OpenClaw hat in den letzten Monaten für einiges an Aufmerksamkeit gesorgt - und das zurecht.

Das Projekt hat innerhalb kürzester Zeit den Linux Kernel in Anzahl der GitHub Stars überholt. Wer weiß, was das bedeutet, versteht: Das ist kein kleines Ding. Damit gehört OpenClaw zu den sichtbarsten Open-Source-Projekten der Welt. Ein Freund von Peter Steinberger beschrieb das Wachstum als "stripper pole growth" - keine klassische Hockey-Stick-Kurve mehr, sondern einfach eine gerade Linie nach oben. Steil. Ohne Pause.

Mittlerweile gibt es zahlreiche Anbieter, die OpenClaw als One-Click-Server-Installation anbieten. In China kann man sich an öffentlichen Plätzen sogar direkt vor Ort eine OpenClaw-Instanz einrichten lassen.

Ich selbst habe es seit ein paar Wochen am Laufen - und wollte für alle Interessierten einen ehrlichen Erfahrungsbericht schreiben.

Für wen ist OpenClaw - und für wen nicht?

Vorab meine persönliche Einschätzung.

OpenClaw lässt sich am besten als Research-Projekt verstehen. Es ist für die Leute gemacht, die wirklich verstehen wollen, was mit KI gerade möglich ist. Das Projekt adressiert Themen, über die wir auch bei DECAID regelmäßig sprechen: Kontext schlägt Modell. Skills schlagen Agenten.

OpenClaw experimentiert mit Features, die man sonst nirgendwo findet. Der Agent kann zum Beispiel über Nacht "träumen", um Wissen besser zu sortieren und zu konsolidieren. Über ClawHub lassen sich Community-Skills herunterladen und direkt einsetzen - in einem vollständig Open-Source-System, das man selbst hosten, anpassen und mit so gut wie jedem Modell verbinden kann, solange man einen API Key hat.

Aber - und das ist wichtig - das Tool warnt den Nutzer selbst vor der ersten Installation. Es mahnt zur Vorsicht. Und das zu Recht: Das Projekt ist alles andere als stabil oder sicher. Nahezu jedes Update legt das System erstmal lahm. Multi-User ist theoretisch möglich, aber in der Praxis nicht wirklich ausgelegt.

OpenClaw ist für die Nerds, die wissen wollen, was geht.

Was macht OpenClaw besonders?

1. Kontext

OpenClaw ist darauf ausgelegt, dem Modell so viel wie möglich und so regelmäßig wie möglich über den Nutzer, seine Aufgaben und sein Wissen mitzuteilen. Das Ergebnis sind Ausgaben, die erschreckend gut und relevant sind.

2. Proaktivität

OpenClaw kennt sowohl einen Heartbeat als auch Cron Jobs. Das bedeutet: Der Agent kann sich selbst proaktiv starten und Aufgaben erledigen - entweder fest definiert oder per Prompt, der regelmäßig lädt. Das macht ihn einem "echten" Assistenten ähnlicher, der nicht erst wartet, bis man ihn anschreibt.

3. Flexibilität

Open-Source-Ansatz, ClawHub für Skills, Anbindung an nahezu jedes LLM - inklusive selbstgehosteter Modelle - und Unterstützung für viele Chat-Interfaces. Da ist für jeden was dabei. Und wenn man wechseln will ist der Aufwand unter 5 Minuten.

Meine persönliche Erfahrung

Ich habe mich zunächst für den One-Click-Install eines größeren Anbieters entschieden - keine Lust, lange Zeit mit Setup zu verlieren. Als großer Fan von Selfhosting, Open Source und europäischen Lösungen habe ich mit Mistral Medium und Large als Modell gestartet. Als Chat Interface habe ich Slack verwendet, da ich es bereits beruflich nutzen. Ein paar "How to get started"-Tutorials später und ich habe angefangen - und der Agent war unendlich langsam und gefühlt ziemlich dumm. Nicht mal die einfachsten Dinge haben funktioniert. Und trotzdem hatte ich dabei locker 15 Euro an Token verbrannt, ohne irgendetwas Sinnvolles getan zu haben.

Nun gut - ich bin ja ITler. Also alles neu aufgesetzt, ein bisschen mit Docker und Containern auf meinem VPS gespielt. Selbes Ergebnis. Dann bin ich direkt in die Kommandozeile gegangen und hab mich umgeschaut - und war ehrlich gesagt etwas überrascht, wie viele Fehler/Warnungen da vom System gemeldet wurden. Trotz des One-Click-Installs, inklusive komischer Plugins, die offensichtlich für die Suche verwendet werden. Das hat den Agenten zwar nicht dümmer gemacht, aber trotzdem ein komischen Gefühl hinterlassen.

