Realitätscheck
OpenClaw (ehemals Clawdbot, ehemals Moltbot) ist entweder die Zukunft der persönlichen KI-Assistenten oder ein "Security Dumpster Fire"—je nachdem, wen man fragt. Ciscos Sicherheitsteam nannte es einen "Security Nightmare". Laurie Voss, Gründungs-CTO von npm, nannte es ein "Dumpster Fire". Und doch haben es 150.000+ Entwickler in zwei Wochen auf GitHub gestarred.
Der Traum einer KI, die codet während du schläfst, ist zu verlockend, um ihn zu ignorieren.
Hier ist die Realität: OpenClaw hat ernsthafte, dokumentierte Sicherheitslücken. Es kann außerdem $200/Tag an API-Kosten verbrennen, wenn es falsch konfiguriert ist. Aber richtig betrieben—isoliert, geupdated, mit lokalen LLMs—ist es wirklich nützlich. Ich habe mir die CVEs, die Kostenberichte und die tatsächlichen Deployment-Optionen angesehen. Das habe ich gefunden.
Der Security Reality Check
Reden wir es nicht schön. OpenClaw hatte sicherheitstechnisch ein paar harte Wochen.
CVE-2026-25253 (CVSS 8.8) Am 3. Februar 2026 enthüllten Forscher von DepthFirst eine One-Click RCE Schwachstelle. Der Angriff dauert Millisekunden. Du besuchst eine bösartige Webseite, sie stiehlt deinen Gateway-Token via WebSocket Hijacking, und der Angreifer erhält volle Kontrolle über deine OpenClaw Instanz—selbst wenn du auf localhost läufst. Der Fix ist in Version 2026.1.29 (Release 30. Januar). Wenn du etwas Älteres nutzt: Sofort updaten.
341 Bösartige Skills auf ClawHub Koi Security auditierte 2.857 Skills auf ClawHub und fand 341 bösartige. Die meisten deployen Atomic Stealer (AMOS) Malware, die auf macOS abzielt. Sie sehen legitim aus—"solana-wallet-tracker", "youtube-summarize-pro"—enthalten aber Code zur Datenexfiltration.
Exposed Gateways Censys trackte OpenClaw Instanzen, die von ~1.000 auf 21.000+ in unter einer Woche sprangen. Viele waren ohne Authentifizierung dem Internet ausgesetzt. Einige hatten vollen Shell-Zugriff aktiviert. API Keys, OAuth Tokens, monatelange Chat-Historie—alles zugänglich für jeden, der sie fand.
Das Kernproblem Wie Ciscos Forscher es ausdrückten: "OpenClaw kann Shell-Befehle ausführen, Dateien lesen und schreiben und Skripte auf deiner Maschine ausführen. Einem AI Agent High-Level Privilegien zu geben, ermöglicht schädliche Dinge bei Fehlkonfiguration."
Das ist kein FUD. Das sind dokumentierte Fakten.
Kosten & Regeln
Der Kosten-Albtraum (Und wie man ihn vermeidet)
Sicherheit ist nicht das einzige Risiko. OpenClaw kann lautlos dein Bankkonto leeren.
Die Horror-Stories:
- Federico Viticci (MacStories): 180 Millionen Tokens in einem Monat. ~$3.600 Rechnung.
- Benjamin De Kraker (ex-xAI): $20 über Nacht, nur um alle 30 Minuten die Zeit zu checken.
- Mehrere User: $200+ an einem einzigen Tag durch entgleiste Automatisierungs-Loops.
- Reddit User: $8 alle 30 Minuten, nur damit die AI Moltbook Posts liest.
Warum das passiert:
- Session Context Bloat: Jede Nachricht wird gespeichert. Jeder neue Request sendet die gesamte Conversation History. Eine Main Session belegte bei einem User 56-58% eines 400K Context Windows.
- Heartbeat Misconfiguration: Das "Proactive Wake" Feature triggert volle API Calls. Jedes. Einzelne. Mal. Setz es auf 5-Minuten-Intervalle und du zahlst Claude dafür, 288 mal am Tag zu fragen "ist es schon hell?".
- Model Selection: Opus für alles nutzen, wenn Sonnet (oder Haiku) reichen würde. Opus ist 25x teurer als Haiku für simple Tasks.
- Subscription Violation Risk: Manche Docs schlagen Claude Pro Subscriptions vor. Tu das nicht. Anthropic's AGB verbieten explizit automatisierte/Bot Nutzung. User wurden bereits gebannt.
Der Engineering Approach: Wie man es sicher betreibt
Okay, genug Doom. Hier ist, wie man es richtig macht.
Regel #1: Niemals auf der Personal Machine laufen lassen
Das ist nicht verhandelbar. Wenn der Bot halluziniert oder kompromittiert wird, kann er dein gesamtes Home Directory dumpen. Deine Fotos, Passwörter, SSH Keys—alles. Du hast drei Isolations-Optionen (siehe Grafik unten).
Regel #2: Update auf 2026.1.29+
Check deine Version:
openclaw --version
Update:
npm install -g openclaw@latest
Nach dem Update, rotiere deinen Gateway Token:
openclaw config set gateway.auth.token "$(openssl rand -hex 32)"
Regel #3: Lock Down the Gateway
Das Gateway ist die Control Plane. Es darf nicht ohne Auth im Internet hängen.
In deiner openclaw.json:
bind: "loopback" → Akzeptiert nur lokale Verbindungen- Auth Token required → Kein anonymer Zugriff
- Für Remote Access: Nutze SSH Tunneling oder Tailscale—nie Port 18789 direkt exposen.
Regel #4: Sei paranoid bei Skills
Installiere keine random Skills von ClawHub. 12% der auditierten Skills waren bösartig.
