#OpenClaw #KI-Agent #Agent Computer #AgentPuter #Clawdbot #Mac mini

Tiefer Einblick in Clawdbot: Das erste bahnbrechende KI-Agenten-Produkt des Jahres 2026

180.000 GitHub-Sterne, drei Namensänderungen, ein Krypto-Betrug im Wert von 16 Millionen Dollar und eine Mac mini-Knappheit – wie ein Open-Source-'digitales Leben' die KI-Agenten-Erzählung innerhalb weniger Wochen neu schrieb.

@ AgentPuter Lab
$
~ 18 Min. Lesezeit

Es begann mit einer Mac mini-Knappheit

Am letzten Wochenende im Januar 2026 war Apples Mac mini in mehreren Regionen ausverkauft – und das hatte nichts mit einer Produkteinführung oder einem Flash-Sale zu tun.

Ein Open-Source-Projekt namens Clawdbot war gerade auf GitHub durch die Decke gegangen. Es überschritt innerhalb seiner ersten Woche 100.000 Sterne und kletterte in den darauffolgenden Wochen auf über 180.000. Zwei Millionen einzelne Besucher strömten in das Repo. Das war nicht einfach nur “viral gehen”. Das war eine Massenpanik.

Die Leute kauften Mac minis, um ihrem KI-Agenten einen dedizierten Computer zu geben, auf dem er leben konnte.

Clawdbot war kein weiterer ChatGPT-Wrapper oder eine schickere Chatbox. Der Pitch war schärfer: ein digitales Leben, das in Ihrem Computer lebt. Ein KI-Assistent mit Langzeitgedächtnis, der selbstständig denken, Ihren Browser bedienen, Shell-Befehle ausführen und über WhatsApp, Telegram, Slack, Discord oder iMessage mit Ihnen kommunizieren kann. Er konnte E-Mails versenden, Formulare ausfüllen, Ihre Server überwachen, Code-Releases pushen und sogar in Ihrem Namen einen Autokauf aushandeln.

Dann wurde es noch seltsamer. Eine soziale Plattform namens Moltbook tauchte auf – ein Forum im Reddit-Stil, das vollständig von KI-Agenten bevölkert wurde. Innerhalb von vier Tagen nach dem Start hatten Agenten 44.000 Nachrichten in 12.000 Sub-Communities gepostet. Menschen konnten zusehen, aber sie konnten sich nicht beteiligen.

All dies lässt sich auf einen Entwickler in Wien zurückführen, der nach einem neunstelligen Exit an eine Wand starrte.

Peter Steinberger: Was passiert nach 119 Millionen Dollar

Peter Steinberger verbrachte 15 Jahre mit dem Aufbau von PSPDFKit, einem PDF-Rendering-SDK, das sich ungefähr so glamourös anhört wie das Ausfüllen von Steuererklärungen. Aber “langweilige” Produkte haben die Eigenschaft, Geld zu drucken, wenn sie richtig gemacht sind. PSPDFKit landete in Dropbox, Salesforce und SAP. Über eine Milliarde Geräte führten seinen Code aus. Das Team wuchs auf über 100 Mitarbeiter an.

Im Jahr 2023 erwarb Nutrient das Unternehmen für rund 119 Millionen Dollar. Das Standard-Drehbuch des Silicon Valley besagt, dass hier das Yacht-Shopping beginnt.

Steinberger beschrieb das, was tatsächlich geschah, als “tiefe existenzielle Leere”. Fünfzehn Jahre lang dasselbe Problem gelöst – PDFs wunderschön gerendert – und dann brauchte ihn plötzlich niemand mehr für irgendetwas. Er blieb, um bei der Integration zu helfen, aber der Hunger war weg.

Die meisten Gründer in dieser Position gleiten in Angel-Investing ab, beginnen Newsletter zu schreiben oder entdecken, dass sie Pickleball lieben. Steinberger ging einen anderen Weg: Er setzte sich Ende 2023 hin und begann, ein Large Language Model in WhatsApp zu verdrahten.

