00:00:00Also, OpenClaw – oder Clodbot, wie es früher hieß – und Moldbook, das waren echt intensive
00:00:06Tage hier im Netz. Wir haben einen neuen KI-Hype, und natürlich habe auch ich die letzten Tage damit verbracht,
00:00:13so viel wie möglich aus OpenClaw herauszuholen. Dabei sind mir einige Gedanken gekommen,
00:00:19die sich von den meisten anderen Videos und Posts unterscheiden, die ich gesehen habe.
00:00:24Aber lassen Sie mich mit einer kurzen Geschichte beginnen, und ich bin sicher, Sie verstehen die Analogie.
00:00:31Stellen Sie sich vor, Sie leben in einem Dorf, und dort gibt es diesen wirklich netten
00:00:37Typen, der extrem eifrig und hilfsbereit ist und Ihnen bei allen möglichen Aufgaben unter die Arme greift.
00:00:43Er erledigt all die lästigen Aufgaben, auf die Sie keine Lust haben – zumindest versucht er es.
00:00:48Er bringt Ihre Kinder zur Schule, putzt Ihr Haus, wäscht Ihr Auto, geht für Sie einkaufen,
00:00:54sodass Sie sich entspannt zurücklehnen können. Damit er Ihnen aber wirklich helfen kann,
00:01:03benötigt dieser Assistent natürlich weitreichende Befugnisse.
00:01:06Sie müssen ihm die Hausschlüssel geben, Sie müssen ihm die Autoschlüssel geben,
00:01:12damit er es von innen reinigen und damit Einkäufe erledigen kann.
00:01:16Natürlich müssen Sie auch Ihren Kindern sagen, dass sie zu ihm ins Auto steigen sollen,
00:01:21damit er sie zur Schule bringen kann, und so weiter und so fort.
00:01:24Nun gibt es bei diesem Typen jedoch ein Problem.
00:01:28Er ist zwar super freundlich, zieht aber manchmal sehr eigenartige Schlüsse.
00:01:32Zumindest kann man nicht ausschließen, dass er zu merkwürdigen Ergebnissen kommt.
00:01:37Vielleicht kommt er zu dem Schluss, dass der beste Weg, den Schmutz im Haus loszuwerden, darin besteht,
00:01:43es einfach anzuzünden.
00:01:44Leider lässt er sich auch leicht von anderen beeinflussen, besonders wenn diese etwas
00:01:51hinterhältiger vorgehen.
00:01:53Man könnte ihn dazu bringen, Ihr Auto zu stehlen, weil das angeblich besser für die Gesellschaft wäre.
00:02:03Wie gesagt: Das muss nicht passieren, aber es ist absolut im Bereich des Möglichen.
00:02:09Man kann es eben nicht ausschließen.
00:02:12Und deshalb müssen Sie ihm leider viele der Berechtigungen und Zugänge,
00:02:19die Sie ihm gewährt haben, wieder entziehen, weil Sie ihm nicht vollends vertrauen können.
00:02:26Die Konsequenzen wären einfach zu verheerend, um sie als potenzielles Risiko
00:02:33einfach so hinzunehmen.
00:02:35Da Sie ihm nun viele dieser Befugnisse und Zugriffsrechte nehmen,
00:02:40wird er für Sie natürlich immer weniger nützlich.
00:02:43Und dann gibt es noch ein weiteres Problem.
00:02:46Selbst mit weitreichenden Rechten war der Nutzen nicht so groß wie erhofft.
00:02:54Denn die Aufgaben, die er versprochen hatte, erledigte er nur manchmal.
00:03:00Manche Dinge konnte er gar nicht, anderes vergaß er wieder oder erledigte
00:03:06dieselbe Aufgabe jedes Mal anders, wenn man ihn fragte, oder er brauchte ständig
00:03:12Ihre Hilfe und Rückmeldung.
00:03:14Letztlich sind Sie also nicht überzeugt.
00:03:17Und genau das war – Sie haben es erraten – meine Erfahrung mit OpenClaw.
00:03:22Und glauben Sie mir, ich habe es wirklich versucht.
