OpenClaw verursachte eine Sicherheitskrise und zwei konkurrierende Frameworks entstanden. IronClaw bringt Rust-basierte Isolation und null Telemetrie; NemoClaw umhüllt OpenClaw in NVIDIAs Kernel-Level-Sandbox. So unterscheiden sie sich.
Das “Claw”-Ökosystem hat sich in nur etwa vier Monaten von Peter Steinbergers persönlichem Projekt zu einem echten Unternehmenskampfplatz entwickelt. OpenClaw wurde im November 2025 gestartet, wurde Githubs am schnellsten wachsendes Repository in der Geschichte , zog Hunderttausende von Nutzern an und führte dazu, dass sein Schöpfer von OpenAI eingestellt wurde.
Es dauerte nicht lange, bis die anfängliche Popularität zwei neue große konkurrierende Frameworks hervorbrachte – IronClaw von NEAR AI und NemoClaw von NVIDIA. Beide wurden innerhalb weniger Wochen voneinander gestartet. Wenn du versuchen möchtest herauszufinden, welches in deinen Stack gehört und warum, hier ist das, was du wirklich wissen musst.
OpenClaw ist ein Open-Source-KI-Agent-Framework, das auf der einfachen Idee basiert, einem Sprachmodell persistentes Gedächtnis, Zugriff auf deine Tools und Services zu geben und es autonom arbeiten zu lassen. Es verbindet sich mit beliebten Messaging-Apps und Services, kann Code schreiben, Befehle ausführen, deine Dateien verwalten, im Web surfen und vieles mehr. Um zu beginnen, braucht es nur eine einzelne Konversationsnachricht.
Erstellt vom österreichischen Entwickler Peter Steinberger als einstündiges Burnout-Projekt namens Clawdbot im November 2025 (später umbenannt zu Moltbot, dann OpenClaw nach Markendruckausübung durch Anthropic ), überschritt das Projekt 215.000 GitHub-Stars bis Februar 2026. Es zog zwei Millionen Besucher in einer einzigen Woche an, und die Entwickler-Community begann, Bereitstellungen einfach “Hummer großziehen” zu nennen.
Architektonisch läuft OpenClaw als lokaler Node.js-Server. Es verwendet Skills als modulare Bausteine, die definieren, was der Agent tun kann. Skills sind JavaScript- oder TypeScript-Plugins, die mit vollständigem Zugriff auf die Host-Umgebung ausgeführt werden. Der Agent behält persistentes Gedächtnis über Sitzungen hinweg über einen lokalen Vector-Store, und Multi-Agent-Orchestrierung ist durch verschachtelte Skill-Aufrufe möglich.
Der Zugriff auf Tools wird über MCP-Server verwaltet, was die Integration mit Drittanbieter-Services unkompliziert macht. Aber das bedeutet auch, dass jeder MCP-Server, den du verbindest, die vollständige Berechtigungssatz des Agenten erbt, und genau da liegt das Problem.
OpenClaws Berechtigungsmodell ist flach: Es gibt keine Capability-Scoping, keine Pro-Skill-Sandbox und keine Unterscheidung zwischen Lese- und Schreibzugriff auf verbundene Services. Ein Skill, der deinen Kalender lesen muss, erhält denselben Zugangsschlüssel wie einer, der E-Mails in deinem Namen senden kann. Wenn ein Skill von ClawHub geladen wird, wird er sofort mit denselben Berechtigungen ausgeführt.
Sicherheitsforscher, die das Internet durchsuchten, fanden über 30.000 öffentlich exponierte OpenClaw-Instanzen, von denen viele ohne Authentifizierung liefen. Schon damals, als es noch Clawdbot hieß, identifizierte ein Kaspersky-Audit des Projekts insgesamt 512 Schwachstellen, acht davon kritisch.
CVE-2026-25253 , offengelegt im Februar 2026, ermöglichte Remote-Code-Ausführung mit einem Klick über WebSocket-Token-Diebstahl und betraf über 17.500 internetexponierte Instanzen. Die ClawHavoc-Kampagne, dokumentiert von Koi Security, fand 341 böswillige Skills in ClawHub, OpenClaws Plugin-Registry, was ungefähr 12% des gesamten Marktplatzes ausmacht! Aktualisierte Scans erhöhten diese Zahl später auf über 800.
Das strukturelle Problem ist architektonisch: OpenClaw gibt Sprachmodellen direkten Zugriff auf das Dateisystem, Messaging-Apps und Web-Services. Wenn ein böswilliger Skill geladen wird – oder wenn Prompt-Injection den Agent dazu verleitet, etwas zu tun, das er nicht sollte, erbt er alle diese Berechtigungen. Steinberger selbst räumte ein , dass “vollständige Sicherheit mit großen Sprachmodellen unerreichbar ist” und betonte, dass das Tool für Personen mit technischem Wissen zur Verwaltung dieser Risiken gedacht war.
