{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreigneoesamm2inp3uwfvhe3ovkifhz7s5l4vmrjlra2bqbh6n563ky",
"uri": "at://did:plc:m6s5bdv7c4bou4jo4zrnznrt/app.bsky.feed.post/3mev6nozcnpe2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreiek23lxzwdwifvzjuwqzyiyhovozxwaomvwezapeahsozuz7kjoda"
},
"mimeType": "image/jpeg",
"size": 205105
},
"description": "Update 16.02.2026\n\nGrößtes Sicherheitsupdate und OpenAI übernimmt OpenClaw\n\nEinen Tag nach Veröffentlichung dieses Artikels hat OpenClaw Version 2026.2.12 veröffentlicht. Das bisher größte Sicherheitsupdate. Über 40 Schwachstellen wurden behoben. Inhalte aus dem Internet werden jetzt automatisch als \"nicht vertrauenswürdig\" behandelt, bevor der KI-Agent sie verarbeitet. Gefährliche Funktionen sind standardmäßig gesperrt statt erlaubt. Und wer OpenClaw neu installiert, bekommt automatisch ein Sic",
"path": "/ki-agent-sicherheit-openclaw/",
"publishedAt": "2026-02-15T09:06:22.000Z",
"site": "https://www.christos.studio",
"tags": [
"Version 2026.2.12",
"OpenClaw wird Foundation ✺ Der OpenAI-Deal erklärtPeter Steinberger wechselt zu OpenAI, OpenClaw wird Foundation. Was der Deal für die Zukunft von KI-Agenten bedeutet.Studio Christos ✺ KI Kreative IntelligenzStudio Christos",
"135.000 offene Instanzen im Netz",
"jedes fünfte Paket Schadsoftware enthält",
"OpenClaw das am schnellsten wachsende Open-Source-Projekt in der Geschichte von GitHub",
"baue Projekte mit künstlicher Intelligenz",
"als jemand, der Nutzererlebnisse gestaltet",
"CVE-2026-25253",
"dokumentiert und gepatcht",
"Cybersicherheitsagentur Baden-Württemberg",
"Snyk hat fast 4.000 Skills analysiert",
"eine einzige präparierte E-Mail reichte aus",
"Peter Steinberger",
"OpenClaw Gründer Peter Steinberger. Von Burnout zu OpenAI.Wer ist Peter Steinberger? Vom 100-Mio-Exit über Burnout zu OpenClaw und OpenAI. Die Geschichte des Österreichers, der KI-Agenten neu definiert.Studio Christos ✺ KI Kreative IntelligenzStudio Christos",
"Drei-Schichten-Modell für die Sicherheit",
"über 135.000 Instanzen haben genau das ignoriert",
"über VirusTotal gescannt",
"KI-Modelle",
"Discord",
"Cybersicherheitsagentur Baden-Württemberg hat eine offizielle Warnung herausgegeben",
"Kaspersky hat die Schwachstellen dokumentiert",
"künstliche Intelligenz",
"The Decoder",
"Cybersicherheit BW",
"Security Insider",
"Bitdefender",
"Snyk",
"Kaspersky",
"The Hacker News",
"veganmosfet",
"Adversa.ai"
],
"textContent": "## Update 16.02.2026\n\n**Größtes Sicherheitsupdate und OpenAI übernimmt OpenClaw**\n\nEinen Tag nach Veröffentlichung dieses Artikels hat OpenClaw Version 2026.2.12 veröffentlicht. Das bisher größte Sicherheitsupdate. Über 40 Schwachstellen wurden behoben. Inhalte aus dem Internet werden jetzt automatisch als \"nicht vertrauenswürdig\" behandelt, bevor der KI-Agent sie verarbeitet. Gefährliche Funktionen sind standardmäßig gesperrt statt erlaubt. Und wer OpenClaw neu installiert, bekommt automatisch ein Sicherheits-Token. Bisher stand die Tür bei vielen Installationen buchstäblich offen. Wer OpenClaw nutzt: sofort updaten. Wer noch wartet: gute Entscheidung, es wird sicherer.\n\n**Und dann die Nachricht, die alles verändert**\n\nPeter Steinberger wechselt zu OpenAI. OpenClaw wird eine unabhängige Foundation. Was das für das Projekt, die Community und die Zukunft von KI-Agenten bedeutet, habe ich in einem eigenen Artikel eingeordnet:\n\nOpenClaw wird Foundation ✺ Der OpenAI-Deal erklärtPeter Steinberger wechselt zu OpenAI, OpenClaw wird Foundation. Was der Deal für die Zukunft von KI-Agenten bedeutet.Studio Christos ✺ KI Kreative IntelligenzStudio Christos\n\n* * *\n\n## OpenClaw Sicherheit – KI-Agent Sicherheit erklärt\n\nFünf Sicherheitslücken in drei Wochen. 135.000 offene Instanzen im Netz. Ein Plugin-Marktplatz, in dem jedes fünfte Paket Schadsoftware enthält. Das klingt nach einem Projekt, von dem man die Finger lassen sollte.