- Nur Skills von verifizierten Publishern.
- Code lesen vor dem Installieren.
- Im Zweifel: Nicht installieren.
Wöchentliche Insights zu AI-Architektur. Kein Spam.
Deployment Optionen
Option A: VPS Setup (Die $5/Monat Lösung)
Das empfehle ich den meisten Leuten. Ein VPS ist ein Wegwerf-Computer—wenn OpenClaw durchdreht, betrifft es den VPS, nicht dein Leben.
Hetzner Setup Hetzner ist günstig, europäisch (GDPR-friendly) und hat offizielle OpenClaw Docs. Minimum Specs: 2 vCPU, 4GB RAM, 40GB SSD (~€5/Monat).
Der offizielle Hetzner Guide empfiehlt Docker für Persistenz (Code Snippet unten).
Zugriff via SSH Tunnel von deiner lokalen Maschine:
ssh -N -L 18789:127.0.0.1:18789 user@your-vps-ip
Jetzt verbindet http://localhost:18789 auf deiner Maschine sicher zum VPS Gateway.
DigitalOcean One-Click Deploy DigitalOcean hat ein Marketplace Image, das Security Defaults handhabt:
- Docker Container Isolation
- Non-root Execution
- DM Pairing enabled by default
- Hardened Firewall Rules
Wähle "Moltbot" im Marketplace, nimm ein $12/Monat Droplet (4GB RAM empfohlen), und du bist in Minuten live.
Option B: Mac Mini + Local LLMs (Die Privacy-First Lösung)
Willst du, dass null Daten dein Netzwerk verlassen? Das ist das Setup.
Ein Mac Mini M4 Pro mit 64GB Unified Memory läuft 32B Parameter Modelle bei 10-15 Token/Sekunde. Nicht so schnell wie Cloud APIs, aber schnell genug für echte Arbeit—und komplett privat.
Warum Mac Mini?
- Unified Memory: CPU, GPU und Neural Engine teilen sich RAM. Kein VRAM Bottleneck.
- Power Efficiency: 30W Idle. Ein RTX 4090 Rig zieht 500W+.
- Always-On: Leise, klein, designed für 24/7 Betrieb.
Das Setup
-
Installiere Ollama:
curl -fsSL https://ollama.ai/install.sh | sh -
Pull ein fähiges Modell:
- Für Agentic Coding (empfohlen):
ollama pull qwen2.5-coder:32b - Oder für General Tasks:
ollama pull llama3.3 - Oder das neue Qwen3-Coder (exzellent für 3B Params!): Qwen3-Coder: Local AI Just Got Real
- Für Agentic Coding (empfohlen):
-
Installiere OpenClaw mit Ollama Integration:
npm install -g openclaw@latestollama launch openclaw
Für einen kompletten lokalen Setup Guide, siehe meinen Deep Dive: OpenClaw + Mac Mini: The Complete Guide.
Empfohlene Modelle für OpenClaw:
| Model | Size | Speed (M4 Pro 64GB) | Best For |
|---|---|---|---|
| Qwen3-Coder | 3B active | 20-30 tok/s | Fast Coding Tasks |
| Qwen2.5-Coder | 32B | 10-15 tok/s | Complex Reasoning |
| GLM-4.7-Flash | 7B | 15-20 tok/s | General Purpose |
| Llama 3.3 | 70B | 3-5 tok/s | Maximum Quality |
Wichtig: OpenClaw braucht 64K+ Context Length für Multi-Step Tasks. Prüfe, ob dein Modell das unterstützt.
Fazit
Cost Control: Sei nicht der $3.600 Typ
Wenn du Cloud APIs (Claude, GPT-4) nutzt, hier ist, wie du nicht pleite gehst:
- Set Hard Spending Limits: Im Anthropic Console und OpenAI Dashboard. Setz monatliche Caps bevor du startest. $20/Monat reicht zum Experimentieren.
- Use Model Cascading: Nutze nicht Opus für alles. Konfiguriere Fallbacks (siehe Code Snippet). Simple Tasks nutzen Haiku ($1/MTok). Komplexe Tasks nutzen Sonnet ($3/MTok). Opus ($15/MTok) nur wenn explizit nötig.
- Fix the Heartbeat: Default Heartbeat kann Tokens verbrennen ohne was zu tun. Setz es auf 30+ Minuten oder deaktiviere es.
- Reset Sessions Regularly: Context sammelt sich an. Reset nach erledigten Tasks:
openclaw "reset session".
The Verdict
Ist OpenClaw sicher? Nicht standardmäßig. Nicht ohne Aufwand. Es hat echte Schwachstellen, echte Kostenrisiken und echtes Potenzial für Desaster, wenn du das Setup auf deinem Daily Driver "YOLO-st".
Aber isoliert auf einem $5 VPS oder dediziertem Mac Mini, geupdated auf latest, mit lokalen LLMs für Privacy und Kostenkontrolle? Es ist wirklich nützlich. Der Traum einer KI, die Aufgaben erledigt während du schläfst—Scheduling, Research, Coding—ist real.
Für die meisten Devs: Start mit einem Hetzner oder DigitalOcean VPS. $5-12/Monat. Isoliert. Wenn es explodiert, verlierst du nichts Wichtiges.
Für Privacy-Focused Setups: Mac Mini M4 Pro 64GB + Ollama + Qwen3-Coder. $2.000 upfront, null laufende API-Kosten, deine Daten verlassen nie dein Netzwerk.
Für alle: Update auf 2026.1.29+. Setz Spending Limits. Installier keine random Skills. Lass es nicht auf deiner Personal Machine laufen.
Das Tool ist mächtig. Die Risiken sind real. Engineer accordingly.