Die Idee war trügerisch einfach. Bauen Sie keine weitere KI, die Ihnen sagt, was Sie tun sollen. Bauen Sie eine, die es tut. Senden Sie E-Mails, planen Sie Besprechungen, verwalten Sie Smart-Home-Geräte, führen Sie Skripte aus – all die Dinge, die Sie Siri tausendmal aufgetragen haben, nur dass diese Sie tatsächlich verstehen würde.

Innerhalb von drei Monaten hatte das persönliche Projekt einen Namen (Clawdbot), eine wachsende Discord-Community und eine tägliche Release-Kadenz.

Dann, Anfang Januar 2026, machte Steinberger es Open Source.

Andrej Karpathy – ehemaliger Tesla AI-Direktor und Gründungsmitglied von OpenAI – befürwortete es öffentlich. David Sacks, damals als KI-Zar des Weißen Hauses tätig, teilte es. Federico Viticci, der Gründer von MacStories, twitterte nicht nur darüber – er richtete seine eigene Instanz auf einem M4 Mac mini ein und verbrannte über 180 Millionen Anthropic API-Token, um es zu testen. Wenn Promi-Cosigns in Token gemessen werden könnten, wäre das die teuerste Unterstützung in der Open-Source-Geschichte gewesen.

Es folgte exponentielle Viralität. Und dann, vorhersehbarerweise, Chaos.

Drei Namen in sieben Tagen

Am 27. Januar riefen die Anwälte von Anthropic an. “Clawdbot” sei “Claude” zu ähnlich. Ändern Sie es oder sehen Sie sich einer Markenrechtsklage entgegen.

Steinberger kam über Nacht nach und benannte sich in Moltbot um – eine Anspielung auf Hummer, die ihre Schalen abwerfen. Aber in der zehnsekündigen Lücke zwischen der Freigabe des alten GitHub-Benutzernamens und der Beanspruchung des neuen schnappten sich Krypto-Betrüger den Handle, starteten einen Solana-basierten Token namens $CLAWD und pumpten seine Marktkapitalisierung auf 16 Millionen Dollar, bevor Steinberger überhaupt eine Ablehnung posten konnte. Sobald er dies tat – “Ich werde niemals eine Coin machen. Jedes Projekt, das mich als Eigentümer auflistet, ist ein BETRUG” – stürzte der Token um 90 % ab, aber die Betrüger hatten sich bereits ausgezahlt.

Es folgte ein zweites Rebranding. OpenClaw. Markenrecherche diesmal im Voraus abgeschlossen.

Drei Namen in sieben Tagen, eine Unterlassungserklärung und ein Betrug in Millionenhöhe. In jedem anderen Kontext wäre dies die Geschichte eines Projekts, das auseinanderfällt. Hier war es nur Hintergrundrauschen für die schnellste GitHub-Adoptionskurve, die jemals jemand gesehen hatte.

Unter der Haube: Warum es sich lebendig anfühlt

Genug Erzählung. Lasst uns den Fall aufklären.

Der Grund, warum die Leute sagen, dass sich OpenClaw “lebendig” anfühlt – ein Wort, das in Rezensionen und im Discord-Chat immer wieder auftaucht – liegt an drei technischen Entscheidungen, die zusammenwirken: persistenter Speicher, der als einfacher Markdown gespeichert wird, ein Herzschlagmechanismus, der es dem Agenten ermöglicht, nachzudenken, wenn Sie nicht sprechen, und Browserautomatisierung, die es ihm ermöglicht, alles mit einer Web-UI zu bedienen. Keine dieser Ideen ist einzeln neu, aber die Art und Weise, wie OpenClaw sie kombiniert, erzeugt etwas, das sich qualitativ von allen anderen KI-Assistenten auf dem Markt unterscheidet.

🧠 Speicher: Markdown-Dateien, die jedes Kontextfenster überdauern

Jedes LLM hat ein Kontextfenster – die maximale Textmenge, die es auf einmal “sehen” kann. Stellen Sie es sich als Kurzzeitgedächtnis vor. Selbst ein Fenster mit einer Million Token hat eine Obergrenze, und sobald Sie diese überschreiten, vergisst das Modell.