00:03:24Ich habe so viel Gutes darüber gelesen.
00:03:25Ich habe viel Positives darüber gehört.
00:03:27Also habe ich es natürlich ausprobiert.
00:03:29Ich habe mir einen eigenen VPS aufgesetzt.
00:03:31Übrigens wusste ich gar nicht, dass man auch andere VPS-Anbieter außer Hostinger nutzen kann.
00:03:38Nichts gegen Hostinger.
00:03:39Ich hatte nur einen anderen Eindruck, als ich mir viele dieser Videos ansah.
00:03:43Wie auch immer, ich habe meinen eigenen VPS gestartet und OpenClaw darauf installiert.
00:03:50Natürlich könnte man es auch auf dem eigenen Rechner installieren.
00:03:54Dazu muss man nur einen einzigen Befehl ausführen, und schon kann es losgehen.
00:03:58Aber ich persönlich würde es niemals auf meinem MacBook installieren, obwohl mir völlig klar ist,
00:04:04dass ich mehr davon hätte, wenn ich es direkt dort installiere.
00:04:09Warum ich es dort nicht installiert habe und warum ich das auch niemals tun würde,
00:04:13darauf komme ich später noch zurück.
00:04:15Ich habe es also auf meinem VPS installiert und den Onboarding-Prozess durchlaufen.
00:04:19Den haben Sie sicher schon oft gesehen oder vielleicht sogar selbst schon gemacht.
00:04:25Ich habe es schließlich mit meinem ChatGPT-Plus-Abo verknüpft, meinen Telegram-Bot eingerichtet und
00:04:33war bereit, mit meinem Bot – meinem OpenClaw-Bot – zu kommunizieren.
00:04:39Und dann saß ich da und musste mir Dinge überlegen, die er für mich erledigen sollte.
00:04:47Ich habe natürlich viele Beiträge und Videos gesehen, in denen Leute damit
00:04:54Dashboards erstellt, Recherchen durchgeführt oder günstigere Flüge gefunden und gebucht haben.
00:05:04Aber ich hatte keine Lust, ihm Zugriff auf meine Kreditkarte zu geben.
00:05:08Und ich weiß nicht, wie es Ihnen geht, aber ich fliege normalerweise nicht dreimal am Tag.
00:05:13Diese Flüge selbst zu suchen – zumal es Vergleichsseiten gibt, die den günstigsten Flug finden –
00:05:19war für mich keine allzu schwierige Aufgabe.
00:05:24Tatsächlich genieße ich den Prozess der Reiseplanung sogar, aber das mag bei jedem anders sein.
00:05:30Bei Recherchen hatte ich das Problem, dass ich mit den bereits existierenden KI-Tools
00:05:35wie dem KI-Modus auf Google, Deep Research von Gemini oder ChatGPT sehr zufrieden bin.
00:05:43Ich nutze diese Tools sehr oft.
00:05:44Ich finde sie wirklich hilfreich.
00:05:46Ich brauchte also nicht unbedingt einen eigenen Bot, bei dem die Chance sogar hoch ist,
00:05:53dass er schlechter abschneidet.
00:05:54Mir ist klar, dass es Bereiche gibt, in denen er besser sein könnte als andere
00:06:02Recherche-Bots oder Dienste.
00:06:03Wenn ich ihm zum Beispiel Zugriff auf mein X-Konto gewähren würde, verstehe ich,
00:06:10dass er natürlich auch dort recherchieren könnte, wo man eingeloggt sein muss oder wo mein
00:06:16Verlauf eine Rolle spielt.
00:06:17Das leuchtet mir absolut ein.
00:06:20Dafür nutze ich zum Beispiel Super Grok, wenn ich auf X etwas recherchieren will.
00:06:24Aber ja, ich verstehe: Wenn man weitreichende Berechtigungen gibt, den Login in Konten erlaubt,
00:06:31den Browser nutzen lässt oder es auf dem eigenen System ausführt, kann man wahrscheinlich mehr herausholen,
00:06:37als ich es konnte.
00:06:39Vielleicht bin ich auch einfach nicht kreativ genug.
