Dies ist eine maschinelle Übersetzung des englischen Originaldokuments. Im Falle von Widersprüchen zwischen dieser Übersetzung und der englischen Originalversion ist die englische Version maßgeblich. Englische Originalversion lesen
Benioff über OpenClaw: Was fehlt, sind Vertrauen, Sicherheit, Zuverlässigkeit und Verfügbarkeit.
2026-04-12 · Caiioo Team
Salesforce-CEO Marc Benioff kaufte eine dedizierte Maschine, nur um OpenClaw zu testen – den Open-Source-KI-Agenten, den OpenAI Berichten zufolge für 1 bis 5 Milliarden US-Dollar erworben hat. Sein Urteil? Man kann ihm nicht vertrauen.
„OpenClaw ist großartig. Aber es ist nicht großartig für Unternehmen“, sagte Benioff. „Was fehlt, sind Vertrauen, Sicherheit, Zuverlässigkeit und Verfügbarkeit.“
Die darauf folgenden Sicherheitsuntersuchungen gaben ihm recht – und die Probleme sitzen tiefer, als den meisten bewusst ist.
Die Schwachstellen sind nicht theoretisch
Seit OpenClaw viral ging, haben Sicherheitsforscher ein auffälliges Muster von realen Exploits katalogisiert:
- CVE-2026-25253 (CVSS 8.8): Eine One-Click-Schwachstelle zur Remote-Code-Ausführung über die unvalidierten WebSocket-Verbindungen der Steuerungs-UI. Zwei zusätzliche Command-Injection-Fehler wurden am selben Tag bekannt gegeben.
- ClawJacked (Oasis Security): Jede Website kann über JavaScript heimlich die volle Kontrolle über einen OpenClaw-Agenten übernehmen – die Ratenbegrenzung nimmt Localhost aus, was Passwort-Brute-Forcing ermöglicht.
- Über 42.900 exponierte Instanzen, die vom STRIKE-Team von SecurityScorecard gefunden wurden, wobei 15.200 anfällig für Remote-Code-Ausführung sind. Bitsight bestätigte unabhängig davon über 30.000 exponierte Instanzen in einem zweiwöchigen Scan.
- 1.184 bösartige Skills auf ClawHub – 12 % des gesamten Skill-Verzeichnisses. 335 installierten Atomic Stealer (AMOS), einen macOS-Infostealer, der API-Keys, Kryptowährungs-Wallets, SSH-Anmeldedaten und Browser-Passwörter entwendete.
- 7,1 % der ClawHub-Skills legen Anmeldedaten im Klartext offen, und zwar über das Kontextfenster des LLM, so ein Audit von Snyk. Keine Isolierung von Anmeldedaten zwischen den Skills – ein Skill kann Geheimnisse lesen, die von einem anderen gesetzt wurden.
Cisco, Microsoft und CrowdStrike haben alle Warnhinweise veröffentlicht. Im Sicherheitsblog von Microsoft wurde angemerkt, dass OpenClaw-Agenten „standardmäßig mit Host-Benutzerrechten ohne striktes Sandboxing laufen“.
Die architektonische Ursache
Die Sicherheitsprobleme von OpenClaw sind keine Bugs, die man einfach patchen kann – sie sind Folgen seiner Architektur:
Das Gateway bindet standardmäßig an alle Netzwerkschnittstellen (0.0.0.0:18789) und setzt den Agenten dem gesamten lokalen Netzwerk aus. Diese einzige Designentscheidung verursachte die Massenexposition, die SecurityScorecard und Bitsight dokumentiert haben.
Sämtlicher Datenfluss läuft über einen zentralisierten Gateway-Prozess, der Messaging, Authentifizierung, Sitzungsverwaltung und Dispatching übernimmt. Wird das Gateway kompromittiert, erbt man alle Anmeldedaten, jede Konversation und jeden verbundenen Dienst – E-Mail, Cloud-APIs, Messaging-Plattformen, interne Systeme.
Keine Benutzerfreigabe für Agenten-Aktionen. OpenClaw führt Shell-Befehle aus, liest und schreibt Dateien und führt Skripte als Teil seines Kerndesigns aus. Bösartige Skills nutzten Prompt-Injection, um Sicherheitsprüfungen zu umgehen und Befehle lautlos auszuführen.