\n\nUnd gleichzeitig ist OpenClaw das am schnellsten wachsende Open-Source-Projekt in der Geschichte von GitHub. Über 195.000+ Sterne, hunderttausende Downloads, eine Community, die sich überschlägt vor Begeisterung. Der KI-Agent, der nicht nur antwortet, sondern handelt. Auf deinem Rechner. Mit Zugriff auf deine Dateien, deine Nachrichten, dein digitales Leben.\n\nWie passt das zusammen? Vermutlich gar nicht. Und genau das macht es so spannend – und so wichtig, ehrlich hinzuschauen.\n\nIch bin kein Sicherheitsexperte. Ich bin UX-Designer mit einer Ausbildung als Fachinformatiker, ich arbeite und baue Projekte mit künstlicher Intelligenz. Aber ich lerne ständig dazu. Und bei OpenClaw habe ich mir die Frage gestellt, die mich als jemand, der Nutzererlebnisse gestaltet, am meisten beschäftigt:\n\n> \"_Was passiert, wenn jemand das benutzt, der keine Ahnung von Sicherheit hat?_ \"\n\nDie Antwort ist unbequem.\n\n## Was wirklich passiert ist\n\nIm Januar 2026 haben Sicherheitsforscher weltweit OpenClaw auseinandergenommen. Die kritischste Lücke, CVE-2026-25253, ermöglichte es Angreifern, über einen einzigen Link die Kontrolle über einen Rechner zu übernehmen. Der Browser des Opfers diente als Brücke – ein Klick, und die Sandbox war deaktiviert. Das ist kein Worst-Case-Szenario aus einem Lehrbuch. Das ist dokumentiert und gepatcht, seit Version v2026.1.29. Die Cybersicherheitsagentur Baden-Württemberg hat dazu einen offiziellen Sicherheitshinweis veröffentlicht.\n\nAber das war nur der Anfang. Der ClawHub-Marktplatz, über den Nutzer Erweiterungen installieren, wurde zum Einfallstor. Snyk hat fast 4.000 Skills analysiert und dabei Hunderte bösartige Pakete identifiziert, die Passwörter stehlen, Daten abgreifen oder sich als nützliche Tools tarnen. Darunter sogar das bestplatzierte Plugin im gesamten Verzeichnis. Funktional, ja. Aber nebenbei hat es im Hintergrund Daten abgesaugt.\n\n> Stell dir vor, du lädst eine App aus dem App Store, die auf Platz 1 steht – und sie ist Malware. So ungefähr.\n\n## Und dann ist da noch Prompt Injection\n\nDas ist das Problem, das niemand lösen kann. Nicht OpenClaw. Nicht Anthropic. Nicht OpenAI. Kein KI-Agent kann zuverlässig unterscheiden, ob eine Anweisung von dir kommt oder von einer manipulierten E-Mail, die er gerade gelesen hat. Ein Sicherheitsforscher hat genau das demonstriert: eine einzige präparierte E-Mail reichte aus, um OpenClaw dazu zu bringen, ein bösartiges Repository zu klonen und die eigene Konfiguration zu überschreiben – ohne einen einzigen Klick des Nutzers. Peter Steinberger, der Entwickler hinter OpenClaw, sagt das selbst. Die offizielle Dokumentation schreibt es schwarz auf weiß: Prompt Injection ist ein branchenweites, ungelöstes Problem.\n\nDas ist keine Panikmache. Das ist der Stand der Technik im Februar 2026.\n\nOpenClaw Gründer Peter Steinberger. Von Burnout zu OpenAI.Wer ist Peter Steinberger? Vom 100-Mio-Exit über Burnout zu OpenClaw und OpenAI. Die Geschichte des Österreichers, der KI-Agenten neu definiert.Studio Christos ✺ KI Kreative IntelligenzStudio Christos\n\n## Was du tun kannst\n\nUnd jetzt der Teil, der mich als jemand, der mit Terminal und Konfigurationsdateien nicht zum ersten Mal arbeitet, etwas beruhigt: OpenClaw ist so sicher, wie du es konfigurierst. Das Problem ist gleichzeitig die Chance.\n\nPeter Steinberger hat dazu eine klare Haltung. Er findet, dass viele die Risiken übertreiben. Aber er sagt auch: \"_Wenn du nicht weißt, was ein Terminal ist, solltest du warten._ \" OpenClaw empfiehlt ein Drei-Schichten-Modell für die Sicherheit. Identität zuerst, dann Berechtigungen einschränken, dann davon ausgehen, dass das KI-Modell manipuliert werden kann, und den Schaden begrenzen.\n\n### Konkret heißt das für jeden, der OpenClaw nutzen will:\n\n 1. **Gateway nur lokal binden.** Nicht ins offene Internet stellen. Klingt simpel, aber über 135.000 Instanzen haben genau das ignoriert. Wer remote zugreifen will, nutzt Tailscale statt offene Ports.\n 2. **Nur Skills installieren, die du verstehst.** Der Marktplatz wird zwar seit Februar über VirusTotal gescannt, aber das fängt längst nicht alles ab. Im Zweifel: Wenn du den Code nicht lesen kannst, installiere es nicht.