00:06:43Und um das ganz klar zu sagen – ich glaube, das habe ich auch schon in anderen Videos betont:
00:06:47Ich bin ein Power-User von KI, nicht nur für Recherchen, sondern zum Beispiel auch beim Programmieren.
00:06:53Ich habe erst kürzlich einen kompletten Claude-Code-Kurs veröffentlicht, weil ich Claude Code und andere
00:06:58Tools wie Cursor nutze, um Software zu entwickeln.
00:07:01Ich denke, KI ist dort eine riesige Hilfe bzw. kann eine riesige Hilfe sein.
00:07:07Das ist also keine generelle Abneigung gegen KI.
00:07:09Ich habe nur schlichtweg keine genialen Anwendungsfälle für OpenClaw gefunden, vor allem, wenn es nicht
00:07:16direkt auf meinem Rechner läuft.
00:07:17Und das ist das Hauptproblem, das ich damit habe. Man könnte zwar sagen,
00:07:24ich sei nicht kreativ oder aufgeschlossen genug für die richtigen Use-Cases.
00:07:31Aber das Thema Sicherheit ist für mich bei OpenClaw ein riesiger Knackpunkt.
00:07:37Ich weiß, es gibt Leute, die sagen, sie hätten es wochenlang benutzt und es sei nichts
00:07:42passiert oder dass das alles natürlich noch besser wird.
00:07:47Und ich muss sagen, das erste Argument – dass bisher nichts passiert ist – überzeugt mich nicht,
00:07:55denn nur weil bei einem persönlich alles gut ging, heißt das nicht, dass alles sicher ist.
00:08:02Es gibt massive Sicherheitslücken, die von böswilligen Akteuren ausgenutzt werden können,
00:08:11oder Dinge können einfach schiefgehen, weil KI – also Large Language Models – unberechenbar ist.
00:08:22Natürlich ist die Chance, dass sie die Festplatte löscht, nicht extrem hoch, sondern super gering,
00:08:28aber sie ist nicht null.
00:08:29Und sie wird bei LLMs ohne zusätzliche Kontrollmechanismen auch nie null sein.
00:08:35Sie können unberechenbar sein.
00:08:37Zudem steht in der offiziellen Sicherheitsdokumentation von OpenClaw völlig richtig,
00:08:44dass Prompt-Injection-Angriffe noch nicht gelöst sind.
00:08:47Klar, die neuesten Modelle wie GPT-5.2 und so weiter sind viel besser darin geworden,
00:08:55sich gegen Prompt-Injection zu schützen.
00:08:56Sie können Anweisungen und System-Prompts viel besser befolgen.
00:09:00Aber es gibt keinen 100-prozentigen Schutz gegen Prompt-Injection.
00:09:06Und so wie LLMs funktionieren, wird es den auch nie geben.
00:09:10Prompt-Injection-Angriffe können also nicht ausgeschlossen werden. Und je populärer Tools wie
00:09:17OpenClaw werden und je mehr Leute sie nutzen, desto mehr rücken sie ins Visier
00:09:23von Angreifern.
00:09:24Es gibt verschiedene Wege, Prompts in einen aktiven OpenClaw-Bot einzuschleusen.
00:09:32Vielleicht denken Sie: „Ich bin doch der Einzige, der damit kommuniziert, ich habe meinen Telegram-Bot
00:09:36eingerichtet und nur ich habe Zugriff, also bin ich sicher.“
00:09:40Weit gefehlt.
00:09:42Es gibt zum Beispiel das Konzept der „Skills“ bei OpenClaw, und vielleicht kennen Sie Skills schon
00:09:48von Coding-Agenten wie Claude Code.
00:09:50Die Idee dahinter ist im Grunde dieselbe.
00:09:52Man stellt dem Agenten zusätzlichen Kontext zur Verfügung, meist ein Markdown-Dokument,
00:09:59das oft mit ausführbaren Skripten gekoppelt ist, um ihm mehr Fähigkeiten zu verleihen.
00:10:06Zum Beispiel eine extra Dokumentation darüber, wie er mit Slack interagieren soll.
00:10:11In diesem Beispiel hier.