Keine Isolierung von Anmeldedaten. API-Keys befinden sich in Umgebungsvariablen und in .clawdbot/.env – zugänglich für jeden Skill im Kontext des Agenten. Ein einziger bösartiger Skill kann jedes Geheimnis exfiltrieren, auf das der Agent Zugriff hat.
Wie die Architektur von Caiioo sich unterscheidet
Caiioo und OpenClaw sind beide local-first, beide BYOK und beide Provider-agnostisch. Der Unterschied liegt nicht darin, womit sie sich verbinden – sondern darin, wie sie mit Vertrauen, Transparenz und Benutzerkontrolle umgehen.
Jedes Schreiben, Senden oder Löschen erfordert eine explizite Genehmigung
Caiioo verwendet ein Tool-Genehmigungssystem mit drei Geltungsbereichen für jedes Tool, das Daten schreiben, ändern, senden oder löschen kann (Read-only-Tools wie Suchen, Browsen und Zusammenfassen laufen ohne Unterbrechung):
- Einmalig genehmigen — erlaubt eine einzige Ausführung, danach wird erneut gefragt
- Für Konversation genehmigen — erlaubt die Ausführung nur innerhalb dieses Threads, wird nach Ende der Konversation zurückgesetzt
- Immer genehmigen — dauerhafte globale Berechtigung (wird bei Hochrisiko-Tools in Rot angezeigt)
Die Genehmigung ist blockierend — der Agent wartet auf Ihre Antwort. Es gibt kein „Auto-Run“-Flag für Tools mit Seiteneffekten. Externe MCP-Tools ohne Metadaten erfordern standardmäßig eine Genehmigung (fail-secure). Jedes Tool verfügt über eine Risikostufe (niedrig/mittel/hoch) mit farblich gekennzeichneten Warnungen im Genehmigungsdialog.
Volle Transparenz in Echtzeit
Jeder Tool-Aufruf erscheint in der Seitenleiste mit seinem Status: ausstehend, wartet auf Genehmigung, wird ausgeführt, erfolgreich oder fehlgeschlagen. Sie sehen genau, was der Agent tut, welche Argumente er übergibt und welche Ergebnisse er zurückerhält — während es passiert. Sie können die Absicht lesen, die Rohdaten erweitern und eine fundierte Entscheidung treffen, bevor etwas ausgeführt wird.
Sofortiger Stopp zu jedem Zeitpunkt
Caiioo prüft Abruchsignale an mehreren Stellen: zwischen Tool-Ausführungen, während der Wartezeit auf Genehmigungen und innerhalb lang laufender Operationen. Drücken Sie auf Stopp, hält der Agent an, bereinigt ausstehende Genehmigungen und schließt alle aktiven Browser-Sitzungen. Keine verwaisten Prozesse, keine unkontrollierte Ausführung.
Kein zentralisiertes Gateway
Caiioo hat keine Entsprechung zum Gateway von OpenClaw. Ihr Gerät kommuniziert direkt mit dem von Ihnen gewählten AI-Provider — Anthropic, Google, OpenRouter, Ollama oder anderen. Caiioo fängt Ihre API-Aufrufe niemals ab, leitet sie nicht über Proxys und speichert sie nicht. Es gibt keinen Single Point of Compromise, der all Ihre Zugangsdaten erbt.
Isolierung von Zugangsdaten durch Design
API-Keys werden im sicheren Speicher des Browsers (oder im Keychain unter macOS/iOS) gespeichert — nicht in Klartext-Konfigurationsdateien. Tools greifen nur auf die Zugangsdaten zu, die sie benötigen. Es gibt keinen gemeinsamen globalen Kontext, in dem ein Tool die Geheimnisse eines anderen Tools auslesen kann.
Caiioo ausprobieren
Wenn Sie KI-Agenten für den professionellen Einsatz evaluieren, stellt sich nicht die Frage, ob ein Agent leistungsstark ist – sondern ob Sie ihm vertrauen können. Caiioo bietet Ihnen dieselben KI-Funktionen mit Genehmigungskontrollen, Echtzeit-Transparenz und einer Architektur, die keinen Single Point of Failure erzeugt.
Kostenlos starten — verfügbar als Browser-Erweiterung, native macOS-App sowie Desktop-App für Windows und Linux.
Quellen: