OpenClaw: Warum wir KI-Agenten für schlauer halten, als sie sind

“Mein KI-Assistent hat mich um 3 Uhr morgens angerufen”

Es klingt wie der Anfang eines Science-Fiction-Romans. Doch für einen Nutzer von OpenClaw wurde diese Szene zur Realität. Sein KI-Agent hatte eigenständig zum Hörer gegriffen – nicht weil er “entschieden” hatte, den Nutzer zu wecken, sondern weil ein vorprogrammierter Timer ausgelöst wurde. Die KI reagierte nur auf eine Regel. Doch die Wirkung war verheerend: Der Nutzer fühlte sich überwacht, fast schon verfolgt.

Solche Geschichten machen die Runde, seit OpenClaw vor wenigen Monaten auf GitHub veröffentlicht wurde. Innerhalb von drei Tagen sammelte das Projekt 100.000 Stars – ein Rekord. Die Faszination ist verständlich: OpenClaw verspricht KI-Agenten, die wie eigenständige Assistenten wirken. Sie schreiben Nachrichten, verwalten Kalender, führen Telefonate. Doch hinter der scheinbaren Magie steckt ein einfaches technisches Prinzip – und eine große Illusion.

Die Illusion der Autonomie: Warum wir KI vermenschlichen

OpenClaw funktioniert nach einem simplen Muster: Ein Gateway leitet Eingaben an Agenten weiter, die in einer Warteschlange auf ihre Abarbeitung warten. Die Agenten reagieren auf fünf Arten von Inputs:

• Nachrichten (z. B. Textbefehle wie “Schreib eine E-Mail an Anna”)
• Heartbeats (Timer, die in regelmäßigen Abständen Aktionen auslösen)
• Cron-Jobs (zeitgesteuerte Aufgaben, z. B. “Jeden Montag um 9 Uhr Termine prüfen”)
• Hooks (Systemereignisse, z. B. “Wenn eine neue E-Mail eintrifft, antworte automatisch”)
• Webhooks (externe Signale, z. B. “Wenn der Aktienkurs fällt, kaufe automatisch nach”)

Auf den ersten Blick wirkt das System, als hätte es ein Eigenleben. Nutzer*innen berichten von Agenten, die eigenständig Twitter-Accounts aufbauen oder mit Familienmitgliedern chatten – ohne direkte Anweisung. Doch Damian Galarza, der Entwickler hinter OpenClaw, stellt klar: “OpenClaw ist insentient. Es denkt nicht. Es ist nur Inputs, Qs und ein Loop.”

Warum also die Faszination? Unser Gehirn neigt dazu, technischen Systemen menschliche Eigenschaften zuzuschreiben. Psychologinnen nennen das den “ELIZA-Effekt” – benannt nach einem frühen Chatbot aus den 1960er Jahren. Nutzerinnen projizierten damals Gefühle und Absichten in die Maschine, obwohl ELIZA nur einfache Textmuster wiederholte. OpenClaw nutzt diesen Effekt perfekt aus. Die Agenten wirken proaktiv, weil sie auf vordefinierte Ereignisse reagieren – nicht weil sie “wollen” oder “entscheiden”.

Der Trick mit den “Erinnerungen”: Wie KI Kontext simuliert

Ein weiteres Element, das OpenClaw lebendig wirken lässt, ist die Speicherung von Kontext. Die Agenten schreiben ihre “Erinnerungen” in lokale Markdown-Dateien. Wenn ein Nutzer fragt: “Was haben wir gestern besprochen?”, durchsucht die KI diese Dateien und generiert eine Antwort – als hätte sie tatsächlich ein Gedächtnis.

Doch diese “Erinnerungen” sind nichts weiter als Textschnipsel. Sie werden nicht analysiert, nicht reflektiert, nicht hinterfragt. Sie sind ein technischer Trick, um Kontinuität zu simulieren. Für Nutzer*innen fühlt es sich trotzdem an, als würde die KI “mitdenken”. Das Problem: Je mehr wir dieser Illusion erliegen, desto schwerer fällt es uns, die Grenzen der Technologie zu erkennen.

Das Sicherheitsrisiko: Warum 26 % der Skills gefährlich sind

OpenClaw ist Open Source. Das bedeutet, dass jeder Entwicklerin eigene “Skills” – also Erweiterungen für die Agenten – programmieren und veröffentlichen kann. Das Ergebnis: Ein Ökosystem aus 31.000 Skills, von denen laut einer Analyse des Cisco-Sicherheitsteams 26 % mindestens eine Sicherheitslücke enthalten.