OpenAI stellte Steinberger im Februar 2026 ein. Das Projekt wurde zu einer unabhängigen Stiftung mit finanzieller und technischer Unterstützung von OpenAI. Die meisten bekannten CVEs wurden in neueren Versionen gepatcht, aber der Community-Konsens ist, dass die architektonische Spannung zwischen Nützlichkeit und Sicherheit nicht gelöst wurde.
OpenClaw bleibt eine großartige Wahl für Power-User, Enthusiasten und Entwickler, die maximale Flexibilität wünschen und verstehen, was sie in Kauf nehmen. Aber aufgrund der Sicherheitsprobleme ist es eine schreckliche Wahl für Unternehmensanwendungsfälle im großen Maßstab oder die Verwendung mit hochsensiblen Daten. Es sind genau diese Probleme, die die Erstellung von IronClaw und NemoClaw veranlassten.
Starten Sie heute Ihre kostenlose Testversion und sehen Sie innerhalb weniger Tage Ergebnisse.
IronClaw, entwickelt von NEAR AI und Anfang 2026 angekündigt, ist eine von Grund auf neu aufgebaute OpenClaw-inspirierte Agent-Runtime in Rust mit Sicherheit als primäre Design-Einschränkung. Sein Co-Founder Illia Polosukhin beschrieb es als “ein agentic Harness, das für Sicherheit ausgelegt ist.”
Die Verwendung von Rust beseitigt ganze Klassen von Schwachstellen zur Compile-Zeit – Buffer-Überläufe, Use-After-Free-Fehler und andere Speichersicherheitsprobleme. Für ein System, das Dutzende gleichzeitiger Tool-Aufrufe orchestriert und große Dokumente in einer Schleife verarbeitet, sind diese Eigenschaften in der Produktion wichtig.
IronClaws Kern-Sicherheitsarchitektur ist um drei Mechanismen herum aufgebaut:
Jede Sicherheitsebene ist von den anderen isoliert. Eine Kompromittierung einer Ebene führt nicht automatisch zur Kompromittierung der nächsten. IronClaw enthält auch iron-verify, ein statisches Analysetool für Skills, das auf SQL-Injection, Command-Injection, Path-Traversal-Muster und Capability-Überanforderungen prüft. In Tests, die von ibl.ai
dokumentiert wurden, kennzeichnete es 23 von 25 problematischen Skills. Der Overhead liegt bei ungefähr 15 ms pro Skill-Aufruf – vernachlässigbar für die meisten Workflows.
IronClaw wird auf NEAR AI Cloud in einer Trusted Execution Environment (TEE) bereitgestellt und bietet von Anfang an hardwaregestützte Verschlüsselung ohne zusätzliche Konfiguration. Es unterstützt auch lokales Self-Hosting für Benutzer, die Daten vollständig auf lokalen Servern halten möchten. Alle Daten werden in einer lokalen PostgreSQL-Datenbank mit AES-256-GCM-Verschlüsselung gespeichert, mit null Telemetrie.
Über die Sicherheit hinaus ist IronClaw ein funktionales Agent-Framework mit Multi-Channel-Support (REPL, Webhooks, Telegram, Slack, Browser), Cron-geplante Routinen, Event-Trigger, parallele Job-Verarbeitung, hybrid Volltextsuche und Vector-Suche für persistentes Gedächtnis und MCP-Protokoll-Support. Es unterstützt NEAR AI, OpenAI, Anthropic, Gemini, Mistral und OpenAI-kompatible Backends.
Das Projekt wurde mit einem kostenlosen Starter-Tier mit einer gehosteten Agent-Instanz auf NEAR AI Cloud gestartet, mit bezahlten Tiers für zusätzliche Agenten.
Die zusätzliche Sicherheit macht IronClaw eine großartige Alternative für Benutzer und Organisationen, für die Datenvertraulichkeit nicht verhandelbar ist. IronClaw ist auch bedeutsam für Power-User, die die Capability-Obergrenze von OpenClaw wünschen, aber ihren Produktions-Anmeldedaten nicht einem Agent vertrauen wollen, der manipuliert werden kann.
NemoClaw ist kein eigenständiges Framework. Es ist ein Open-Source-Sicherheits- und Governance-Stack, der OpenClaw umhüllt. Es wurde von Jensen Huang auf der GTC 2026 am 16. März angekündigt , mit einer Positionierung, die nur wenige im Raum hätten verfehlen können. Huang verglich OpenClaw mit Windows und Linux: “OpenClaw ist das Betriebssystem für persönliche KI.” NemoClaw ist die Titanium-Schale.