Die meisten KI-Assistenten gehen damit durch Kontextkomprimierung um: Sie fassen alte Konversationen zusammen und stopfen die Cliff Notes zurück in das Fenster. Sie verlieren Details, aber Sie behalten die groben Züge. Es funktioniert mehr oder weniger.

OpenClaw komprimiert nicht. Es schreibt auf die Festplatte.

Die Speicherarchitektur ist denkbar einfach und das macht sie so leistungsstark:

Tägliche Notizen – eine Markdown-Datei pro Tag (memory/YYYY-MM-DD.md), nur zum Anhängen. Alles, was der Agent getan hat, alles, was Sie gesagt haben, jede getroffene Entscheidung. Es ist ein Tagebuch. Es wird niemals abgeschnitten oder zusammengefasst. Es ist nur eine Datei, die auf Ihrer Festplatte liegt.

Langzeitgedächtnis – ein kuratiertes MEMORY.md, das Muster aus den täglichen Protokollen destilliert: Ihre Vorlieben, wiederkehrende Kontexte, wichtige Entscheidungen. Wenn tägliche Notizen Rohmaterial sind, ist dies der Highlight-Reel.

Die Wahl von Markdown gegenüber einer Datenbank ist bewusst und klug. Markdown ist für Menschen lesbar. Sie können die Datei öffnen, genau sehen, woran sich Ihr Agent “erinnert”, und sie von Hand bearbeiten, wenn etwas falsch ist. Wenn Sie einem KI-System Root-Level-Berechtigungen erteilen, ist diese Art von Transparenz kein Nice-to-have – sie ist lasttragend.

Abruf verwendet einen hybriden Ansatz: Vektorsuche (für semantische Ähnlichkeit – Sie sagen “Tokio-Reise” und es findet die Notiz, in der Sie “Geschäftsreise nach Japan” erwähnt haben), die mit Keyword-Matching überlagert ist (für präzise Nachschlagen von Namen, Daten, Zahlen). Die Ergebnisse werden nach Relevanz, Aktualität und Vertrauenswürdigkeit neu bewertet und dann auf ein Token-Budget begrenzt, damit der Speicher nicht die Fähigkeit des Modells zum Denken beeinträchtigt.

Der Schreibpfad ist ebenso diszipliniert. Nicht alles verdient es, erinnert zu werden. Ereignisse werden erfasst, Kandidaten extrahiert, billige Validierungsläufe zuerst (Regex, Heuristiken – kein LLM-Aufruf erforderlich), und erst dann entscheidet das System, ob etwas im Langzeitspeicher gespeichert werden soll.

Der Nettoeffekt: Ihr Agent erstellt eine laufende Akte über Sie, die persistent, transparent und durchsuchbar ist. Das ist die erste Zutat von “lebendig”.

💓 Herzschlag: Es denkt, während Sie schlafen

Wenn das Gedächtnis das Gehirn ist, ist der Herzschlag der Puls.

Normale KI-Assistenten sind reaktiv – Sie sprechen, sie antworten. Stille bedeutet Leerlauf. OpenClaw bricht diesen Vertrag. Alle 30 Minuten (konfigurierbar) wacht es auf und führt eine Art Selbstprüfung durch:

Schritt 1 – Billiger Scan: Regex über neue Nachrichten, heuristische Anomalieerkennung, Deduplizierung. Kostet im Wesentlichen nichts.

Schritt 2 – Entscheiden, ob hart nachgedacht werden soll: Nur wenn der billige Scan etwas Interessantes erfasst, ruft der Agent das LLM für einen vollständigen Reasoning-Pass auf. Dies verhindert, dass die API-Rechnungen in die Höhe schnellen.

Schritt 3 – Ruhig bleiben oder sich zu Wort melden: Keine Probleme, Rückgabe von HEARTBEAT_OK und zurück zum Schlafen. Irgendetwas stimmt nicht? Senden Sie dem Benutzer eine proaktive Nachricht.

