Am Dienstag stand Jensen Huang auf der Bühne der Morgan Stanley TMT-Konferenz und sagte etwas Bemerkenswertes.

„OpenClaw ist wahrscheinlich die wichtigste Softwareveröffentlichung, wahrscheinlich überhaupt jemals. Wenn man sich die Adoption anschaut, hat Linux etwa 30 Jahre gebraucht, um dieses Niveau zu erreichen. OpenClaw hat Linux in drei Wochen bereits übertroffen.”

Er bezeichnete die Adoptionskurve als „steil” und „vertikal”, selbst auf einer logarithmischen Skala. Er beschrieb Agenten, die Werkzeughandbücher im laufenden Betrieb lesen, Recherchen autonom durchführen, Code ohne menschliche Aufsicht iterieren und dauerhaft im Hintergrund laufen. Er skizzierte eine Welt, in der jedes Softwareunternehmen zu einem „agentischen Unternehmen” wird.

In nichts davon irrt er sich.

Aber zwischen Standing Ovation und einem funktionierenden Agenten klafft eine Lücke, über die auf der Bühne niemand sprach. Zehntausende Menschen sind bereits hineingefallen.

Was Jensen sagte

Huangs These ist geradlinig und sie ist gut für NVIDIA. Standard-AI-Anfragen erzeugen eine einzelne Antwort. Agentische Aufgaben verbrauchen ungefähr 1.000-mal mehr Token. Dauerhaft laufende Hintergrundagenten, genau die Art, die OpenClaw ermöglicht, verbrauchen ungefähr 1.000.000-mal mehr Token. Das ist ein strukturelles „Compute-Vakuum”, das bedeutet, dass die GPU-Nachfrage das Angebot über Jahre hinweg übersteigen wird.

Er hat Recht. OpenClaw-Agenten sind keine Einmal-Chatbots. Sie laufen in Schleifen. Sie beobachten, schlussfolgern, handeln, beobachten erneut. Eine einzige Benutzeranfrage kann Hunderte von LLM-Aufrufen auslösen. Multiplizieren Sie das mit Millionen von Agenten, die rund um die Uhr laufen, und Sie erhalten eine Nachfrage nach Rechenleistung, die einen NVIDIA-CEO sehr glücklich macht.

Er belegte auch die Adoptionszahlen. OpenClaw erreichte 250.000 GitHub-Sterne in vier Monaten und überholte React als das Softwareprojekt mit den meisten Sternen auf GitHub. Es erreichte 190.000 Sterne in den ersten 14 Tagen und wurde zum am schnellsten wachsenden Repository in der Geschichte der Plattform.

Diese Zahlen sind real. Die Nachfrage ist real. Die Technologie funktioniert.

Aber Adoptionsgeschwindigkeit und Produktionsreife sind nicht dasselbe.

Der Teil, den niemand erwähnte

Sicherheitsforscher verfolgen die Konsequenzen. Bitsight veröffentlichte einen Bericht über offengelegte OpenClaw-Instanzen, der Zehntausende dokumentiert, die offen im öffentlichen Internet stehen, die meisten mit schwacher oder fehlender Authentifizierung. Jeder konnte auf den Agenten, seine verbundenen Konten, seine API-Schlüssel und den vollen Shell-Zugriff zugreifen.

Das sind nicht ein paar falsch konfigurierte Server. Das ist ein systemisches Muster.

In derselben Woche katalogisierten Forscher über 800 bösartige Skills in ClawHub, dem offiziellen Skill-Marktplatz. Das entsprach etwa 20 % des gesamten Registers zu diesem Zeitpunkt. Einige davon exfiltrierten API-Schlüssel. Andere richteten Reverse Shells ein. Mindestens einer injizierte sich in den System-Prompt des Agenten, um Neustarts zu überdauern.

Anfang Februar deckten Forscher sechs neue Schwachstellen in schneller Folge auf, darunter CVE-2026-25253: eine Ein-Klick-Schwachstelle für Remote-Code-Ausführung mit einem CVSS-Score von 8.8. Wenn Ihr Agent auf einen speziell präparierten Link in einer Nachricht klickte, erhielt ein Angreifer Shell-Zugriff auf Ihren Server.

Nichts davon wurde auf der Morgan Stanley-Konferenz erwähnt. Das musste es auch nicht. Huang war dort, um über Compute-Nachfrage zu sprechen, nicht über Betriebssicherheit. Aber die Menschen, die diesen Vortrag begeistert genug verließen, um ihren ersten Agenten zu deployen, hätten es hören müssen.

Warum das immer wieder passiert

Das Muster ist vorhersehbar. OpenClaw ist so konzipiert, dass es leicht zu installieren ist. Folgen Sie dem Schnellstart, geben Sie Ihren API-Schlüssel und ein Kanaltoken an, und Sie haben in wenigen Minuten einen funktionierenden Agenten. Das Problem ist, dass „funktionierend” und „sicher” unterschiedliche Anstrengungen erfordern.

OpenClaw wird mit schwachen Standard-Authentifizierungseinstellungen ausgeliefert. Das ist eine Designentscheidung, die die Erstnutzungserfahrung auf Kosten der Sicherheit optimiert. Wenn jemand dem Schnellstart auf einem VPS folgt, bekommt er einen funktionierenden Agenten mit einem offenen Webinterface, einem offenen API und Shell-Zugriff auf den Host. Nichts im Standardablauf sagt ihm, dass er Authentifizierung aktivieren, TLS konfigurieren oder den Netzwerkzugriff einschränken soll.