00:10:13Und wie erwähnt, kann ein Skill auch ein zusätzliches Skript enthalten,
00:10:18das die KI ausführen kann, um effizient Dinge zu erledigen, wie ein Bild zu generieren,
00:10:23eine Slack-Nachricht zu senden oder was auch immer.
00:10:26Das Problem ist nun, dass ClawHub, der offizielle Marktplatz für OpenClaw-Skills, anfangs
00:10:34jedem erlaubte, Skills einzureichen.
00:10:37Es war also ziemlich einfach, Supply-Chain-Angriffe durchzuführen, wie wir sie letztes Jahr im NPM-Ökosystem gesehen haben –
00:10:47völlig unabhängig von KI. Das bedeutet im Grunde, dass ein Angreifer einen Skill veröffentlicht,
00:10:55der der KI befiehlt, etwas Schädliches zu tun – und das ist nichts anderes als eine Prompt-Injection.
00:11:00Allein durch das Installieren eines bösartigen Skills könnten Sie Ihren Agenten also einem Prompt-Injection-Angriff aussetzen.
00:11:07Mittlerweile wurden hier einige Korrekturen vorgenommen.
00:11:10Zum Zeitpunkt dieser Aufnahme kann nicht mehr jeder einfach so Skills einreichen.
00:11:15Die Sicherheit wurde hier also massiv verbessert.
00:11:18Aber wenn wir eines aus den Supply-Chain-Angriffen auf NPM gelernt haben, dann,
00:11:24dass wir absolut nicht ausschließen können, dass dieses Skills-Feature genutzt werden kann, um bösartige
00:11:31Anweisungen in das Ökosystem und potenziell in Ihr OpenClaw-Setup einzuschleusen.
00:11:38Und das ist nicht der einzige Weg für Prompt-Injection-Angriffe.
00:11:41Wenn Ihr Bot auf das Internet zugreift – was er höchstwahrscheinlich tut – besucht er natürlich
00:11:46Webseiten oder liest deren Inhalte.
00:11:50Auch dort kann es bösartige Webseiten geben, die die KI austricksen, damit sie Anweisungen oder
00:11:58Befehle ausführt, die in die Website eingebettet sind.
00:12:02Jeder Text, den Ihr Bot liest und verarbeitet, ist am Ende ein Prompt.
00:12:09Jede Website, die er besucht, ist ein Prompt oder enthält einen Prompt, den er befolgen und ausführen kann.
00:12:17Und dann gibt es noch weitere potenzielle Quellen.
00:12:20Zum Beispiel E-Mails.
00:12:21Wenn Sie Ihren Bot eingehende E-Mails verarbeiten lassen, fungiert jede E-Mail natürlich als Prompt.
00:12:29Prompt-Injection ist also ein ernstes, riesiges Risiko.
00:12:34Und nur weil bei Ihnen noch nie etwas schiefgegangen ist, heißt das nicht, dass es nicht passieren kann.
00:12:40Nun sagen Sie vielleicht: „Ich lasse meinen Bot auf einem VPS laufen.“
00:12:45Oder vielleicht nutzen Sie so etwas wie MoldWorker, was im Grunde eine Vorlage oder ein
00:12:51Setup von Cloudflare ist, das verschiedene Cloudflare-Dienste nutzt, um OpenClaw sicher zu hosten.
00:13:00Und genau das sollten Sie auch tun.
00:13:02Sie sollten das unbedingt so machen.
00:13:03Sie sollten es auf keinen Fall direkt auf Ihrem System laufen lassen.
00:13:08Es gibt auch Funktionen wie Sandboxing.
00:13:11Das ist tatsächlich in OpenClaw integriert.
00:13:15Es gibt einen ganzen Artikel in der Dokumentation über Sandboxing und wie man sicherstellt, dass Agenten
00:13:21in einem Sandbox-Modus – also einem Docker-Container – laufen, damit der Schadensradius begrenzt wird.
00:13:27Übrigens: Die Dokumentation ist zwar umfangreich, aber nicht besonders gut.
00:13:32Ich habe Stunden, wirklich viele Stunden damit verbracht, mein Setup abzusichern.