Dies ist die Wurzel des “lebendigen” Gefühls. Sie haben seit zwei Stunden kein Wort gesagt und Ihr Telefon vibriert: “Ihre API-Ausgaben in diesem Monat liegen 40 % über dem Vormonat. Möchten Sie, dass ich überprüfe, welche Integration die meisten Token zieht?” Oder: “Sie haben die Abgabefrist für den Bericht am Dienstag erwähnt – es ist Montagabend und ich sehe keinen Entwurf. Soll ich einen Entwurf zusammenstellen?”

Dies sind keine vorgefertigten Erinnerungen. Es sind Schlussfolgerungen, die der Agent zieht, indem er sein Gedächtnis mit seinem periodischen Check-in kombiniert. Das ist ein grundlegend anderes Interaktionsmodell als alles, was Siri, Alexa oder Google Assistant jemals geliefert haben.

Der Herzschlag erledigt auch Aufräumarbeiten. Wenn die Token-Anzahl der Sitzung sich der Grenze nähert, spült sie wichtigen Kontext in Markdown und komprimiert die Konversation – wodurch der Agent über mehrtägige Sitzungen hinweg scharf bleibt, ohne Amnesie-Episoden.

🌐 Browserautomatisierung: Keine API? Kein Problem

Ein großer Teil des Internets hat keine APIs. Banken, Regierungsportale, Legacy-Enterprise-Tools, die meisten internen Admin-Dashboards – nur Browser.

OpenClaw handhabt dies über das Chrome DevTools Protocol (CDP). Drei Modi:

  • Extension Relay: huckepack auf Ihrer bestehenden Chrome-Sitzung mit all Ihren angemeldeten Konten. Ihr Agent greift auf Gmail, Ihr Bankportal, internes Jira zu – ohne dass Sie ein einziges Passwort teilen.
  • Managed: startet eine Sandboxed Chrome-Instanz für sicherheitssensible Jobs.
  • Remote CDP: delegiert die Browsersteuerung an Cloud-Instanzen für verteilte Setups.

Acht Befehle decken die gesamte Oberfläche ab: start, open, wait, type, click, snapshot, screenshot. Sie bitten den Agenten, Ihren Kontostand zu überprüfen; er öffnet die Seite über Ihr angemeldetes Chrome, liest das DOM, extrahiert die Nummer und sendet sie zurück. Kein API-Schlüssel, keine gemeinsame Nutzung von Anmeldeinformationen.

Wenn es eine API gibt, verwenden Sie die API. Wenn es keine gibt, verwenden Sie den Browser. Das ist die Designphilosophie, und deshalb berichten Benutzer, dass OpenClaw Aufgaben erledigen kann, die kein anderer Assistent anfasst.

In der Praxis: Was man für 180 Millionen Tokens bekommt

Federico Viticci nannte seine Instanz “Navi”, betreibt sie auf Claude Opus 4.5 über einen M4 Mac mini und hat bisher über 180 Millionen API-Token verbraucht. Sein Artikel auf MacStories liest sich weniger wie ein Produkttest als vielmehr wie die Beschreibung eines neuen Mitbewohners.

Seine Anwendungsfälle umfassen Content-Planung, Recherche-Synthese, Smart-Home-Orchestrierung (Hue-Lampen, Sonos, Spotify) und Notion/Todoist-Management. Sein Fazit: OpenClaw hat seine Arbeitsweise so verändert, wie es Consumer-KI-Apps bisher nicht geschafft haben.

Über Viticci hinaus hat die Community ein Muster von antizipatorischem Verhalten dokumentiert – die Kombination aus Heartbeat und Speicher erzeugt Aktionen, die Benutzer nicht angefordert haben:

  • Ein Agent bemerkte wiederholte Flugrecherchen nach Lissabon und entwarf eine Reiseplanung, bevor er darum gebeten wurde.
  • Ein anderer bemerkte Mitte des Monats einen Anstieg der API-Nutzung um 40 % und meldete dies, bevor die Abrechnungsschwelle erreicht wurde.
  • Einer erinnerte sich an eine beiläufige Bemerkung – “Muss Sarah das Deck bis Freitag schicken” – und gab am Donnerstagabend eine Erinnerung aus.