NemoClaw wird über einen einzigen Befehl als TypeScript-Plugin für die OpenClaw-CLI installiert, zusammen mit einem Python-Blueprint, der NVIDIAs OpenShell-Runtime orchestriert. OpenShell bietet eine Kernel-Level-Sandbox mit Linux-Sicherheitsmodulen, die zwischen dem Agent und dem Betriebssystem sitzt.
Das Sicherheitsmodell ist dem Standard von OpenClaw entgegengesetzt. Während OpenClaw permissiv ist, es sei denn, du beschränkst es explizit, blockiert OpenShell alles, es sei denn, es ist explizit erlaubt. Richtlinien werden in YAML geschrieben, so dass Organisationen Folgendes definieren können:
Blockierte Aktionen erscheinen in einer Terminal-UI zur Überprüfung durch Menschen, anstatt stillschweigend zu fehlschlagen. Die Policy-Engine läuft außerhalb des Prozesses, was bedeutet, dass der Agent sie nicht durch Manipulation seiner eigenen Konfiguration überschreiben kann.
NemoClaw enthält auch einen Privacy-Router, der komplexe Abfragen an cloudbasierte Frontier-Modelle leitet, während sensible Daten lokal auf Nemotron-Modellen bleiben. Die Nemotron-3-Familie, optimiert für agentic Workloads und mit einer hybriden Mamba-Transformer-Architektur, wird zum Standard-Backend für lokale Inferenz.
NemoClaw ist in erster Linie ein Unternehmens-Unternehmen, mit angekündigten Partnerschaften mit Salesforce, Cisco, Google, Adobe und CrowdStrike. Das Projekt hatte bereits 9.000+ GitHub-Stars innerhalb von Tagen nach dem Start.
Weniger als einen Monat nach der Ankündigung (zum Zeitpunkt des Schreibens dieses Artikels) ist NemoClaw immer noch eine Alpha-Vorschau. Schnittstellen und Verhalten können sich ohne Vorankündigung ändern, und lokale Inferenz bleibt auf einigen Plattformen experimentell. Noch wichtiger ist, dass der Härtungsprozess noch im Gange ist, da weniger als eine Woche nach dem Start ein Cybersecurity-Forscher einen Konfigurationsumgehung identifizierte.
Futurum Research-Analysten stellten fest, dass NemoClaw das Bereitstellungsende der Agent-Vertrauenskette gut adressiert, argumentierten aber, dass Sicherheit in den gesamten Entwicklungslebenszyklus eingebettet werden muss, nicht nur in die Runtime-Schicht.
Es gibt auch ein Geschäftsmodell zu lesen. Standardmäßig leitet NemoClaw Inferenzanfragen durch NVIDIAs Cloud-Endpunkt weiter. Du kannst lokale Nemotron-Modelle für eine vollständige lokale Bereitstellung konfigurieren, aber der Standardpfad schafft eine Abhängigkeit von NVIDIAs Infrastruktur. Ob das ein Problem oder ein Feature ist, hängt von deinem Threat-Modell ab.
NemoClaw versucht, sich als Alternative für Organisationen zu positionieren, die OpenClaws Fähigkeiten mit einem Policy-Enforcement-Modell wünschen, das ihre Compliance- und Legal-Teams überprüfen und genehmigen können.
Erhalten Sie die neuesten Tipps, Trends und Angebote kostenlos.
IronClaw und NemoClaw kämpfen um die Position der sichersten Option, aber die Wahrheit ist, dass alle drei dieser Systeme Probleme verursachen können, wenn du ihnen die falschen Tools gibst. Der Unterschied liegt darin, wie viel Schaden strukturell möglich ist und wie viel einen aktiven Fehler von deiner Seite erfordert.
OpenClaw gibt dem Agent vollständigen Zugriff auf alles auf deinem Computer. Du hast wahrscheinlich kein vollständiges Inventar dessen, was auf einem Computer installiert und zugänglich ist, den du seit Jahren verwendest. Es ist in Ordnung für Enthusiasten und Entwickler, die wissen, womit sie es zu tun haben. Es ist ein echtes Risiko für jeden anderen.
NemoClaw baut einen Qualitätskäfig um dieses gefährliche Tier. Der Schutz lebt auf der Infrastruktur-Schicht – OpenShells Kernel-Level-Sandbox, Policy-Enforcement und das Deny-by-Default-Modell. NVIDIAs Unterstützung macht es am wahrscheinlichsten, Produktionsstabilität und breite Akzeptanz zu erreichen. Das Geld liegt auf diesem im Enterprise-Markt, aber die Standard-Cloud-Weiterleitung sind Dinge, die man überwachen sollte.
