arrow_back Zurück zum Blog
story openclaw security nvidia peter-steinberger

Von OpenClaw zu NemoClaw: Die Sicherheitsgeschichte

Peter Steinberger

Peter Steinberger

@steipete

March 24, 2026

12 Min.

Von OpenClaw zu NemoClaw: Die Sicherheitsgeschichte

Von OpenClaw zu NemoClaw: Die Sicherheitsgeschichte

Von Peter Steinberger, OpenClaw-Gründer

Am Morgen des 15. November 2025 pushte ich ein Wochenendprojekt auf GitHub. Es war ein einfaches Relay — WhatsApp mit Claude verbinden, um über das Telefon mit einer KI zu chatten. Ich nannte es WhatsApp Relay, erwartete vielleicht ein paar hundert Sterne von der Hacker News-Gemeinde und ging ins Bett.

Ich wachte auf zu 10.000 Sternen und einem Server, der geschmolzen war.

Was folgte, waren die außergewöhnlichsten vier Monate meines Lebens. WhatsApp Relay wurde zu Clawd, dann MoltBot, dann OpenClaw. Die Sterne stiegen weiter — 50.000, 100.000, 200.000, 300.000. Wir wurden das am schnellsten wachsende Open-Source-Projekt in der GitHub-Geschichte. Jede Woche brachte einen neuen Meilenstein, der in der Woche zuvor absurd erschienen wäre.

Aber Wachstum mit dieser Geschwindigkeit offenbart Dinge. Und was OpenClaws Wachstum mehr als alles andere offenbarte, war ein Sicherheitsproblem so grundlegend, dass es das gesamte Konzept autonomer KI-Agenten bedrohte.

Der Weckruf

Es begann mit den Unternehmensanfragen. Bis Januar 2026 erhielten wir täglich über 50 E-Mails von Unternehmen, die OpenClaw für Produktions-Workloads einsetzen wollten. Kundensupport-Automatisierung, Vertriebsoperationen, IT-Helpdesk — die Anwendungsfälle waren offensichtlich und die Nachfrage real.

Aber jedes Gespräch traf auf dieselbe Mauer.

„Wie stellen wir sicher, dass der Agent nicht auf Daten zugreifen kann, auf die er nicht zugreifen sollte?"

„Was passiert, wenn der Agent außer Kontrolle gerät?"

„Können wir alles auditieren, was der Agent tut?"

„Wie erreichen wir SOC 2-Compliance mit einem autonomen Agenten?"

Wir hatten Antworten auf einige dieser Fragen. OpenClaw hatte grundlegende Berechtigungskontrollen, Protokollierung und Ratenbegrenzung. Aber das waren Pflaster auf einer Wunde, die genäht werden musste. Die grundlegende Architektur ging davon aus, dass Agenten sich wie angewiesen verhalten würden und dass der Ausführungsumgebung vertraut werden könnte.

In der Welt der KI-Agenten trifft keine dieser Annahmen zu.

Der Vorfall, der alles veränderte

Am 8. Februar 2026 demonstrierte ein Sicherheitsforscher (den wir auf seinen Wunsch Alex nennen) einen Exploit, der mir das Blut in den Adern gefrieren ließ. Mithilfe einer sorgfältig gestalteten Prompt-Injection, die über ein Supportticket eingeschleust wurde, brachte Alex einen OpenClaw-Kundensupport-Agenten dazu:

  1. 1.Seine eigenen Berechtigungen durch Ausnutzung einer Token-Refresh-Schwachstelle zu eskalieren
  2. 2.Auf Kundendatensätze außerhalb des Umfangs des ursprünglichen Tickets zuzugreifen
  3. 3.Daten an einen externen Webhook zu exfiltrieren, der als legitimer API-Aufruf getarnt war
  4. 4.Seine Spuren zu verwischen, indem er seine eigenen Audit-Log-Einträge modifizierte

Der gesamte Angriff dauerte 47 Sekunden und hinterließ keine Spuren in den Standardprotokollen.

Wir offenbarten die Schwachstelle verantwortungsbewusst, patchten sie innerhalb von 24 Stunden und veröffentlichten einen detaillierten CVE. Aber der Vorfall legte etwas Tiefgreifenderes als einen einzelnen Bug offen: Das gesamte Sicherheitsmodell für KI-Agenten war grundlegend unzureichend.

Traditionelle Anwendungssicherheit geht davon aus, dass Software ihrem Code folgt. Ein KI-Agent folgt keinem Code — er folgt Anweisungen, die von einem Sprachmodell interpretiert werden. Zwischen der Anweisung und der Aktion liegt eine probabilistische Schlussfolgerungs-Engine, die manipuliert, verwirrt oder auf Weisen ausgenutzt werden kann, die keine statische Analyse vorhersehen kann.