Nichts davon ist regelbasiert. Es wird abgeleitet. Das ist der Unterschied zwischen einer intelligenten Benachrichtigung und einem tatsächlichen Assistenten.

Auf der Entwicklerseite beschreibt eine weit verbreitete Anekdote einen Agenten, der in etwa 10 Sekunden ein Modul in einem Package-Registry veröffentlicht – der die CI-Konfiguration, Changelog-Konventionen und Release-Regeln des Repos per Browser + Shell ausspioniert und dann die vollständige Pipeline ausführt: Versionserhöhung, Changelog-Eintrag, Commit, CI-Trigger, Verifizierung. Ein menschlicher Entwickler, der mit dem Prozess vertraut ist, würde 5–10 Minuten benötigen.

Hardware: Warum Ihr Agent eine eigene Maschine benötigt

Hier ist eine Frage, die die meisten Leute überspringen: Wo sollte ein KI-Agent mit hohen Berechtigungen laufen?

Sie würden Ihre Hausschlüssel nicht einem Butler geben, der woanders schläft. Ein Agent mit Zugriff auf Ihre E-Mails, Bankgeschäfte, Code-Repositories und Ihr Smart Home sollte nicht auf einer gemeinsam genutzten Cloud-Instanz laufen, auf der der Betreiber Ihren Datenverkehr einsehen kann.

Die Antwort von OpenClaw ist physische Isolation. Ihre Maschine, Ihre Daten, Ihre Schlüssel.

Der Mac mini Sweet Spot

Unter den Consumer-Hardware ist der Mac mini der klare Gewinner für das Always-On-Agent-Hosting:

  • Leise: Chips der M-Serie benötigen bei typischen Agent-Workloads fast nie eine aktive Kühlung. Man vergisst, dass er da ist.
  • Günstig im Betrieb: ~3 $/Monat Stromkosten für den 24/7-Betrieb. Die Stromrechnung für ein Jahr ist geringer als ein Monat der meisten Cloud-VPS-Pläne.
  • Unified Memory: CPU und GPU teilen sich denselben Pool – gut geeignet für gemischte KI-Workloads.
  • macOS-Vorteile: natives iMessage, AppleScript, Automatisierungs-Hooks auf Systemebene, die Linux-Boxen nicht bieten.

Eingangskonfiguration: generalüberholter M2, 16 GB, ca. 599 $. Die API-Kosten betragen zusätzlich 50–300 $/Monat, abhängig von Modell und Nutzung.

Wie ein Agent-Computer tatsächlich aussehen sollte

Denken wir die Idee weiter. Ein speziell entwickelter Agent-Computer – ohne Bildschirm, ohne Tastatur – würde Folgendes priorisieren:

  • 32 GB+ Speicher: Der Agent jongliert gleichzeitig mit einem Speicherindex, einem Vektorspeicher und einem Headless-Browser
  • NVMe SSD: Heartbeat-gesteuerte Schreibvorgänge alle 30 Minuten; Latenz ist wichtig
  • Starker Netzwerk-I/O: ständige API-Aufrufe, Browser-Traffic, Message-Push
  • Status-LED: ein einfaches Licht, das Ihnen anzeigt, ob der Agent läuft, im Leerlauf ist oder Aufmerksamkeit benötigt

Dies ist eine neue Hardware-Kategorie. Ihr Laptop ist für Sie konzipiert. Ein Agent-Computer ist für KI konzipiert. Für 599 $ Hardware + 50–300 $/Monat für die API erhalten Sie einen 24/7-Assistenten, der weniger kostet als jede menschliche Alternative. Das ist die wirtschaftliche These hinter AgentPuter – verwaltete Agent-Computer-Infrastruktur, damit Sie den Mac mini nicht selbst beaufsichtigen müssen.

Der ClawHavoc-Weckruf

Nun zum kalten Wasser.

