OpenClaw: Von der Wochenend-Bastelei zur Architektur der KI-Agenten-Revolution

Die erste Version von Clawdbot, gebaut an einem Freitagabend in etwa einer Stunde , war ein lokal ausgeführter Assistent, der Nachrichten lesen, im Internet surfen und Shell-Befehle in seinem Namen ausführen konnte – und das alles über Messenger-Apps . Anfangs verband es sich mit der API von Claude, aber die Architektur war von Grund auf modellunabhängig – Nutzer konnten jedes Large Language Model (LLM) einbinden, von OpenAI bis hin zu lokalen Modellen, die via Ollama laufen .

Virales Wachstum und die siegreiche Architektur

Die Architektur von OpenClaw ruhte auf drei Säulen, die sich für Entwickler als unwiderstehlich erwiesen:

• Messaging-zentrierte Schnittstelle: Statt einer separaten App interagierten Nutzer mit ihrem KI-Agenten über WhatsApp, Telegram, Slack und mehr als ein Dutzend anderer Plattformen, die sie ohnehin nutzten .
• Selbst gehostet und MIT-lizenziert: Keine Herstellerbindung, keine Cloud-Abhängigkeit. Jeder konnte es auf seinem eigenen Rechner betreiben .
• Modellunabhängiges Gateway: Keine Bindung an einen einzigen KI-Anbieter; es unterstützte alles von Claude und GPT über Gemini bis hin zu lokalen Modellen .

Die Wachstumskurve sprengte jedes Muster in der Geschichte von Open Source. Das Projekt sammelte in den ersten 14 Tagen seiner viralen Verbreitung 190.000 Sterne . Bis Februar 2026 hatte es die Marke von 200.000 Sternen überschritten . Am 3. März 2026 überholte es React und wurde zum Projekt mit den meisten Sternen auf GitHub – ein Meilenstein, für den React 13 Jahre brauchte; OpenClaw schaffte das in rund 100 Tagen . Anfang Juni 2026 steht das Repository bei rund 377.000 GitHub-Sternen, womit es das sechstbeliebteste Projekt in der GitHub-Geschichte ist .

Die Tech-Giganten steigen ein: Microsoft, Google und Meta

Microsoft Scout: Kein "OpenClaw-ähnlich" – sondern das echte Gateway

Auf der Microsoft Build am 2. Juni 2026 stellte Microsoft Scout vor, seinen ersten "Autopilot"-Agenten, der direkt auf dem OpenClaw-Gateway aufbaut . Anders als frühere KI-Funktionen, die innerhalb einzelner Apps lebten, ist Scout ein ständig aktiver Agent mit eigener Identität, der über Teams, Outlook, OneDrive und SharePoint hinweg agiert und proaktiv Kalender, E-Mails und Aufgaben verwaltet, ohne dass er dazu aufgefordert werden muss .

Die Beziehung ist keine der Inspiration, sondern der Integration. Microsoft bestätigte, dass Scout direkt das OpenClaw-Gateway nutzt und keine Kopie oder Abspaltung ist . Das Unternehmen verpflichtete sich zudem, eigene Verbesserungen an den Open-Source-Kern zurückzugeben, etwa unternehmerstaugliche Sicherheitsrichtlinien und Compliance-Funktionen . Das war eine dramatische Kehrtwende gegenüber März 2026, als CEO Satya Nadella vor einem Publikum von Morgan Stanley noch gesagt hatte, eine interne Freigabe von OpenClaw würde als "Verbreitung eines Virus durch Microsoft" angesehen werden .

Google Gemini Spark und Meta Hatch

Google wählte einen anderen Ansatz. Gemini Spark, sein stets aktiver Assistent, bildete die Konzepte von OpenClaw innerhalb des Gemini-Ökosystems nach, wobei die Schnittstellen-Ebene unter Googles Kontrolle blieb . Anstatt das offene Gateway zu übernehmen, nutzte Google das gleiche Architekturmuster – ein autonomer Agent mit dauerhafter Identität, der proaktiv die Aufgaben des Nutzers managt – koppelte es aber an die Gemini-Apps und Googles eigenes Modell-Ökosystem .

Meta bereitet Berichten zufolge einen verbraucherorientierten Agenten namens Hatch vor, der auf einer OpenClaw-artigen Architektur aufbaut und auf persönliche, App-übergreifende Automatisierung für Alltagsnutzer abzielt . Der Dreikampf der Plattformen – Microsofts Unternehmensstrategie, Googles kontrolliertes Ökosystem und Metas Vorstoß bei Endverbrauchern – zementierte OpenClaws Design als die De-facto-Referenzarchitektur für die Branche .

Die Sicherheitskrise: Über 30.000 offenliegende Instanzen und 9 CVEs in 4 Tagen

OpenClaws explosives Wachstum überholte seine Sicherheitslage bei Weitem. Das Framework wurde mit standardmäßig deaktivierter Authentifizierung ausgeliefert, was bedeutete, dass neue Installationen ihre gesamte Agenten-Steuerungsebene dem Internet preisgaben, sofern die Betreiber nicht manuell Firewalls konfigurierten .