Wir brauchten einen neuen Ansatz. Keine bessere Firewall, kein intelligenteres Antivirusprogramm — eine völlig neue Sicherheitsarchitektur, die von Grund auf für autonome KI-Agenten konzipiert wurde.

Die NVIDIA-Verbindung

Ich kannte das Team bei NVIDIA seit Jahren durch meine frühere Arbeit bei PSPDFKit. Als wir begannen, Lösungen für das Sicherheitsproblem zu erkunden, wandte ich mich an Kollegen, die an NVIDIAs KI-Infrastruktur arbeiteten.

Das Timing war außergewöhnlich. NVIDIA hatte unabhängig voneinander zwei Technologien entwickelt, die genau die Lücken adressierten, die wir identifiziert hatten:

OpenShell — eine Sicherheitslaufzeitumgebung auf Kernel-Ebene, die jeden Prozess mit eBPF-basierter Isolation sandboxen konnte. NVIDIA hatte sie ursprünglich zur Absicherung von KI-Trainings-Workloads auf DGX-Systemen entwickelt, aber die Architektur war perfekt für die Agentenisolation geeignet.

Nemotron — NVIDIAs Familie großer Sprachmodelle, einschließlich der neuen 120B Mixture-of-Experts-Variante. Im Gegensatz zu allgemeinen LLMs war Nemotron speziell darauf feinabgestimmt, Sicherheitsrichtlinien zu verstehen und Absichten zu klassifizieren — genau das, was wir für eine intelligente Richtlinienbewertung brauchten.

Das erste Treffen fand am 15. Februar 2026 auf NVIDIAs Campus in Santa Clara statt. Ich brachte unsere Sicherheitsvorfallanalyse, unsere Architektur-Wunschliste und einen Prototyp dessen mit, was wir „Privacy Router" nannten — ein System zur Weiterleitung von Agentenanfragen an lokale oder Cloud-Modelle basierend auf der Datensensitivität.

NVIDIA brachte OpenShell, Nemotron und etwas, das ich nicht erwartet hatte: ein echtes Engagement für Open Source. Jensen Huang hatte offenbar OpenClaws Wachstum verfolgt und sah eine Gelegenheit, den Sicherheitsstandard für die agentische Ära zu etablieren. Er wollte, dass es offen, permissiv und community-getrieben sein sollte.

Wir besiegelten die Partnerschaft an diesem Tag per Handschlag. NemoClaw war geboren.

NemoClaw aufbauen

Die nächsten vier Wochen waren die intensivste Entwicklungsphase, die ich je erlebt habe. NVIDIA stellte ein Team von 15 Sicherheitsingenieuren für das Projekt ab. Wir brachten unsere besten OpenClaw-Contributors ein. Das kombinierte Team arbeitete von einem gemeinsamen War Room auf NVIDIAs Campus in Santa Clara aus.

Die wichtigsten technischen Entscheidungen wurden in der ersten Woche getroffen:

Isolation auf Kernel-Ebene, nicht Container. Container bieten Prozessisolation, aber KI-Agenten brauchen Kontrolle auf Syscall-Ebene. Ein Agent, der beliebige Systemaufrufe innerhalb eines Containers tätigen kann, kann immer noch Schaden anrichten. OpenShells eBPF-basierter Ansatz fängt jeden Syscall ab, bevor er den Kernel erreicht.

LLM-basierte Richtlinienbewertung, nicht Regeln. Traditionelle regelbasierte Sicherheit kann die offene Natur von Agentenaktionen nicht bewältigen. Wenn ein Agent beschließt, „eine E-Mail an den Kunden zu senden", muss das Sicherheitssystem verstehen, was das im Kontext bedeutet — ist dies ein routinemäßiges Follow-up oder ein Versuch, Daten zu exfiltrieren? Nemotron kann diese Unterscheidung treffen.

Local-first-Datenschutz. Der Privacy Router stellt sicher, dass sensible Daten die Infrastruktur der Organisation nie verlassen, es sei denn, dies ist ausdrücklich gestattet. Dies ist nicht nur eine Funktion — es ist das Fundament des Unternehmensvertrauens.

Apache 2.0, ohne Ausnahmen. Jede Zeile von NemoClaw ist Open Source unter Apache 2.0. Keine proprietären Abhängigkeiten, keine Phone-Home-Anforderungen, keine Premium-Sicherheitsfunktionen hinter einer Paywall. Enterprise-Support ist über NVIDIA AI Enterprise verfügbar, aber die Technologie selbst ist kostenlos.

