OpenClaw noch nicht installiert? Hier klicken fur die Ein-Klick-Installationsanleitung
curl -fsSL https://openclaw.ai/install.sh | bashiwr -useb https://openclaw.ai/install.ps1 | iexcurl -fsSL https://openclaw.ai/install.cmd -o install.cmd && install.cmd && del install.cmd- OpenClaw ist im Kern ein Agent mit vollstandiger Kontrolle uber Ihren Computer -- es kann jede Datei lesen, jeden Befehl ausfuhren und auf jeden Netzwerkdienst zugreifen. Sicherheit ist keine Option, sondern eine Grundvoraussetzung[1]
- Die im Februar 2026 aufgedeckte Schwachstelle CVE-2026-25253 bestatigt: Ein falsch konfiguriertes OpenClaw kann von einem entfernten Angreifer mit einem Klick ubernommen werden, um beliebigen Code auszufuhren[3]
- Die Docker-Sandbox bietet die starkste Isolierung -- sie trennt die Ausfuhrungsumgebung des Agenten vollstandig vom Host-System, sodass selbst bei anomalem Agentenverhalten Ihr Host-Rechner nicht beeintrachtigt wird[4]
- Skill-Supply-Chain-Angriffe sind derzeit der am meisten unterschatzte Risikovektor -- jede
skill.mdkann bosartige Anweisungsvorlagen enthalten, die das LLM dazu verleiten, gefahrliche Operationen auszufuhren[1]
1. Risikolandschaft: Warum benotigen AI-Agenten besondere Behandlung?
Herkommliche AI-Anwendungen (wie die ChatGPT-Weboberflache) laufen in Cloud-Sandboxen. Selbst wenn die AI eine problematische Ausgabe erzeugt, kann sie nichts wirklich „tun". OpenClaw ist jedoch anders -- es ist auf Ihrem Computer installiert, lauft unter Ihrer Benutzeridentitat und verfugt uber dieselben Systemberechtigungen wie Sie.[8]
Das bedeutet, dass jede Entscheidung des AI-Agenten reale Konsequenzen haben kann: Dateien loschen, Einstellungen andern, Netzwerkanfragen senden, Software installieren. CrowdStrike beschreibt dieses Modell in seinem Analysebericht als „LLM-gesteuerten Remote Access Trojaner (RAT)" -- nicht weil OpenClaw selbst Schadsoftware ist, sondern weil sein Fahigkeitsmodell auf technischer Ebene nahezu identisch mit einem RAT ist.[1]
2. OpenClaws Sicherheitsmechanismen
2.1 Gateway-Token-Authentifizierung
Der Gateway Token ist die erste Verteidigungslinie von OpenClaw. Alle Anfragen an das Gateway -- ob von der CLI, der Web-UI oder Kommunikationskanalen -- mussen einen gultigen Token mitfuhren.[5]
Token-Verwaltung:
# Neuen Token generieren
openclaw doctor --generate-gateway-token
# Speicherort des Tokens
~/.openclaw/openclaw.json → gateway.auth.tokenGrundprinzip: Der Token muss geheim gehalten werden. Jeder, der den Token erlangt, kann Ihren Agenten vollstandig kontrollieren.
2.2 Pairing-Mechanismus
Kommunikationskanale (Telegram, WhatsApp usw.) verwenden einen zusatzlichen Pairing-Mechanismus. Selbst wenn jemand den Benutzernamen Ihres Bots kennt, kann ohne abgeschlossenes Pairing kein Befehl erteilt werden.[4]
2.3 DM Policy und Group Policy
Uber DM Policy und Group Policy konnen Sie prazise steuern, welche Benutzer mit dem Agenten interagieren durfen. Die sicherste Einstellung ist owner_only -- nur der Besitzer, der das Pairing abgeschlossen hat, kann den Agenten verwenden.
2.4 Docker-Sandbox
Die Docker-Sandbox ist derzeit die starkste Isolierungslosung. Wenn OpenClaw in Docker ausgefuhrt wird:[4]
- Die Dateisystemoperationen des Agenten sind auf das Innere des Containers beschrankt
- Der Netzwerkzugriff kann uber Docker-Netzwerkrichtlinien gesteuert werden
- Selbst wenn der Agent bosartige Befehle ausfuhrt, ist der Wirkungsbereich auf den Container begrenzt
- Container konnen jederzeit zerstort und neu erstellt werden, ohne das Host-System zu beeintrachtigen
# OpenClaw im Docker-Modus starten (empfohlen fur Produktionsumgebungen)
docker compose up -d3. Sechs Bedrohungsvektoren
3.1 Prompt Injection
Dies ist ein universelles Risiko fur alle LLM-Anwendungen, aber im Agenten-Szenario besonders gefahrlich.[7] Angreifer konnen bosartige Anweisungen in Webseiteninhalte, E-Mails oder Dokumente einbetten. Wenn der Agent diese Inhalte liest, kann er dazu verleitet werden, gefahrliche Operationen auszufuhren.
Pravention: Seien Sie wachsam gegenuber externen Inhalten, die der Agent liest. Vermeiden Sie es, den Agenten automatisch Inhalte aus nicht vertrauenswurdigen Quellen verarbeiten zu lassen.
