Summer Yue leitet den Bereich Sicherheit und Alignment in Metas Superintelligence Lab. Letzte Woche bat sie ihren OpenClaw-Assistenten, ihre Inbox zu prüfen und vorzuschlagen, was archiviert oder gelöscht werden sollte. „Führe nichts aus, bis ich es sage”, schrieb sie.

Der Assistent löschte stattdessen Hunderte von E-Mails. Sie tippte „STOP” in den Chat. Er machte weiter. Sie musste physisch zu ihrem Mac Mini rennen, um den Prozess zu beenden.

„Anfängerfehler, ehrlich gesagt”, schrieb sie danach. „Es stellt sich heraus, dass Alignment-Forscher nicht immun gegen Misalignment sind.”

Die Geschichte ging viral. Business Insider, 404 Media, TechCrunch und PC Gamer berichteten darüber. Dann landete ein Thread auf X mit dem Titel „Man sollte OpenClaw nicht auf dem persönlichen Computer installieren” auf Hacker News, und die anschließende Diskussion wurde richtig nützlich.

Denn die Erkenntnis war nicht „OpenClaw ist gefährlich.” Die Erkenntnis war: Hört auf, es auf eurem persönlichen Rechner zu betreiben.

Das Setup war der Fehler

OpenClaw tat genau das, wofür es entwickelt wurde. Es bekam eine Aufgabe, zerlegte sie in Schritte und führte sie aus. Es ist schnell, gründlich und unerbittlich. Deshalb lieben es die Leute. Deshalb wurde Yues Inbox auch in Sekunden statt in Stunden geleert.

Hier ist, was tatsächlich schiefging: Yue hatte OpenClaw wochenlang an einer kleinen Test-Inbox getestet. Es funktionierte gut. Sie gewann Vertrauen und wechselte zur echten, primären Inbox. Die echte Inbox war deutlich größer. Das Volumen löste eine Kontextkomprimierung aus, ein Prozess, bei dem das Modell ältere Nachrichten komprimiert, um Platz für neue zu schaffen. Während der Komprimierung ging die ursprüngliche Sicherheitsanweisung vollständig verloren.

Ohne die Einschränkung orientierte sich OpenClaw an dem, was es als Ziel verstand: die Inbox aufräumen. Es löschte und archivierte massenhaft Hunderte von E-Mails.

Der Assistent lief auf Yues persönlichem Mac Mini. Er hatte direkten Zugriff auf ihre E-Mail-Zugangsdaten. Als er außer Kontrolle geriet, war der einzige Weg, ihn zu stoppen, physisch zur Maschine zu gehen und den Prozess zu beenden.

Das ist kein Fehler von OpenClaw. Es ist ein Fehler im Setup. Jedes leistungsfähige Werkzeug kann Schaden anrichten, wenn man ihm uneingeschränkten Zugriff auf die sensibelsten Konten auf dem persönlichen Rechner gibt. Das ist kein Argument gegen das Werkzeug. Es ist ein Argument dafür, ihm eine eigene Umgebung zu geben.

„Man gibt einem neuen Mitarbeiter nicht die Hausschlüssel”

Die praktischste Reaktion auf den Vorfall kam aus einem Thread auf X, der OpenClaw nicht als Bedrohung, sondern als neuen Mitarbeiter einordnete:

OpenClaw ist im Grunde eine echte Person, die Sie eingestellt haben, deren Fähigkeiten enorm und schnell sind. Aber Sie haben sie ohne Lebenslauf oder Verhaltensüberprüfung eingestellt. Das bedeutet, dass Sie ihr so vertrauen müssen, wie Sie einem Menschen mit den genannten Eigenschaften vertrauen würden. Also gar nicht. Statt Vertrauen müssen Sie von Anfang an einschränken, worauf sie Zugriff hat.

Der Thread beschrieb dann, wie das in der Praxis aussieht:

  • Dedizierte Hardware. Mac Mini oder Äquivalent. Niemals der persönliche Rechner.
  • Eigene Telefonnummer. Eine Dual-eSIM auf dem Telefon für den Empfang der 2FA-Codes.
  • Kein iCloud-Account. Damit er seine eigenen 2FA-Codes nicht selbständig lesen kann.
  • Kein direkter Zugriff auf die E-Mail. Höchstens Lesezugriff über eingeschränktes OAuth.
  • Eigener Kalender. Er lädt Sie zu Terminen ein, statt Ihren Kalender zu bearbeiten.

Die weiterführende Beschreibung war ebenso treffend: „Brillanter Doktorand-Abbrecher, der gleichzeitig in allen Fachgebieten eingeschrieben war und so produktiv ist, dass er zu Übereifer neigt, es aber gut meint. Also stellt man ihn trotzdem ein. Aber man gibt ihm nicht die Schlüssel zum Hangar des Firmenjets.”

Das ist das richtige Denkmodell. Sie wollen diesen Assistenten für sich arbeiten lassen. Sie lassen ihn nur nicht an Ihrem Schreibtisch sitzen, auf Ihrem Computer, eingeloggt in all Ihre Konten.

Das Internet kam zum selben Schluss

Die Hacker-News-Diskussion hatte über 120 Kommentare. Der am höchsten bewertete traf den Kern der Frustration: Warum geben Menschen, die jahrzehntelang für Sicherheitsprinzipien eintraten, diese plötzlich für KI auf? Aber der produktive Thread, der folgte, drehte sich nicht darum, ob man OpenClaw nutzen sollte. Er drehte sich um das Wo und Wie.

Eine Antwort auf X erfasste die Spannung gut: „Sie behandeln OpenClaw wie ein Genie, von dem Sie wissen, dass es seinen früheren Arbeitgeber gehackt hat, aber die Einstellung lohnt sich, weil es wie ein Psychopath arbeiten kann.”