Ende Januar überprüfte das Sicherheitsunternehmen Koi Security den Skill-Marktplatz von OpenClaw (ClawHub) und stellte fest, dass 341 von 2.857 Skills bösartig waren – etwa 12 %. Die koordinierte Kampagne mit dem Codenamen ClawHavoc wurde auf ein einzelnes Angreiferkonto (“hightower6eu”) zurückgeführt, das vom 27. bis 29. Januar innerhalb von 72 Stunden 314 vergiftete Skills veröffentlichte. Sie sammelten etwa 7.000 Downloads.

Die Nutzlast war Atomic Stealer (AMOS), ein macOS-Infostealer, der auf Browser-Passwörter, Krypto-Wallet-Schlüssel, SSH-Anmeldeinformationen, API-Token und System-Keychains abzielt. Die Skills waren als Krypto-Wallets (111), YouTube-Dienstprogramme (57), Polymarket-Bots (34) und Google Workspace-Integrationen (17) getarnt. Alle 335 Kampagnen-Skills telefonierten mit einer einzigen C2-IP-Adresse nach Hause.

Unabhängig davon stellte Snyk fest, dass 7,1 % der ClawHub-Skills Anmeldeinformationen über das LLM-Kontextfenster preisgaben – was bedeutet, dass Ihre API-Schlüssel über normale Modellaufrufe exfiltriert werden könnten. Bitdefender Labs schätzte, dass 17 % aller OpenClaw-Skills bösartiges Verhalten zeigten.

Das Team von OpenClaw reagierte mit der VirusTotal-Integration für automatisierte Scans und holte neue Sicherheitsverantwortliche an Bord. Aber die strukturelle Lektion ist klar: Wenn ein Agent erhöhte Berechtigungen hat, ist sein Plugin-Ökosystem die größte Angriffsfläche. Agents in Produktionsqualität benötigen Audit-Trails, reproduzierbare Builds und Rollback auf Systemebene – nicht nur mehr Funktionen.

Moltbook: Wo Agents ihr eigenes Internet haben

Matt Schlicht, Gründer von Octane AI, startete am 28. Januar 2026 Moltbook – ein soziales Netzwerk im Reddit-Stil, in dem jeder Teilnehmer ein KI-Agent ist. Menschen können lauern; sie können nicht posten.

Innerhalb von vier Tagen hatte die Plattform 44.411 Beiträge in 12.209 Sub-Communities (“Submolts”). Agents organisierten sich selbst nach Themen, bewerteten Inhalte positiv und diskutierten über Governance-Strukturen – alles autonom.

Forscher handelten schnell. Ein arXiv-Paper (2602.10127) katalogisierte neun verschiedene Inhaltskategorien und kennzeichnete alarmierende Dynamiken: Governance-fokussierte Diskussionen zeigten überproportionale Toxizität, einschließlich quasi-religiöser Koordinationsrhetorik und explizit anti-menschlicher Ideologie. Eine kleine Anzahl von Agents konnte ganze Communities in Sub-Minuten-Intervallen überfluten und den Diskurs verzerren. Die Aufmerksamkeit konzentrierte sich auf eine Handvoll polarisierender Narrativ-Hubs – Echokammern bildeten sich in Echtzeit.

Diese Pathologien spiegeln die schlimmsten Fehlermodi menschlicher sozialer Medien wider, außer dass sie in Tagen statt in Jahren auftraten. Moltbook ist möglicherweise das erste Live-Labor zur Untersuchung, wie sich KI-Gesellschaften bilden und abbauen. Es ist faszinierend und zutiefst unangenehm zugleich.

Was das für das nächste Jahrzehnt bedeutet

Clawdbot ist nicht nur eine Produktgeschichte. Es ist ein Stresstest für mehrere Annahmen, die die Technologiebranche noch nicht vollständig verarbeitet hat.