\n 3. **Das beste verfügbare Modell verwenden.** Günstigere, kleinere Modelle sind deutlich anfälliger für Manipulation. Die offizielle Empfehlung: Claude Opus 4.6. Steinberger warnt explizit vor billigen lokalen Modellen. Diese KI-Modelle verwende ich.\n 4. **Den eingebauten Security Audit nutzen.** `openclaw security audit --deep` prüft Konfiguration, offene Ports, Dateiberechtigungen und Plugin-Risiken. Kostet zwei Minuten. Kann viel verhindern.\n 5. **Sensible Daten fernhalten.** Am besten auf einer separaten Maschine oder in einer virtuellen Umgebung starten. Kein Zugriff auf echte E-Mails, Bankdaten oder wichtige Dokumente – jedenfalls nicht am Anfang.\n\n\n\n## KI besser nutzen ✺ Der Newsletter dafür\n\nWelche KI-Risiken echt sind und welche Panikmache – ich sortiere das für dich.\n\nAnmelden\n\nEmail sent! Check your inbox to complete your signup.\n\n## Was das eigentlich bedeutet\n\nIch sitze hier und schreibe eine Sicherheits-Checkliste, und merke gleichzeitig: Das ist genau das Problem.\n\nDenn wer von den Menschen, die gerade begeistert OpenClaw installieren, liest Checklisten? In Peters Discord haben Leute gefragt, was ein Terminal ist – und es trotzdem installiert. Die Cybersicherheitsagentur Baden-Württemberg hat eine offizielle Warnung herausgegeben. Kaspersky hat die Schwachstellen dokumentiert. Und trotzdem zeigen die Zahlen, dass in vielen Unternehmen Mitarbeiter den KI-Agenten bereits ohne Wissen der IT-Abteilung nutzen.\n\nDas ist der Punkt, an dem mein UX-Hirn anspringt. Ein Werkzeug kann noch so mächtig sein – wenn die Sicherheit davon abhängt, dass jeder Nutzer eine Konfigurationsdatei versteht, dann ist das kein Sicherheitskonzept. Das ist Hoffnung.\n\n> Freiheit bedeutet Verantwortung. Aber Verantwortung setzt voraus, dass du weißt, wofür du verantwortlich bist.\n\nPeter Steinberger arbeitet daran. Er hat einen erfahrenen Security-Spezialisten eingestellt, die VirusTotal-Integration läuft, und er hat angekündigt, dass OpenClaw erst dann wirklich einfach werden soll, wenn es sicher genug ist. Das ist ehrlich. Und in einer Welt, in der jedes Startup zuerst skaliert und dann über Sicherheit nachdenkt, ist das bemerkenswert.\n\nTrotzdem bleibt die Realität: Prompt Injection ist architekturbedingt nicht lösbar. Nicht heute. Vielleicht nicht morgen. Ein KI-Agent mit Systemzugriff ist, wie die offizielle Doku es formuliert, \"_spicy_ \". Und das ist ein Understatement für etwas, das dein gesamtes digitales Leben offenlegen kann, wenn du nicht aufpasst.\n\nIch nutze künstliche Intelligenz jeden Tag. Ich bin fasziniert von dem, was KI-Agenten möglich machen. Aber fasziniert und naiv sind zwei verschiedene Dinge. OpenClaw ist kein Spielzeug. Es ist ein Werkzeug mit echtem Potenzial und echten Risiken. Wer das versteht und bereit ist, die Verantwortung dafür zu übernehmen, kann damit Erstaunliches bauen. Wer das nicht versteht, sollte warten.\n\n> Warten ist keine Schwäche. Warten ist der klügste Sicherheitsmechanismus, den es gibt.\n\nStudio Christos ✺ KI Kreative Intelligenz\n\n### Quellen & Recherche\n\nAlle Fakten in diesem Artikel basieren auf öffentlich zugänglichen Analysen, Sicherheitshinweisen und Berichten. Wer tiefer einsteigen will – hier sind meine Quellen.\n\n01 The Decoder – CVE-2026-25253 Analyse\n\n02 Cybersicherheit BW – Offizieller Sicherheitshinweis\n\n03 Security Insider – ClawHub Sicherheitsrisiko\n\n04 Bitdefender – 135.000 offene Instanzen\n\n05 Snyk – ToxicSkills ClawHub-Analyse\n\n06 Kaspersky – Schwachstellen-Dokumentation\n\n07 The Hacker News – One-Click RCE Patch\n\n08 The Hacker News – VirusTotal-Integration\n\n09 veganmosfet – Zero-Click E-Mail RCE\n\n10 Adversa.ai – Hardening Guide 2026\n\n## Der Newsletter, der dir KI erklärt, so wie es ein Kumpel tun würde.\n\nKI-Agenten, Sicherheit, was funktioniert und was nicht – ohne Technik-Jargon.\n\nAnmelden\n\nEmail sent! Check your inbox to complete your signup.",
"title": "Wie sicher ist OpenClaw? ✺ Was du wissen musst, bevor du startest",
"updatedAt": "2026-02-23T09:32:44.502Z"
}