OpenClaw: Der selbst gehostete KI-Assistent, der 2026 GitHub gesprengt hat

Ein einzelnes Open-Source-Repo ist innerhalb weniger Monate von rund 9.000 auf über 300.000 Sterne hochgeschossen. Dieses Repo heißt OpenClaw, und bis April 2026 war es zum meistgesternten Projekt der GitHub-Geschichte geworden. Laut seiner GitHub-Seite liegt die Zahl der Sterne inzwischen jenseits der 378.000. Solche Zahlen deuten meist entweder auf echte Innovation oder auf einen Hype-Zyklus hin, deshalb lohnt es sich, den Lärm beiseitezuschieben: Was ist OpenClaw, warum hat es sich so schnell verbreitet, und solltest du es tatsächlich betreiben?

Die Kurzfassung: OpenClaw ist ein selbst gehosteter KI-Assistent, der auf deiner eigenen Hardware läuft, sich in die Messaging-Apps einklinkt, die du ohnehin nutzt, und in deinem Namen echte Aktionen ausführen kann. Es ist kein weiteres Chatfenster. Genau dieser Unterschied ist der Grund, warum es viral ging.

Was OpenClaw wirklich ist

Das Projekt beschreibt sich selbst als „dein ganz persönlicher KI-Assistent. Jedes OS. Jede Plattform. Auf die Hummer-Art.“ Lässt man das Maskottchen-Branding weg, ist OpenClaw ein lokales Gateway nach dem Local-First-Prinzip, das zwischen großen Sprachmodellen und deinem digitalen Leben sitzt.

Statt dich in die Web-Oberfläche eines Anbieters zu zwingen, antwortet es dir auf Kanälen, auf denen du dich ohnehin schon bewegst. Laut dem OpenClaw-Repository gehören zu den unterstützten Kanälen WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Matrix, Google Chat, IRC, WeChat und ein paar Dutzend mehr. Es gibt Companion-Apps für Windows, macOS, iOS und Android, dazu Sprachunterstützung unter macOS, iOS und Android.

Unter der Haube ist es eine Node-Anwendung (das Repo nennt Node 24 oder Node 22.19+ als Voraussetzung), veröffentlicht unter der MIT-Lizenz. Es ist modellagnostisch: Du richtest es auf einen Anbieter aus, dem du vertraust. OpenAI wird ausdrücklich als unterstützter Abo-Anbieter genannt, und die Doku legt dir ein aktuelles Flaggschiff-Modell nahe, aber die Architektur bindet dich an keinen einzelnen Anbieter.

Warum es viral ging: lokale agentische Ausführung

Chatbots gibt es zuhauf. Was OpenClaw zum am schnellsten wachsenden Projekt der GitHub-Geschichte gemacht hat, ist, dass es Dinge tut, statt nur zu reden.

Laut der projekteigenen Feature-Liste kann OpenClaw:

• im Web surfen, Formulare ausfüllen und Daten aus beliebigen Websites extrahieren
• Dateien lesen und schreiben auf dem Host-Rechner
• Shell-Befehle ausführen und Skripte laufen lassen, entweder mit vollem Zugriff oder in einer Sandbox
• wiederkehrende Aufgaben über einen eingebauten Cron planen, Sessions verwalten und ein Live-„Canvas“ rendern, das du steuerst

Genau diese Kombination meinen Leute mit lokaler agentischer Ausführung: ein autonomer Assistent, der auf deinem Rechner und mit deinen Daten handelt, ohne alles über eine fremde Cloud zu leiten. Der Bedarf danach ist riesig, und genau deshalb wurde aus einem Nischen-Repo Anfang 2026 ein kulturelles Phänomen. Sogar NVIDIA veröffentlichte einen Kommentar dazu, was Agenten im Stil von OpenClaw für Organisationen bedeuten – ein Zeichen, dass das Interesse nicht rein im Hobbybereich liegt.

Privatsphäre ist das eigentliche Verkaufsargument

Der größte Vorteil ist Kontrolle. Weil OpenClaw auf Hardware läuft, die dir gehört, bleiben deine Dateien, Nachrichten und der Befehlsverlauf auf deiner eigenen Infrastruktur. Du entscheidest, welcher Modellanbieter deine Prompts zu sehen bekommt, und du kannst die Teile in eine Sandbox sperren, die dir Sorgen machen. Für Entwickler, die zwei Jahre lang sensible Inhalte in das Webformular eines anderen kopiert haben, ist das eine spürbare Veränderung.

Der Sicherheits-Realitätscheck

An dieser Stelle solltest du das Tempo drosseln. Ein Assistent, der in deinem Namen Shell-Befehle ausführen und im Web surfen kann, ist per Definition eine mächtige Angriffsfläche. Dieselben Fähigkeiten, die OpenClaw nützlich machen, machen es bei Fehlkonfiguration gefährlich.