00:13:37Sicherlich steht alles irgendwo drin.
00:13:39Ich habe diesen Sicherheitsartikel ja gesehen.
00:13:42Es ist nur einfach wahnsinnig kompliziert.
00:13:44Und bevor Sie sagen, ich hätte meinen OpenClaw-Bot fragen sollen: Das habe ich oft getan.
00:13:49Es hat manchmal funktioniert,
00:13:50manchmal nicht.
00:13:51Es war viel Ausprobieren dabei.
00:13:52Die Dokumentation und wie schwer es ist, nützliche Infos daraus zu ziehen, ist ein eigenes Problem,
00:14:00das man natürlich beheben kann.
00:14:04Und ich schätze es, dass die Informationen theoretisch da sind, um das klarzustellen.
00:14:09Aber ja, Sandboxing ist integriert und verfügbar. Es erlaubt, den Schadensradius zu begrenzen,
00:14:17was extrem wichtig ist, da Prompt-Injection-Lücken existieren, die man nicht wirklich schließen kann.
00:14:27Schadensbegrenzung ist hier alles.
00:14:34Wenn man Sandboxing nutzt und das Ganze auf einem VPS laufen lässt, ist das Schlimmste,
00:14:40was passieren kann, dass die Daten in der Sandbox gelöscht werden oder – je nach Setup –
00:14:46vielleicht der gesamte VPS, aber eben nicht Ihr Hauptrechner.
00:14:50Das ist der Grund, warum ich OpenClaw nie auf meinem Hauptrechner laufen lassen würde.
00:14:57Ich will unter keinen Umständen, dass es Dateien oder die Festplatte auf meinem Rechner löscht.
00:15:02Den Schadensradius zu verringern ist also wichtig, aber leider schützt es Sie immer noch nicht
00:15:07vor den schlimmsten Dingen, die passieren könnten.
00:15:10Denn bei Prompt-Injection-Angriffen könnte ein Angreifer zwar versuchen, Dateien zu löschen,
00:15:15aber noch viel schlimmer: Er könnte Daten stehlen.
00:15:19Datenexfiltration ist meiner Meinung nach ein größeres Problem als das Löschen von Dateien
00:15:29auf Ihrem System.
00:15:31Und Datenexfiltration ist absolut etwas, das infolge eines Prompt-Injection-Angriffs
00:15:39passieren kann. Ein Angreifer könnte die KI dazu bringen, alle Geheimnisse zu sammeln,
00:15:44die sie kennt – alle Passwörter. Und sie muss ja einige Passwörter kennen,
00:15:49um etwa Ihr E-Mail-Konto zu nutzen. Vielleicht haben Sie ihr auch Ihre Kreditkartennummer gegeben.
00:15:55Sie hat also Zugriff auf diverse Daten, und diese könnten durch einen Prompt-Injection-Angriff
00:16:01gesammelt und nach außen geschleust werden.
00:16:04Das ist ein größeres Risiko als das potenzielle Löschen der Festplatte, wenn man es richtig aufgesetzt hat.
00:16:12Natürlich könnte sie auch andere Dinge tun.
00:16:14Sie könnte Ihren VPS zum Beispiel in einen Bot für DDoS-Attacken verwandeln.
00:16:21Das ist nur ein Beispiel; es gibt unendlich viele Möglichkeiten, was man anstellen könnte.
00:16:26Die wichtigste Erkenntnis ist: Durch Prompt-Injection-Angriffe könnten Angreifer
00:16:33Ihren Bot und damit Ihren Rechner übernehmen.
00:16:36Sie könnten den Bot anweisen, Schadsoftware zu installieren oder die Systemkonfiguration zu ändern –
00:16:42je nachdem, welche Zugriffsrechte er hat – und dann könnten sie potenziell Ihren
00:16:47VPS oder Ihren Rechner komplett übernehmen.
00:16:49Das sind die Dinge, die passieren könnten.
00:16:52„Zugriffsrechte“ ist hier das entscheidende Stichwort, und Sandboxing ist ein wesentlicher Teil
00:16:59davon.
