OpenClaw Security

Nash Borges, Vice President of Engineering and Data Science bei Sophos, vergleicht das System mit Superhelden aus Science-Fiction-Filmen. Die Begeisterung ist nachvollziehbar: Sobald OpenClaw aktiviert ist, entfaltet sich eine nahezu magische Wirkung. Der digitale Assistent übernimmt lästige Routineaufgaben, richtet Erinnerungen ein, erstellt tägliche Briefings, greift auf Kalenderinformationen zu und entwirft E-Mail-Antworten. Das Besondere: Er merkt sich alle wichtigen Informationen und speichert sie auf einem Gerät nach Wahl.

Die dunkle Seite der Innovation

Doch mit jeder KI-Superkraft kommt ein Sicherheitsrisiko. Borges warnt vor der tödlichen Dreifaltigkeit von KI-Agenten, einem Begriff, den Simon Willison prägte. OpenClaw erfüllt alle drei kritischen Kriterien: Zugriff auf private Daten, Zugang zu nicht vertrauenswürdigen Inhalten und die Fähigkeit zur externen Kommunikation. Diese Kombination ermöglicht es Angreifern, durch manipulierte Eingabeaufforderungen sensible Informationen zu exfiltrieren.

Das grundlegende Problem liegt in der Architektur: Anweisungen und Daten werden über denselben Kanal an das Large Language Model übermittelt, wodurch dieses nicht zwischen beiden unterscheiden kann. Daten können somit wie Anweisungen wirken. Borges empfiehlt daher, den verwendeten Rechner zu isolieren und Kommunikationswege streng zu kontrollieren, um schädliche Eingaben zu verhindern.

Für Unternehmen ist die Warnung eindeutig: OpenClaw darf keinesfalls in Unternehmensnetzwerken oder mit Unternehmenssystemen verbunden werden. Das Tool verfügt aktuell über keine unternehmensweiten Zugriffskontrollen, keine rollenbasierte Zugriffsverwaltung, keinen formalen Prüfpfad und keine Mechanismen zur Verhinderung von Datenverlust. Ohne Freigabe des Sicherheitsteams sollten keine Kundendaten, personenbezogenen Informationen oder geistiges Eigentum verarbeitet werden. Die Sicherheitsdokumentation des Projekts ist transparent.

Kontinuierliches Lernen als Schlüsselvorteil

Ein herausragendes Merkmal von OpenClaw ist das kontinuierliche Lernen. Das System verwendet mehrere Markdown-Dateien für persistenten Speicher über Sitzungen hinweg. USER.md speichert persönliche Präferenzen, Hintergrundinformationen und Kommunikationsstil. SOUL.md definiert die Persönlichkeit und Verhaltensrichtlinien des Agenten, während MEMORY.md als langfristiger, selbstverwalteter Speicher dient. Tägliche Speicherdateien protokollieren die Sitzungen.

Der Agent liest diese Daten zu Beginn jeder Sitzung und aktualisiert sie fortlaufend. In Kombination mit reibungsloser Kommunikation über Signal, WhatsApp oder iMessage entsteht ein System, das tatsächlich über unendlichen Speicher zu verfügen scheint. Es merkt sich alles und nutzt dies als Kontext für nachfolgende Aufgaben.

Ein weiterer Vorteil: Die Ausführung auf eigener Hardware oder in der Cloud vermittelt Kontrolle über die Daten und ermöglicht einen unkomplizierten Wechsel des Modellanbieters. Obwohl es sich größtenteils um Middleware handelt und der Anbieter alle Eingaben und Antworten einsehen kann, ist die Datenhoheit überraschend befreiend.

Bei uneingeschränktem Computerzugriff kann sich OpenClaw mithilfe von KI-Programmierassistenten wie Claude Code oder Codex selbst verbessern. Fehlt eine benötigte Funktion, bietet der Assistent an, diese zu entwickeln. Bei ausreichend einfachen Anforderungen gelingt die Implementierung oft mit einem einzigen Klick.

Ein Blick in die Zukunft

Borges testete OpenClaw ein Wochenende lang auf einem Mac mini, verbunden mit Signal, Kalender und E-Mail-Programm. (Mac mini wurde vielerorts als Testsystem genutzt, das Ganze funktioniert aber auch unter Windows). Der Agent erfasste Aufgaben, erstellte tägliche Zusammenfassungen und erinnerte an den Schlafrhythmus vor einem frühen Flug. Seine Schlussfolgerung: ChatGPT hat die Welt verändert, aber OpenClaw wird sie komplett umkrempeln.

Allerdings ist OpenClaw nicht kostenlos nutzbar. Trotz Open-Source-Status wird ein kostenpflichtiges Abonnement von ChatGPT Codex oder Claude Pro/Max vorausgesetzt. Die Kombination aus beeindruckender Funktionalität und erheblichen Sicherheitsbedenken macht deutlich: Die KI-Revolution findet nicht nur in Rechenzentren statt, sondern zunehmend in unseren Taschen und auf unseren Schreibtischen. Die Frage ist nicht mehr, ob solche Systeme kommen, sondern wie wir mit den damit verbundenen Risiken umgehen.

Nash Borges, Vice President of Engineering and Data Science at Sophos, compares the system to superheroes from science fiction movies. The enthusiasm is understandable: as soon as OpenClaw is activated, it has an almost magical effect. The digital assistant takes care of tedious routine tasks, sets up reminders, creates daily briefings, accesses calendar information, and drafts email replies. What makes it special is that it remembers all important information and stores it on a device of your choice.

The dark side of innovation

But with every AI superpower comes a security risk. Borges warns of the deadly trinity of AI agents, a term coined by Simon Willison. OpenClaw meets all three critical criteria: access to private data, access to untrusted content, and the ability to communicate externally. This combination allows attackers to exfiltrate sensitive information through manipulated prompts.

The fundamental problem lies in the architecture: instructions and data are transmitted to the large language model via the same channel, which means that the model cannot distinguish between the two. Data can therefore act like instructions. Borges therefore recommends isolating the computer used and strictly controlling communication channels to prevent malicious input.

For companies, the warning is clear: OpenClaw must not be connected to corporate networks or corporate systems under any circumstances. The tool currently has no enterprise-wide access controls, no role-based access management, no formal audit trail, and no mechanisms to prevent data loss. No customer data, personal information, or intellectual property should be processed without the approval of the security team. The project’s security documentation is transparent.

Continuous learning as a key advantage

One outstanding feature of OpenClaw is continuous learning. The system uses multiple Markdown files for persistent storage across sessions. USER.md stores personal preferences, background information, and communication style. SOUL.md defines the agent’s personality and behavior guidelines, while MEMORY.md serves as long-term, self-managed storage. Daily storage files log the sessions.

The agent reads this data at the beginning of each session and updates it continuously. Combined with seamless communication via Signal, WhatsApp, or iMessage, the result is a system that seems to have infinite memory. It remembers everything and uses this as context for subsequent tasks.

Another advantage: running on your own hardware or in the cloud gives you control over your data and allows you to easily switch model providers. Although it is largely middleware and the provider can view all inputs and responses, data sovereignty is surprisingly liberating.

With unrestricted computer access, OpenClaw can improve itself with the help of AI programming assistants such as Claude Code or Codex. If a required function is missing, the assistant offers to develop it. If the requirements are sufficiently simple, implementation can often be achieved with a single click.

A glimpse into the future

Borges tested OpenClaw for a weekend on a Mac mini connected to Signal, Calendar, and an email program. (Mac mini was used as the test system in many places, but the whole thing also works under Windows). The agent recorded tasks, created daily summaries, and reminded him of his sleep schedule before an early flight. His conclusion: ChatGPT has changed the world, but OpenClaw will completely transform it.

However, OpenClaw is not free to use. Despite its open-source status, a paid subscription to ChatGPT Codex or Claude Pro/Max is required. The combination of impressive functionality and significant security concerns makes it clear that the AI revolution is not only taking place in data centers, but increasingly in our pockets and on our desks. The question is no longer whether such systems are coming, but how we deal with the risks associated with them.