Denk über drei Dinge gründlich nach, bevor du ihm die Schlüssel gibst:

• Prompt Injection. Wenn dein Agent im Web surft und Dateien liest, kann eine bösartige Seite oder ein bösartiges Dokument versuchen, seine Anweisungen zu kapern. Behandle jedes Tool mit Web-Zugriff plus Shell-Zugriff standardmäßig als exponiert.
• Schadensradius. „Voller Zugriff im Einzelnutzer-Modus“ heißt, der Agent kann alles tun, was du auf diesem Host tun kannst. Betreibe ihn in einer Sandbox oder einem dedizierten Container – nicht auf deiner Hauptarbeitsstation, auf der deine SSH-Keys herumliegen.
• Vertrauen in den Anbieter. Das Gateway selbst zu hosten bedeutet nicht, das Modell selbst zu hosten. Wenn du es an eine gehostete API anschließt, verlassen deine Prompts trotzdem deinen Rechner. Kombiniere es mit einem lokalen Modell über etwas wie Ollama, wenn echte Privatsphäre das Ziel ist.

Das Projekt liefert mit zunehmender Reife immer mehr produktionstaugliche Sicherheitsfeatures, aber die Verantwortung für einen sicheren Betrieb liegt bei dir. Nichts davon ist ein Grund, einen Bogen darum zu machen; es ist ein Grund, es bewusst auszurollen.

Wer es tatsächlich betreiben sollte

OpenClaw passt gut zu dir, wenn du:

• ohnehin schon Dienste selbst hostest und dich mit Docker, Reverse Proxies und Least-Privilege-Setups wohlfühlst
• einen Assistenten willst, der in Telegram, Slack oder Signal eingebunden ist, statt in einem weiteren Browser-Tab zu landen
• Wert darauf legst, Prompts und Dateien von fremden Servern fernzuhalten
• gern bastelst und eine Konfigurationsdatei lesen kannst, ohne zusammenzuzucken

Wahrscheinlich ist es nicht der richtige erste Schritt, wenn du ein wartungsfreies Consumer-Produkt willst, wenn du keine isolierte Maschine oder keinen isolierten Container abstellen kannst oder wenn du einem autonomen Agenten Shell-Zugriff geben würdest, ohne lange darüber nachzudenken. Das Ökosystem bewegt sich schnell: Es gibt bereits Community-Repos mit 160+ fertigen Agent-Vorlagen, was super für den Schwung ist, aber auch bedeutet, dass viel in Bewegung ist.

Wie du es sicher ausprobierst

Wenn du experimentieren willst, ohne dich zu exponieren:

1. Setz es in einem dedizierten Container oder einer VM auf, niemals auf deinem täglichen Arbeitsgerät.
2. Starte mit deaktivierten oder per Sandbox abgeschotteten Fähigkeiten und aktiviere Shell- und Dateizugriff erst dann, wenn du sie brauchst.
3. Verbinde zuerst ein lokales Modell (über Ollama oder Ähnliches), damit beim Testen keine Prompts dein Netzwerk verlassen.
4. Binde einen Kanal an, den du kontrollierst, etwa einen privaten Telegram-Bot, bevor du weitere hinzufügst.
5. Behalte die GitHub-Releases im Auge. Das Projekt nutzt ein datumsbasiertes Versionsschema (vYYYY.M.D) und liefert häufig aus – pinne also eine Version und aktualisiere bewusst.

Das Fazit

Die Sternexplosion von OpenClaw ist nicht bloß Hype; sie spiegelt einen echten Wandel hin zu selbst gehosteten, agentischen KI-Assistenten wider, die in deinem Namen handeln und gleichzeitig die Daten unter deiner Kontrolle halten. Die Technik ist real, die MIT-Lizenz ist freundlich, und der Schwung ist unbestreitbar. Doch genau die Mächtigkeit, die es zum meistgesternten Repo auf GitHub gemacht hat, verlangt nach einer Security-First-Haltung. Betreibe es in einer Sandbox, gib ihm nur die geringsten nötigen Rechte und entscheide bewusst, ob deine Prompts dein Netzwerk verlassen. So gehandhabt, ist OpenClaw eines der spannendsten Dinge, die Open-Source-KI-Tooling seit Jahren passiert sind.

FAQ

Ist OpenClaw kostenlos? Ja. Es ist Open Source unter der MIT-Lizenz. Du zahlst nur für den Modellanbieter, den du anbindest (oder gar nichts, wenn du ein lokales Modell betreibst).

Schickt OpenClaw meine Daten in die Cloud? Das Gateway läuft lokal, aber wenn du es an eine gehostete Modell-API anschließt, gehen deine Prompts an diesen Anbieter. Nutze für volle Privatsphäre ein lokales Modell.

Was kann OpenClaw, was ChatGPT nicht kann? Es kann Aktionen auf deinem eigenen Rechner ausführen, Shell-Befehle laufen lassen, Dateien verwalten, surfen und Formulare ausfüllen und innerhalb der Messaging-Apps antworten, die du ohnehin nutzt – alles selbst gehostet.