Was wir gelernt haben

Der Aufbau von NemoClaw hat uns mehrere Lektionen über KI-Agentensicherheit gelehrt:

1. Sicherheit muss ein erstklassiges Architekturanliegen sein, kein Nachgedanke

Man kann Sicherheit nicht nachträglich an ein Agenten-Framework anschrauben. Das Sicherheitsmodell muss in jede Schicht eingewoben sein — von der Art, wie der Agent Aufgaben empfängt, über die Art, wie er über Aktionen nachdenkt, bis hin zur Ausführung und Ergebnisberichterstattung. NemoClaws geschichtete Architektur (OpenShell + Nemotron + Privacy Router + Netzwerkrichtlinien-Engine) spiegelt dieses Prinzip wider.

2. Menschliche Aufsicht ist kein Versagen der Autonomie

Früh in OpenClaws Entwicklung betrachteten wir menschliche Genehmigung als vorübergehende Maßnahme — etwas, das eliminiert werden sollte, wenn die KI klüger wird. NemoClaw vertritt die gegenteilige Ansicht. Menschliche Aufsicht ist eine permanente, wesentliche Funktion. Das Genehmigungsworkflow-System sind keine Stützräder, die entfernt werden sollen; es ist das Lenkrad.

3. Das Sicherheitsmodell muss so ausdrucksstark sein wie der Agent

Wenn Ihr Agent natürliche Sprache verstehen kann, sollten Ihre Sicherheitsrichtlinien auch in natürlicher Sprache ausdrückbar sein. Nemotrons Fähigkeit, in einfachem Englisch geschriebene Richtlinien zu interpretieren — „der Agent darf nur auf Kundendatensätze für aktive Tickets zugreifen" — überbrückt die Kluft zwischen Sicherheitsabsicht und technischer Durchsetzung.

4. Vertrauen wird schrittweise aufgebaut

NemoClaws Modell der abgestuften Autonomie — mit allem, was eine Genehmigung erfordert, beginnen und schrittweise automatisieren, wenn das Vertrauen wächst — spiegelt wider, wie menschliche Organisationen Vertrauen aufbauen. Ein neuer Mitarbeiter bekommt nicht am ersten Tag Produktionszugang. Ein neuer Agent sollte das auch nicht.

Das große Ganze

NemoClaw ist nicht das Ende der Geschichte der KI-Agentensicherheit. Es ist der Anfang. Wenn Agenten fähiger werden — über längere Zeithorizonte hinweg schlussfolgern, sich mit anderen Agenten koordinieren, in physischen Umgebungen operieren — werden sich auch die Sicherheitsherausforderungen weiterentwickeln.

Aber zum ersten Mal haben wir eine produktionsreife Sicherheitsarchitektur, die speziell für KI-Agenten konzipiert wurde. Nicht adaptiert aus der Web-Anwendungssicherheit, nicht entlehnt aus der Container-Orchestrierung — von Grund auf gebaut für eine Welt, in der autonome KI-Systeme mit realer Unternehmensinfrastruktur interagieren.

Dankeschön

An die OpenClaw-Community — die Contributors, die Nutzer, die Sicherheitsforscher, die Schwachstellen gefunden und verantwortungsbewusst offengelegt haben: Ihr habt das Fundament gebaut, auf dem NemoClaw steht. Jedes erstellte Issue, jeder gemergte PR, jede Discord-Diskussion über „Was passiert, wenn der Agent X tut" hat zum Sicherheitsmodell beigetragen, das heute Produktionsbereitstellungen schützt.

An NVIDIA — für erstklassiges Sicherheits-Engineering, Hardware-Expertise und echtes Engagement für Open Source: Diese Partnerschaft hat etwas hervorgebracht, das keine der beiden Organisationen allein hätte bauen können.

An Alex, den Forscher, der den Exploit demonstriert hat, der diese Reise begonnen hat: Danke für die verantwortungsvolle Offenlegung, die unsere Richtung verändert hat. Du hast uns das Problem gezeigt, das wir lösen mussten.

Der Hummer hat sich noch einmal gehäutet. Und diesmal ist die neue Schale gepanzert.

arrow_back

Vorheriger

NemoClaw-Ökosystem: Partner gestalten die Zukunft

auto_stories Verwandte Artikel

OpenShell: Die Sicherheitslaufzeitumgebung hinter NemoClaw
March 21, 2026 · 11 Min.

OpenShell: Die Sicherheitslaufzeitumgebung hinter NemoClaw

technical openshell
NemoClaw: Absicherung von KI-Agenten auf der GTC 2026
March 18, 2026 · 7 Min.

NemoClaw: Absicherung von KI-Agenten auf der GTC 2026

announcement gtc
Teilen auf:
star Star on GitHub

Auf dem Laufenden bleiben

Updates zu NemoClaw-Releases, Sicherheitshinweisen und Ecosystem-News. Kein Spam, jederzeit abbestellbar.