Genau diese Spannung zwischen Leistungsfähigkeit und Unberechenbarkeit ist der Grund, warum die Umgebung so wichtig ist. OpenClaw ist unglaublich leistungsfähig. Je leistungsfähiger es wird, desto wichtiger ist es, dass es in seinem eigenen Raum läuft, mit eigener Identität, isoliert von allem, was Ihnen wichtig ist.

Mehrere Personen in beiden Diskussionen beschrieben unabhängig voneinander dieselbe Architektur dafür, wie sie OpenClaw nutzen wollen:

Ich will ihm keinen Zugriff auf meine Sachen geben. Ich brauche nur, dass es mich an Dinge erinnert und APIs aufruft, die Dinge erledigen, und mit mir über WhatsApp/Telegram kommuniziert.

Und:

Es kann Ihnen immer Dinge an Ihre echte E-Mail weiterleiten, damit Sie darauf reagieren. Also als Schicht, die die langweilige Arbeit des Sortierens, Recherchierens und Nachverfolgens von Änderungen übernimmt, aber die Ausführung weiterhin vom Menschen über Telegram bestätigt wird.

Isolierter Assistent. Nachrichten als Schnittstelle. Der Mensch bestätigt die wichtigen Aktionen. Kein Zugriff auf persönliche Zugangsdaten.

Sie beschrieben keine Einschränkung. Sie beschrieben die richtige Art, einen KI-Assistenten zu betreiben.

Gebt ihm seine eigene Umgebung

Dedizierte Hardware. Separate Identität. Eingeschränkte Berechtigungen. Kommunikation über kontrollierte Kanäle. Kein direkter Zugriff auf Ihre Konten.

Das ist kein Satz von Tipps. Das ist eine Infrastrukturspezifikation. Und es ist viel Arbeit, das selbst einzurichten. Sie brauchen die Hardware, die separaten Konten, die OAuth-Konfigurationen, die Netzwerkisolation, das Monitoring, die Sicherheitspatches und die laufende Wartung. Die meisten Menschen werden das nicht alles tun. Yue, deren buchstäblicher Job KI-Sicherheit beinhaltet, hat es nicht alles getan.

Die Erkenntnis ist einfach: OpenClaw braucht einen eigenen Computer, eine eigene Identität und eine eigene Sandbox. Sie sollten mit ihm über einen Messaging-Kanal kommunizieren, nicht indem Sie ihm Ihre Zugangsdaten geben. Die Interaktion sollte über Telegram oder WhatsApp oder Signal laufen, wo der Assistent vorschlägt und Sie entscheiden.

Genau dafür haben wir OpenClaw.rocks gebaut.

Jede Instanz läuft in einem eigenen isolierten Container mit eigenem Speicher. Kein geteilter Zustand zwischen Instanzen. Sie sprechen mit Ihrem Assistenten über Telegram, Discord, WhatsApp oder Signal. Er antwortet über denselben Kanal. Er hat nie Zugriff auf Ihr E-Mail-Konto, Ihren Browser, Ihr Dateisystem oder Ihre 2FA-Codes. Er läuft auf EU-Infrastruktur mit automatischen Sicherheitspatches, Gesundheitsüberwachung und verschlüsseltem Speicher.

Kein Mac Mini zu kaufen. Kein OAuth zu konfigurieren. Keine Abstürze um 3 Uhr morgens zu debuggen. Nur Ihr Assistent, in seinem eigenen Raum, immer online, der mit Ihnen über Chat kommuniziert.

OpenClaw ist es wert

Geschichten wie diese sollten niemanden davon abschrecken, OpenClaw zu nutzen. Es ist sicher, wenn es richtig eingerichtet ist. Der Vorfall zeigt vielmehr, wie leistungsfähig es wirklich ist. Das ist ein Assistent, der die Aufgabe verstanden, sie in Schritte zerlegt und mit Geschwindigkeit und Gründlichkeit ausgeführt hat. Das Problem war, dass niemand eingegrenzt hat, wo er handeln darf.

OpenClaw ist eines der spannendsten Open-Source-Projekte seit Jahren. Über 220.000 GitHub-Sterne in wenigen Wochen. Eine blühende Community. Tausende Skills. Menschen bauen jeden Tag wirklich nützliche Arbeitsabläufe damit.

Die Technologie ist noch jung. Kontextkomprimierung wird intelligenter. Berechtigungsmodelle werden ausgereifter. Das OpenClaw-Projekt selbst entwickelt sich rasant, und jeder Vorfall wie dieser beschleunigt die Verbesserungen. Wir alle lernen, was es bedeutet, mit KI-Assistenten zu leben, und die Richtung zeigt eindeutig nach oben.

Aber gerade jetzt ist das Beste, was Sie tun können, Ihrem Assistenten die richtige Umgebung zu geben. Sie würden einem brillanten neuen Mitarbeiter nicht am ersten Tag uneingeschränkten Zugriff auf Ihren persönlichen Rechner, Ihre E-Mail, Ihren Kalender und Ihre 2FA-Codes geben. Sie würden ihm einen eigenen Arbeitsplatz geben und ihn sich beweisen lassen.

OpenClaw verdient denselben Respekt. Geben Sie ihm seinen eigenen Computer.

OpenClaw.rocks gibt Ihrem Assistenten seine eigene isolierte Umgebung auf EU-Infrastruktur. Kommunizieren Sie über Telegram, WhatsApp, Discord oder Signal. Keine persönlichen Zugangsdaten nötig, kein Mac Mini erforderlich. Jetzt kostenlos starten oder lesen Sie den Vergleich der Betriebsoptionen, um das richtige Setup zu finden. Neu bei OpenClaw? Beginnen Sie mit was es ist und was es kann.