3.2 Skill-Supply-Chain-Angriffe
OpenClaw Skills sind reine Text-Dateien im Format skill.md, die jeder verfassen und veroffentlichen kann. Ein bosartiger Skill kann Anweisungen in den System-Prompt einschleusen und den Agenten dazu bringen, bei scheinbar normalen Operationen gefahrliche Aktionen auszufuhren.[1]
Pravention: Installieren Sie Skills nur uber den offiziellen ClawHub; lesen Sie vor der Installation den vollstandigen Inhalt der skill.md.
3.3 Gateway-Exponierung
Das Gateway im remote-Modus ohne Token oder TLS zu betreiben, ist gleichbedeutend damit, einen Dienst im offentlichen Netz zu offnen, der die Remotausfuhrung beliebiger Befehle ermoglicht. CVE-2026-25253 nutzte genau diesen Konfigurationsfehler aus.[3]
Pravention: Der Remote-Modus muss mit Token + TLS kombiniert werden; verwenden Sie eine Firewall, um den zuganglichen IP-Bereich einzuschranken.
3.4 Zugangsdaten-Leckage
Der Agent kann wahrend der Ausfuhrung auf API-Schlussel, Datenbankpassworter und andere sensible Informationen zugreifen und Spuren in Gesprachsprotokollen oder Logdateien hinterlassen.
Pravention: Verwenden Sie Umgebungsvariablen statt Dateien zur Speicherung von Geheimnissen; bereinigen Sie regelmasig den Gesprachsverlauf und die Logdateien.
3.5 Modell-Berechtigungsuberschreitung
LLMs konnen aufgrund von Verzerrungen in den Trainingsdaten oder Missverstandnissen bei Anweisungen Operationen ausfuhren, die uber Ihre Absicht hinausgehen -- zum Beispiel wenn Sie das Bereinigen temporarer Dateien anfordern, aber wichtige Konfigurationsdateien geloscht werden.
Pravention: Testen Sie jeden neuen Aufgabentyp in einer Sandbox-Umgebung, bevor Sie ihn produktiv einsetzen.
3.6 Datenabfluss
Der Agent sendet Ihre Dateiinhalte zur Inferenzverarbeitung an den LLM-Anbieter. Sensible Geschaftsdaten, Quellcode oder personliche Informationen konnen dadurch Ihren Kontrollbereich verlassen.[2]
Pravention: Verwenden Sie fur sensible Daten lokale Modelle (wie Ollama); bestatigen Sie die Datenverarbeitungsrichtlinien des LLM-Anbieters.
4. Checkliste fur die sichere Bereitstellung
Im Folgenden finden Sie unsere empfohlenen Schritte fur eine sichere Bereitstellung, nach Prioritat geordnet:
| Prioritat | Massnahme | Umsetzung |
|---|---|---|
| Erforderlich | Gateway Token einrichten | openclaw doctor --generate-gateway-token |
| Erforderlich | Local-Modus beibehalten (es sei denn, Fernzugriff ist tatsachlich erforderlich) | openclaw config set gateway.mode local |
| Erforderlich | Auf die neueste Version aktualisieren | npm update -g openclaw |
| Dringend empfohlen | Docker-Sandbox verwenden | Bereitstellung mit Docker Compose |
| Dringend empfohlen | Alle installierten Skills uberprufen | ~/.openclaw/skills/*/skill.md prufen |
| Empfohlen | Remote-Modus mit TLS | Nginx Reverse Proxy + Let's Encrypt |
| Empfohlen | Kanalzugriff auf owner_only beschranken | openclaw config set channels.*.dmPolicy owner_only |
| Erweitert | Netzwerksegmentierung | OpenClaw in einem separaten VLAN bereitstellen |
5. Besondere Uberlegungen fur Unternehmensumgebungen
Wenn Ihre Organisation eine Unternehmensbereitstellung von OpenClaw evaluiert, sollten die folgenden Faktoren in die Sicherheitsbewertung einfliessen:[6]
- Datenklassifizierung: Definieren Sie klar, auf welche Datenstufe der Agent zugreifen darf. Vertrauliche Daten sollten nicht in einem fur den Agenten erreichbaren Dateisystem vorhanden sein
- Compliance-Anforderungen: Stellen Sie sicher, dass die Datenverarbeitung des LLM-Anbieters den Branchenvorschriften entspricht (DSGVO, HIPAA usw.)
- Audit-Protokolle: Aktivieren Sie vollstandige Betriebsprotokollierung, um sicherzustellen, dass jede Agentenaktion nachvollziehbar ist
- Zugriffskontrolle: Verwenden Sie Group Policy und Allowlists, um den Kreis der Mitarbeiter einzuschranken, die den Agenten nutzen durfen
- Incident Response: Erstellen Sie einen Reaktionsplan fur anomales Agentenverhalten, einschliesslich eines Notfall-Stopp-Verfahrens
Fazit
OpenClaw ist ein leistungsfahiges Werkzeug, aber Leistungsfahigkeit bedeutet auch Risiko.[8] Die richtige Sicherheitskonfiguration schrankt nicht seine Fahigkeiten ein, sondern stellt sicher, dass diese Fahigkeiten stets unter Ihrer Kontrolle bleiben.
Die Mindestsicherheitsmassnahmen -- Gateway Token, Local-Modus, neueste Version -- lassen sich in wenigen Minuten umsetzen. Wenn Sie eine fortgeschrittenere Sicherheitsarchitektur benotigen, empfehlen wir die Docker- und Reverse-Proxy-Kapitel in unserem Gateway-Bereitstellungsleitfaden oder kontaktieren Sie unser Beratungsteam fur eine Sicherheitsbewertung.