00:17:00Aber das ist noch nicht alles.
00:17:01Sie können Ihren OpenClaw-Bot so konfigurieren, dass er im Sandbox-Modus um Erlaubnis fragen muss,
00:17:09zumindest für die Ausführung bestimmter Aufgaben.
00:17:14Aber das macht die Idee eines Bots zunichte, der im Hintergrund läuft und Dinge erledigt,
00:17:19während Sie weg sind. Sie müssten ihm ja ständig alles Mögliche genehmigen,
00:17:26was er plötzlich tun will.
00:17:29Das wird natürlich extrem nervig. Irgendwann lesen Sie gar nicht mehr, was er eigentlich genehmigt haben will,
00:17:33klicken einfach auf „Erlauben“ oder schalten die Funktion ganz ab, weil
00:17:38es Sie nur noch nervt.
00:17:39Es ist eben nicht besonders nützlich, wenn man alles manuell absegnen muss.
00:17:44Nehmen Sie also diese Sicherheitsprobleme und die Tatsache, dass ich keinen Weg gefunden habe,
00:17:52das Ganze so sicher zu betreiben, dass ich mich dabei wohlfühle, und kombinieren Sie das mit
00:17:58dem Fehlen wirklich überzeugender Anwendungsfälle.
00:18:01Diese Kombination führt dazu, dass ich OpenClaw schlichtweg
00:18:06nicht mehr nutze.
00:18:07Das kann bei Ihnen natürlich anders sein. Ich habe viele Beiträge von Leuten gelesen, die total
00:18:11begeistert waren. Und ja, es ist möglich, dass die Zukunft persönlicher KI-Assistenten
00:18:18ungefähr so aussieht.
00:18:19Vielleicht werden bessere Sicherheitsmechanismen erfunden, die nicht
00:18:27für alles eine ständige Zustimmung erfordern oder die den Freigabeprozess vereinfachen
00:18:34und so einen sicheren Betrieb solcher Assistenten ermöglichen.
00:18:38Das ist alles möglich.
00:18:39Ich würde nicht ausschließen, dass das passiert.
00:18:43Es ist zweifellos eine beeindruckende Leistung, dass ein einzelner Entwickler dieses Tool gebaut hat.
00:18:48Allerdings hat es seinen Preis, wenn man den Code überhaupt nicht prüft, wie man an den vielen Bugs
00:18:56und Sicherheitsproblemen sieht.
00:18:59Nicht, dass Software keine Sicherheitsmängel hätte, wenn man alles prüfen würde,
00:19:05aber es hilft meiner Meinung nach sicher nicht, wenn man gar nicht erst in den Code schaut.
00:19:09Dennoch ist es eine beachtliche Leistung. Und wenn Sie sich fragen, warum OpenAI
00:19:14oder Google nicht mit so einem Produkt um die Ecke gekommen sind: Ein Grund mag mangelnde Innovation sein,
00:19:20aber vor allem kann so ein Tool momentan nur als Open-Source-Software ohne
00:19:26rechtliche Verpflichtungen existieren. Google könnte so etwas mit derart weitreichenden Befugnissen
00:19:34derzeit weder verkaufen noch für Sie betreiben.
00:19:38Aber es ist gut möglich, dass dies der erste Funke ist, der uns in Zukunft sicherere
00:19:44und vielleicht nützlichere KI-Assistenten beschert.
00:19:50Um auch kurz Moldbook zu erwähnen: Das habe ich überhaupt nicht verstanden.
00:19:58Es sollte wohl ein soziales Netzwerk nur für KIs sein. Am Ende stellte sich heraus,
00:20:05dass es sehr stark von Menschen gesteuert und ziemlich künstlich war. Zudem hatte es klaffende
00:20:14Sicherheitslücken. Keine Ahnung – KI hat positive Seiten und Auswirkungen,
00:20:24aber eben auch viele negative.
00:20:29Dieses Ding hier braucht die Welt meiner Meinung nach nicht.
00:20:33Aber ja, OpenClaw: definitiv interessant, für Sie vielleicht super nützlich, für mich
00:20:41im Moment jedoch nicht das Richtige.