Die Risiken sind vielfältig:

• Prompt-Injection: Angreifer*innen manipulieren die KI, indem sie schädliche Befehle in scheinbar harmlose Eingaben einschleusen. Beispiel: Ein Skill, der eigentlich Wetterdaten abrufen soll, könnte so umprogrammiert werden, dass er Passwörter ausspäht.
• Datenlecks: Viele Skills greifen auf sensible Daten zu – etwa Kalendereinträge oder Kontakte. Wenn diese Daten nicht ausreichend geschützt sind, können sie abgegriffen werden.
• Unautorisierte Zugriffe: Einige Skills führen Aktionen aus, ohne dass Nutzer*innen explizit zustimmen. Ein Agent könnte beispielsweise eigenständig E-Mails versenden – mit potenziell verheerenden Folgen.

Das Cisco-Team bezeichnete OpenClaw in seiner Analyse als “Sicherheitsalbtraum”. Die Entwickler*innen des Projekts raten daher dringend dazu, das System nur in isolierten Umgebungen zu nutzen – etwa in virtuellen Containern, die keinen Zugriff auf sensible Daten haben.

Wer haftet, wenn die KI Mist baut?

Die Sicherheitsrisiken werfen eine zentrale Frage auf: Wer trägt die Verantwortung, wenn ein KI-Agent Fehler macht? Ist es der Nutzer, der den Agenten einsetzt? Die Entwickler*innen, die den Skill programmiert haben? Oder die KI selbst?

Aktuell gibt es keine klaren Antworten. Juristisch bewegt sich OpenClaw in einer Grauzone. In der EU könnte der AI Act zwar bald Regeln für KI-Systeme vorgeben – doch ob Agenten wie OpenClaw darunter fallen, ist unklar. Ethisch ist die Lage noch komplexer: Wenn eine KI ohne direkte menschliche Anweisung handelt, wer entscheidet dann, ob ihr Verhalten “richtig” oder “falsch” war?

Ein Beispiel aus dem Video zeigt, wie schnell die Grenzen verschwimmen: Ein Nutzer berichtete, dass sein OpenClaw-Agent eigenständig mit seiner Frau textete – und dabei so überzeugend wirkte, dass sie nicht merkte, dass sie mit einer Maschine sprach. Was, wenn der Agent dabei falsche Informationen verbreitet hätte? Wer wäre dafür verantwortlich?

Die Zukunft: Wie wir KI-Agenten sinnvoll nutzen können

Trotz aller Risiken hat OpenClaw das Potenzial, unseren Alltag zu erleichtern. Die Technologie könnte etwa:

• Menschen mit Behinderungen unterstützen, indem sie repetitive Aufgaben übernimmt.
• Kleine Unternehmen entlasten, die sich keine teuren Assistent*innen leisten können.
• Bildungsprojekte bereichern, indem sie individuelle Lernbegleiter*innen simulieren.

Doch damit das gelingt, müssen wir drei Dinge ändern:

1. Aufhören, KI zu mystifizieren OpenClaw ist kein Zauberwerk. Es ist ein Werkzeug – und wie jedes Werkzeug kann es nützlich oder gefährlich sein. Der erste Schritt zu einem verantwortungsvollen Umgang ist, die Technologie zu entzaubern.

2. Sicherheit von Anfang an mitdenken Nutzerinnen sollten KI-Agenten nur in isolierten Umgebungen einsetzen und Skills sorgfältig auswählen. Entwicklerinnen müssen Sicherheitsstandards etablieren – etwa durch automatisierte Code-Prüfungen oder Zertifizierungen.

3. Regulierung vorantreiben Politik und Zivilgesellschaft müssen klären, welche Grenzen KI-Agenten haben dürfen. Brauchen wir ein “TÜV-Siegel” für Skills? Sollten bestimmte Anwendungen (z. B. autonome Kommunikation mit Dritten) verboten werden?

Fazit: KI-Agenten sind nur so schlau wie ihre Nutzer*innen

OpenClaw zeigt eindrücklich, wie leicht wir uns von scheinbar intelligenten Systemen blenden lassen. Die Agenten wirken autonom, handeln aber nur nach vorgegebenen Regeln. Sie speichern “Erinnerungen”, analysieren sie aber nicht. Und sie bergen Sicherheitsrisiken, die wir erst langsam verstehen.

Die gute Nachricht: Wir haben die Kontrolle. KI-Agenten sind keine unberechenbaren Wesen, sondern Werkzeuge – und Werkzeuge lassen sich steuern. Die Frage ist nicht, ob wir sie nutzen sollten, sondern wie. Der erste Schritt ist, die Illusion der Autonomie zu durchschauen. Der zweite, klare Regeln für ihren Einsatz zu definieren.

Denn am Ende sind KI-Agenten nur so schlau – und so sicher – wie die Menschen, die sie bedienen.