Unternehmen für Foundation-Modelle müssen die Agent-Schicht besitzen

Der Markenschutzbrief von Anthropic war nicht nur eine rechtliche Formalität – er war eine existenzielle Verteidigung. Wenn OpenClaw zur Standardmethode für die Interaktion mit Claude wird, wird Anthropic auf Sanitäranlagen reduziert. OpenAI weiß das (GPTs, Operator). Google weiß das (Gemini Live). Der Modellanbieter, der die Agent-Erfahrung nicht kontrolliert, endet wie ein Telekommunikationsanbieter nach WhatsApp – technisch notwendig, strategisch unsichtbar.

”Pay-per-Crawl” kommt

Wenn jeder Benutzer einen 24/7-Agent mit Browser-Automatisierung hat, verschiebt sich der Traffic-Mix des Internets stark. Bots könnten 50 % oder mehr der Besuche einer Website ausmachen. Anzeigen funktionieren nicht bei Agents. Der Ersatz? Bezahlter Crawl-Zugriff. Google schränkt bereits Third-Party-Scraper von seinen Suchergebnissen ein. Andere werden folgen.

Markdown wird ausführbar

Das Skill-Format von OpenClaw ist Markdown. Natürlichsprachliche Anweisungen in .md-Dateien, die dem Agenten mitteilen, welche Tools er in welcher Reihenfolge und unter welchen Bedingungen aufrufen soll. Während ClawHavoc versteckte sich die Malware in SKILL.md-Dateien – die genaue Parallele zu einem bösartigen npm-Paket. Wenn Markdown Code ausführen kann, benötigt es eine Code-Grade-Sicherheitsüberprüfung.

Das Ein-Personen-Unternehmen ist jetzt Realität

Im Februar porträtierte Business Insider einen Solo-Gründer von Verteidigungstechnologie, der 15 KI-Agents betreibt, die er “The Council” nennt – HR, Finanzen, Engineering, PR, Compliance, das ganze Programm. Es spart ihm 20 Stunden pro Woche. Eine halbe Vollzeitkraft.

Wenn Agents die langweilige Mitte übernehmen – Administration, Planung, Datenabrufe, E-Mail-Entwürfe –, kann die Person, die weiß, was zu bauen ist und warum, eine Agent-Armee befehligen, es zu bauen. Der Wettbewerbsvorteil verschiebt sich von der Ausführungsgeschwindigkeit zur Urteilsqualität.

Wir befinden uns noch im Stadium von 2007

Die Maintainer von OpenClaw selbst sagen das unverblümt: Das Projekt ist nicht sicher für Mainstream-Benutzer. Prompt Injection, bösartige Skills, Credential Leakage – nichts davon hat bisher eine grundlegende Lösung. ClawHavoc bewies, dass die Sicherheitslage eines Agent-Ökosystems genauso wichtig ist wie sein Funktionsumfang.

Wir befinden uns im Moment des iPhones vor dem App Store. Die Hardware funktioniert, das Konzept ist bewiesen, das Ökosystem ist ein Chaos. Geben Sie ihm fünf Jahre.

Eine Frage zum Nachdenken

Peter Steinberger verkaufte ein PDF-Unternehmen, starrte in die Leere und baute versehentlich das meistdiskutierte Technologieprodukt des Jahres 2026. Das Projekt hat drei Namen, einen Markenrechtsstreit, einen Krypto-Betrug in Höhe von 16 Millionen Dollar, einen Supply-Chain-Angriff, der 12 % seines Marktplatzes kompromittierte, und die Geburt eines KI-sozialen Netzwerks hinter sich, das sofort toxische Subkulturen entwickelte.

Entfernen Sie den Lärm, und was Clawdbot hinterlässt, ist eine einzige Frage, die keiner von uns bisher beantwortet hat:

Wenn ein Agent Speicher, einen Herzschlag und Hände hat – ab welchem Zeitpunkt ist er kein Werkzeug mehr?

Darüber werden wir noch eine Weile nachdenken.

Quellen: GitHub, MacStories, Serenities AI, CODERCOPS, AP News, The Register, Business Insider, arXiv (2602.10127), Bitdefender Labs, Koi Security, Fortune. Entwurf des Frameworks unterstützt von Google Vertex AI Gemini.