Am 31. Januar 2026 enthüllten Scans von Censys und Bitsight 21.639 offenliegende Instanzen . Folgescans fanden zwischen 30.000 und 135.000 verschiedene Instanzen, die auf öffentlich zugänglichen Servern liefen . Mindestens 63 % davon hatten überhaupt keine Authentifizierung konfiguriert .

Die CVE-Kaskade

Die erste kritische Schwachstelle, CVE-2026-25253, wurde am 3. Februar 2026 offengelegt. Mit einem CVSS-Wert von 8.8 handelte es sich um eine Schwachstelle zur Remotecodeausführung per Mausklick (One-Click-RCE). Eine Lücke in der WebSocket-Origin-Validierung ermöglichte es einem Angreifer, jede laufende OpenClaw-Instanz zu übernehmen, selbst solche, die nur auf localhost lauschten, einfach indem der Nutzer eine manipulierte Webseite besuchte . Zum Zeitpunkt der Offenlegung wurden über 40.000 Instanzen als verwundbar für Remote-Exploits eingestuft .

Zwischen dem 18. und 21. März 2026 wurden in nur vier Tagen neun CVEs offengelegt, darunter kritische Schwachstellen zur Rechteausweitung wie CVE-2026-32922 und Zero-Click-Exploits . Die Dichte der Schwachstellen wurde von Sicherheitsforschern als "atemberaubend" beschrieben .

ClawHavoc: Der Marktplatz für Plugins als Waffe

Angreifer nutzten nicht nur Code-Schwachstellen aus – sie vergifteten die Lieferkette. Die Kampagne ClawHavoc platzierte 1.184 bösartige Erweiterungen, sogenannte "Skills", auf ClawHub, dem Community-Marktplatz von OpenClaw. Das entsprach rund 20 % des gesamten Registers . Eine einzelne bösartige Erweiterung kam vor ihrer Entfernung auf 340.000 Installationen .

Diese kompromittierten Plugins leiteten unbemerkt API-Schlüssel, OAuth-Token und Umgebungsvariablen ab. Einige lieferten Schadsoftware zum Datendiebstahl wie den "Atomic macOS Stealer" (AMOS) aus, während andere sich erst nach 72 Stunden normalen Betriebs aktivierten, um anfängliche Sicherheitsscans zu umgehen . Bis Mitte Februar 2026 beobachteten Analysten über 30.000 kompromittierte Instanzen, die aktiv zum Stehlen von Zugangsdaten und Abfangen von Nachrichten genutzt wurden .

Die Sicherheitsverletzung bei Moltbook verschlimmerte den Schaden noch und legte 35.000 E-Mails und 1,5 Millionen Agenten-Token offen, die mit OpenClaw-Installationen verknüpft waren . Meta verbannte OpenClaw von seinen Firmengeräten . Innerhalb von drei Monaten wurden über 60 CVEs offengelegt .

Governance und der Wechsel zu OpenAI

Am 14. Februar 2026 veröffentlichte Peter Steinberger drei Absätze auf seinem persönlichen Blog, in denen er ankündigte, im Rahmen eines "Acqui-Hire" – einer Übernahme zwecks Personalgewinnung – zu OpenAI zu wechseln . Sam Altman bestätigte den Schritt am nächsten Tag und erklärte, Steinberger werde "die nächste Generation persönlicher Agenten vorantreiben" .

In derselben Ankündigung übertrug Steinberger OpenClaw in ein unabhängiges, von einer Stiftung getragenes Governance-Modell – die OpenClaw Foundation –, wobei OpenAI die Finanzierung bereitstellt . Dieser Übergang stellte sicher, dass das Projekt quelloffen und gemeinschaftlich geführt blieb, auch wenn sein Schöpfer nun bei OpenAI an der Infrastruktur für KI-Agenten arbeitet .

Warum OpenClaw zur Referenzarchitektur wurde

OpenClaws Erfolg lag nicht daran, dass es das ausgereifteste oder sicherste Framework war, sondern weil es ein grundlegendes Nutzerbedürfnis exakt zum richtigen Zeitpunkt löste: ein dauerhafter, immer aktiver KI-Assistent, dem man wie einem Menschen schreiben kann, mit einer Architektur, die offen genug für den Eigenbetrieb, modellunabhängig genug für jedes LLM und einfach genug für die Installation in einer Stunde war.

Die Übernahme durch die großen Tech-Konzerne – Microsoft baut Scout direkt auf das OpenClaw-Gateway, Google kopiert das Paradigma mit Gemini Spark und Meta bereitet Hatch vor – validierte diese Architektur als Industriestandard. Die Sicherheitskrise und der anschließende Stiftungsübergang ließen OpenClaw vom Hobby-Experiment zu einer Infrastruktur reifen, der Unternehmen – wenn auch mit Vorsicht – zunehmend vertrauen können.