Fügen Sie Browser-Automatisierung hinzu, und die Angriffsfläche wächst. Chromium benötigt Shared Memory, Sandbox-Konfiguration und genügend RAM, um OOM-Kills zu vermeiden. Die meisten VPS-Anleitungen überspringen diese Details. Das Ergebnis: Agenten, die lautlos abstürzen, in einem degradierten Zustand neu starten und verwaiste Prozesse anhäufen.

Dann gibt es die laufenden Pflichten. Updates, wenn CVEs veröffentlicht werden. Überwachung von unkontrollierten API-Schleifen, die über Nacht Hunderte von Dollar verbrennen. Sicherung des Workspace-Verzeichnisses, das den Speicher und die Konfiguration des Agenten enthält. Prüfung von Skills vor der Installation.

Jensen Huang beschrieb eine Welt, in der Agenten „das Handbuch des Werkzeugs lesen” und selbst herausfinden, was zu tun ist. Das stimmt für den Agenten. Es stimmt nicht für die Person, die dafür verantwortlich ist, den Agenten am Leben, aktualisiert und sicher zu halten.

Das Compute-Vakuum ist real, aber das Ops-Vakuum ist es auch

Huangs „Compute-Vakuum”-Framing ist nützlich. Hier ist die Konsequenz, die er nicht erwähnte: Es gibt auch ein Ops-Vakuum.

Jeder einzelne dieser Millionen Agenten braucht Infrastruktur. Nicht nur einen Server, sondern TLS-Terminierung, Authentifizierung, Netzwerkisolierung, automatische Updates, Gesundheitsüberwachung, Kostenkontrolle und Backup-Systeme. Das ist ein Vollzeitjob für einen einzigen Agenten. Für eine Organisation mit fünf oder zehn ist es ein ganzes Team.

Die Ironie: Die Menschen, die nach Jensens Rede am meisten von OpenClaw begeistert waren, sind diejenigen, die diese Infrastruktur am wenigsten wahrscheinlich haben. Sie hörten „wichtigste Software aller Zeiten” und gingen direkt zum VPS-Schnellstart. Einige von ihnen sind jetzt Teil der Zahl offengelegter Instanzen.

Was wir stattdessen gebaut haben

Wir betreiben OpenClaw-Agenten beruflich. Jeder Agent, der über OpenClaw.rocks deployt wird, läuft auf unserer Kubernetes-Infrastruktur mit dem Open-Source-Operator, den wir speziell für dieses Problem gebaut haben.

Jeder Agent bekommt:

  • Authentifizierung als Standard. Gateway-Authentifizierung mit signierten Cookies, null exponierte Ports. Es gibt keine Option „Authentifizierung deaktivieren”, weil es keine geben sollte.
  • Netzwerkisolierung. Jeder Agent läuft in seinem eigenen Namespace mit Default-Deny-Egress. Keine laterale Bewegung, kein Zugriff auf andere Mandanten.
  • Automatische Sicherheitspatches. Wenn ein CVE erscheint, rollen wir das Update über alle Agenten aus. Sie müssen kein neues Image ziehen, es testen, Ihren Container neu starten und hoffen, dass nichts kaputtgeht.
  • Ressourcenlimits und Kostenkontrolle. Garantierte QoS mit CPU- und Speicherlimits. Keine unkontrollierten Schleifen, die Ihr API-Budget um 3 Uhr morgens aufbrauchen.
  • Gesundheitsüberwachung. Liveness- und Readiness-Probes. Wenn ein Agent abstürzt, startet er automatisch neu. Sie erfahren es über eine Statusseite, nicht durch Stille.
  • Browser-Automatisierung, die funktioniert. Chromium läuft als dedizierter Sidecar mit eigener Ressourcenzuweisung, korrektem Shared Memory und Lifecycle-Management. Keine OOM-Kills, keine verwaisten Prozesse, keine Konflikte.

Jensen Huang hat Recht, dass OpenClaw transformative Software ist. Er hat Recht, dass jedes Unternehmen AI-Agenten wollen wird. Er hat Recht, dass die Nachfrage nach Rechenleistung enorm sein wird.

Aber Rechenleistung ist der einfache Teil. NVIDIA verkauft die GPUs. Der schwierige Teil ist alles zwischen der GPU und einem funktionierenden, sicheren, zuverlässigen Agenten, der Ihre API-Schlüssel nicht ins Internet leakt.

Das ist der Teil, den wir übernehmen.

Holen Sie sich Ihren

Wenn Jensen Huang Sie überzeugt hat, dass Sie einen OpenClaw-Agenten brauchen, hatte er Recht. Wenn Sie gerade dabei sind, einen 5-Dollar-VPS hochzufahren, um einen darauf laufen zu lassen: Stopp.

Holen Sie sich einen gemanagten Agenten, der standardmäßig sicher, automatisch aktualisiert und auf Infrastruktur läuft, die speziell dafür gebaut wurde. Ihr Agent sollte Werkzeughandbücher lesen und für Sie arbeiten, nicht auf einem offenen Port sitzen und darauf warten, dass jemand ihn findet.