IronClaw hat wohl die ausgefeilteste Sicherheitsarchitektur der drei: Memory-Safe-Runtime in Rust, WASM-Isolation pro Tool, sichere Anmeldedaten-Injektion, Prompt-Injection-Erkennung und gestaffelte Abwehrmechanismen, bei denen die Kompromittierung einer Schicht nicht zur nächsten führt. Es ist auch am meisten der Meinung zu Datensouveränität – null Telemetrie, lokale Speicherung, TEE-gestützte Cloud-Hosting. Für Anwendungsfälle, bei denen Daten einfach nicht die Infrastruktur der Organisation verlassen können, ist es das einzige Framework hier, das dies strukturell wahr macht, anstatt einer Konfiguration, die man beibehalten muss.
Keine dieser Optionen löst Prompt-Injection vollständig. Das ist ein branchenweites offenes Problem, und jeder Anbieter, der das Gegenteil behauptet, übertreibt.
Die Frage, “welcher gewinnt”, ist etwas falsch gestellt. OpenClaw und seine unglaubliche Community bleiben das Zentrum der Gravitation für das Ökosystem. NemoClaw und IronClaw reagieren beide auf OpenClaws Einschränkungen, aber mit unterschiedlichen Philosophien.
NemoClaw’s Weg zur Dominanz ist am offensichtlichsten. NVIDIA hat die Enterprise-Beziehungen, die Distribution, das Hardware-Ökosystem, um die Akzeptanz für große Organisationen reibungslos zu machen. Die Wette, die Huang gestellt hat – dass jedes Unternehmen eine OpenClaw-Strategie braucht, wie jedes Unternehmen einmal eine Linux-Strategie brauchte, ist wahrscheinlich richtig, und NemoClaw ist positioniert, um die Standard-Antwort auf diese Frage in Unternehmensumgebungen zu sein.
IronClaw’s Wertversprechen ist spezifischer und dauerhafter in regulierten Branchen. Es ist das einzige Framework, bei dem Datenvertraulichkeit architektonisch durchgesetzt wird, anstatt richtlinienerzwungen. Rust-basierte Speichersicherheit und WASM-Tool-Isolation sind Eigenschaften der Runtime, keine Konfigurationen, die ein Administrator vergessen hat zu setzen. Für Legal-, Healthcare- und Financial-Anwendungsfälle, die unter GDPR, HIPAA oder ähnlichen Frameworks operieren, hat diese Unterscheidung einen echten Compliance-Wert.
OpenClaw selbst geht nirgendwohin. Peter Steinberger mag jetzt bei OpenAI sein, aber die Stiftungsstruktur hält das Projekt unabhängig und Community-gesteuert, und seine Fähigkeiten bleiben unvergleichlich für einzelne Power-User, die die Sicherheitsoberfläche selbst verwalten möchten.
Die interessanteste Frage ist nicht, welche Kralle überlebt, sondern wie schnell NemoClaw von Alpha reift und ob sein Kernel-Level-Ansatz mit der kontinuierlich expandierenden Angriffsfläche Schritt halten kann, die mit selbstentwickelnden Agenten kommt. Angesichts von NVIDIAs Erfolgsbilanz bei der Umwandlung von Software-Wetten in Infrastruktur-Standards ist das intelligente Geld, dass es dorthin kommt.
Dieser Beitrag wurde zuletzt im März 2026 aktualisiert. Das Claw-Ökosystem bewegt sich schnell – CVE-Zeitpläne und Feature-Verfügbarkeit können sich geändert haben.
Maria ist Copywriterin bei FlowHunt. Als Sprachliebhaberin, die in literarischen Gemeinschaften aktiv ist, weiß sie genau, dass KI die Art und Weise verändert, wie wir schreiben. Anstatt sich dagegen zu wehren, möchte sie helfen, das perfekte Gleichgewicht zwischen KI-Workflows und dem unersetzlichen Wert menschlicher Kreativität zu definieren.
Verbinde deinen Claw-basierten Agent mit FlowHunt und automatisiere komplexe Workflows, von der Datenverarbeitung bis zu mehrstufigen KI-Pipelines.
Erfahren Sie, wie AMP, Sourcegraphs bahnbrechender Coding-Agent, die KI-Entwicklung revolutioniert, indem er schnelle Iteration, autonomes Denken und Tool-Calli...
OpenAI ist eine führende Forschungsorganisation im Bereich der künstlichen Intelligenz, bekannt für die Entwicklung von GPT, DALL-E und ChatGPT, mit dem Ziel, s...
Entdecken Sie, wie GPT-5 Codex die Softwareentwicklung mit fortschrittlichen agentischen Programmierfähigkeiten, 7-stündiger autonomer Aufgabenausführung und in...