Projekt erstmal auf Eis. Aber es hat mich nicht losgelassen.

Da ich keine Lust mehr hatte, den VPS-Anbieter zu bezahlen, habe ich OpenClaw auf einem meiner privaten Server installiert. Diesmal anders: Telegram als Interface (wird von allen am häufigsten empfohlen) und als Modell über ein bisschen Docker-Magie Ollama mit GLM5.1 für 20 Euro im Monat angebunden.

Und plötzlich: Alles lief wie am Schnürchen. OpenClaw war schnell, smart und tatsächlich hilfreich.

Da ich nicht schon wieder einen weiteren Anbieter, in dem Fall für die  Suchfunktionen, bezahlen wollte, habe ich mir noch einen Docker-Container mit SearXNG hochgefahren - ging auf Anhieb. Mein Agent hatte jetzt eine eigene Suchmaschine.

Dann hat der echte Nutzen begonnen: Ich habe eine Vikunja-Instanz (Open-Source-To-Do-Management, ähnlich wie Todoist oder Microsoft To Do) hochgefahren und OpenClaw angebunden. Inzwischen manage ich alle meine To-Dos nur noch via Chat. Mit der Zeit werde ich weitere Open-Source-Services anbinden und von meinem Agenten verwalten lassen.

Thema Sicherheit

Der größte Aufschrei rund um OpenClaw kommt beim Thema Sicherheit.

Der erste Skill, der beim Kommandozeilen-Install vorgeschlagen wird, ist 1Password. Das ist ungefähr das Letzte, was ich mir vorstellen könnte - einer KI Zugriff auf alle meine Passwörter zu geben. Auch Peter Steinberger empfiehlt hier, einen eigenen Account für den Bot anzulegen. Das ist nachvollziehbar: Das Projekt ist jung, der Fokus lag klar auf Features, nicht auf Security.

Trotzdem muss ich OpenClaw auch hier ein paar Punkte lassen. Das Ausführen von Befehlen auf dem System lässt sich granular steuern. Man kann dem Agenten im Detail jeden Befehl in der Kommandozeile freigeben - für alles andere muss er um Erlaubnis fragen. Das Gateway regelt das via Code, nicht via Prompt. Bei richtiger Einstellung kann der Agent seinen Workspace nicht verlassen. Und über einen /stop-Befehl lässt sich die Ausführung jederzeit abbrechen - wie ein physischer Not-Aus-Knopf an einer Maschine.

Trotzdem: Grundeinstellungen und generelle Code-Qualität sind noch weit von einem sicheren Enterprise-Produkt entfernt und um ein akzeptabel sicheres Setup zu haben, muss man einiges an Zeit investieren.

Wer das Thema OpenClaw Sicherheit vertiefen möchte - anbei ein Video vom Entwickler:

‍

Wie ich meinen OpenClaw gehärtet habe

Darüber könnte man vermutlich eine ganze Artikelserie schreiben - aber grob runtergebrochen:

OpenClaw läuft bei mir in einem abgeschotteten VLAN, damit es selbst im Fall einer Attacke (z.B. Prompt-Injection) nur limitierten Schaden im Netzwerk anrichten kann. Zusätzlich läuft es in einer eigenen virtuellen Maschine, und darin nochmal in einem eigenen Container. Bei einem Angriff müssten zwei verschiedene Virtualisierungs-Layer durchbrochen werden, um überhaupt mit Root-Rechten auf die Maschine zu kommen.

Dazu läuft alles hinter meiner Firewall mit einem Intrusion Protection System (IPS), das selbstständig auf mögliche Angriffe reagieren kann. Aggressives DNS-Filtering reduziert die Angriffsfläche zusätzlich, da ein großteil der schädlichen Webseiten für den Agenten nicht zugänglich sind.

Das größte offene Problem bleibt aber Vertrauen. Alle Daten, die ich in den Chat eingebe, sind kodiert - ich traue mich nicht einmal, echte Personen- oder Kundennamen zu nennen. Als Faustregel behandle ich OpenClaw wie einen frisch eingestellten Praktikanten, zu dem ich noch kein Vertrauen habe. Hier würde ich ja auch nicht an Tag 1 meine privaten E-Mail Zugangsdaten oder meinen Passwortmanager teilen.

Fazit

OpenClaw ist faszinierend. Es zeigt ein echtes Fenster in die agentische Zukunft - und macht Spaß damit zu arbeiten. Die Beteiligung von NVIDIA sowie die neu gegründete OpenClaw Foundation lassen hoffen, dass das Projekt noch viele spannende Dinge in Sachen agentischer KI zeigen wird - und Schritt für Schritt zu einem Produkt werden könnte, das auch für Nicht-Nerds taugt.