Schnell wachsender Open-Source-KI-Assistent testet die Grenzen von Automatisierung und Sicherheit

Kurzfassung

• Das Tool kann autonom im Web browsen, Befehle ausführen, Dateien verwalten und Telefonate über gängige Messaging-Apps tätigen.
• Sicherheitsexperten zufolge haben einige Nutzer es mit internetexponierten Gateways und ohne Authentifizierung eingesetzt, was Risiken für Fernübernahmen und Credential-Diebstahl schafft.
• Der hohe Token-Verbrauch hat frühe Anwender überrascht, wobei einige Entwickler innerhalb weniger Tage bei routinemäßiger Nutzung Hunderte von Dollar an Kosten meldeten.

Ein Open-Source-KI-Assistent hat in den letzten Wochen in Entwicklergemeinschaften explosionsartig an Popularität gewonnen, mit über 10.200 GitHub-Sternen und 8.900 Discord-Mitgliedern seit seiner Veröffentlichung im Januar. Clawdbot verspricht, was Siri nie geliefert hat: eine KI, die tatsächlich Dinge tut. Alex Finn, CEO von CreatorBuddy, schrieb seinem Clawdbot, Henry, eine Nachricht, um eine Restaurantreservierung zu machen. „Als die OpenTable-Reservierung nicht funktionierte, nutzte es seine ElevenLabs-Fähigkeit, um das Restaurant anzurufen und die Reservierung abzuschließen“, schrieb Finn auf X. „AGI ist hier, und 99 % der Menschen haben keine Ahnung.“ 

Clawdbot hebt sich dadurch hervor, dass es den Nutzerkontext auf dem Gerät speichert, Open Source ist und sich in erstaunlich schnellem Tempo entwickelt, schrieb Entwickler Dan Peguine am Samstag auf X. Es funktioniert auch über die wichtigsten Messaging-Plattformen hinweg und bietet persistenten Speicher mit proaktiven Hintergrundaufgaben, die weit über einen typischen persönlichen Assistent hinausgehen, fügte er hinzu. Außerdem ist es für den Alltag ziemlich einfach zu installieren. Clawdbot verwendet das Model Context Protocol, um KI-Modelle wie Claude oder GPT mit realen Aktionen zu verbinden, ohne menschliches Eingreifen. Das System kann lokal auf nahezu jeder Hardware laufen und verbindet sich über Messaging-Apps, die du bereits nutzt—WhatsApp, Telegram, Discord, Slack, Signal, iMessage. Es kann Terminalbefehle ausführen, Browser steuern, Dateien verwalten und Telefonate tätigen.

Von Investmentberatung bis hin zur Verwaltung von OnlyFans-Konten scheint alles möglich zu sein, solange du die Kreativität hast, es zu bauen, die Ressourcen, um die Tokens zu bezahlen, und den Mut, die Konsequenzen zu tragen, wenn etwas schiefgeht. Ungehinderter Zugriff Dennoch wirft Clawdbot bei Sicherheitsexperten Bedenken auf, die ein Problem entdeckt haben. Der KI-Forscher Luis Catacora führte einen Shodan-Scan durch und fand ein Problem: „Clawdbot-Gateways sind momentan ohne Authentifizierung exponiert (sie verbinden sich einfach mit deiner IP und sind in)… Das bedeutet Shell-Zugriff, Browser-Automatisierung, API-Schlüssel. Alles offen, sodass jemand die volle Kontrolle über dein Gerät haben kann.“

Clawdbot ist großartig 🦞

Aber ich habe gerade Shodan geprüft und es gibt exponierte Gateways auf Port 18789 ohne Authentifizierung

Das ist Shell-Zugriff, Browser-Automatisierung, deine API-Schlüssel

Cloudflare Tunnel ist kostenlos, es gibt keine Ausrede

RT, um einen ClawdBot vor dem „Koch“ zu bewahren pic.twitter.com/RC08q9Cstm

— Luis Catacora (@lucatac0) 25. Januar 2026

Tatsächlich haben mächtige Systeme in unerfahrenen Händen viele Maschinen exponiert. Die Lösung ist relativ einfach: Ändere eine Gateway-Bindung von einer öffentlichen auf eine lokale Einstellung und starte neu. Dieser Schritt ist nicht intuitiv, und die Standardkonfiguration hat viele Nutzer anfällig für Fernangriffe gemacht. Die empfohlene Reaktion ist, sofort den Netzwerkzugang zu beschränken, ordnungsgemäße Authentifizierung und Verschlüsselung hinzuzufügen, potenziell kompromittierte Schlüssel zu rotieren sowie Ratenbegrenzungen, Protokollierung und Alarmierung zu implementieren, um Missbrauch zu reduzieren. Der hohe Token-Verbrauch des Systems hat Nutzer überrascht, was Entwickler dazu veranlasst hat, kostengünstigere Modelle oder lokale Deployments zur Verbrauchsverwaltung zu empfehlen.

Federico Viticci von MacStories verbrauchte in seiner ersten Woche 180 Millionen Token. Auf Hacker News berichtete ein Entwickler, dass er innerhalb von zwei Tagen 300 $ für „grundlegende Aufgaben“ ausgegeben habe. Clawdbot ist die Kreation von Peter Steinberger, Gründer von PSPDFKit (heute Nutrient), der aus dem Ruhestand zurückkehrte, um das zu bauen, was er einen „24/7 persönlichen Assistenten“ nennt. Angesichts der Kosten wird derzeit empfohlen, vorsichtig zu sein, was man den Assistenten bitten soll. Die Projektdokumentation enthält einen Sicherheitsleitfaden und Diagnosebefehle, um Fehlkonfigurationen zu überprüfen. Die Community liefert schnell Korrekturen, etwa 30 Pull Requests täglich, doch die Umsetzung von Sicherheitsmaßnahmen hinkt noch hinter den Installationsraten her.