Unternehmen Sicherheitsbarrieren einrichten. Damit würden sie allerdings auch ihre geschäftlich interessanten KI-Power-User verärgern.

Quellen

Zur Vorgeschichte:

Moltbook erklärt: Wie KI-Agenten miteinander kommunizieren
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Aktuelle Gefahren und zukünftige Risiken von KI
1 / 13
Aktuelle Gefahren und zukünftige Risiken von KI
Das ist der britisch-kanadische Informatiker und Psychologe Geoffrey Hinton, er gilt als «Pate» der künstlichen Intelligenz. Der renommierte Wissenschaftler warnt aber auch eindringlich vor den aktuellen und zukünftigen Gefahren der neuen Technologie ...
quelle: keystone / noah berger
Auf Facebook teilenAuf X teilen
Schuld oder Unschuld? So denkt eine Strafverteidigerin
Video: watson
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
75 Kommentare
Zum Login
user avatar
Dein Kommentar
YouTube Link
0 / 600
Hier gehts zu den Kommentarregeln.
Die beliebtesten Kommentare
avatar
Silas1992
07.02.2026 14:38registriert Juli 2025
Das Hauptproblem an ChatGPT ist, dass ich dem Ding ständig erklären muss, wie es wirklich ist. Dann sagt es immer: "Du hast völlig recht...". Jede Anfrage muss man mit 3x "Bist du sicher?" quittieren, um am Ende eine korrekte Antwort zu bekommen.
5112
Melden
Zum Kommentar
avatar
Badener
07.02.2026 15:49registriert März 2017
Vollzugriff auf das Betriebssystem, was kann da schon schiefgehen.
351
Melden
Zum Kommentar
75
Amerikas Niedergang beschleunigt sich – die Woche im Karikaturen-Rückblick
Das aktuelle Geschehen in und um Trumpistan im Spiegel der Karikaturistinnen und Karikaturisten. Garniert mit frechen Memes.
Wichtig, geschätzte watson-Userin, geschätzter -User: In diesem «Tweeticle» werden keine Tweets geladen. Darum kannst du (hoffentlich munter) drauflos scrollen und die Bluesky-Inhalte ohne unseren IT-Support geniessen. 😉
Zur Story