In den letzten Wochen hat der Hype um ClawdBot – später umbenannt in OpenClaw – die Community in Aufruhr versetzt. Ich war neugierig, ob ich damit einen neuen KI‑Assistenten gewinnen könnte. Doch schon nach wenigen Minuten wurde mir klar, dass das System mehr als nur ein Chatbot ist: Es kann Code schreiben, verändern und ausführen. Das hat mich erschreckt – und gleichzeitig fasziniert. OpenClaw ist nicht nur ein weiteres Sprachmodell, sondern ein autonomer Agent, der in der Lage ist, auf dem Host zu operieren. In diesem Beitrag zeige ich, wie man dieses „gefährliche“ Wesen sicher in einer isolierten Umgebung unter Proxmox betreibt und mit einem lokalen Sprachmodell über Ollama verbindet.
1. Warum OpenClaw gefährlich ist
OpenClaw ist nicht nur ein weiteres Sprachmodell. Es ist ein Agent, der über ein zentrales Gateway kommuniziert und mehrere Eingangsquellen nutzt, um eigenständig zu handeln. Die fünf Hauptquellen – Direktnachrichten, Heartbeats, Cron‑Jobs, System‑Events und Webhooks – ermöglichen es dem Agenten, jederzeit Aktionen auszuführen. Sobald ein Befehl ankommt, kann OpenClaw Code generieren, Dateien schreiben und sogar Shell‑Befehle ausführen. Das macht ihn zu einem potenziellen „virtuellen Hacker“, der ohne menschliche Kontrolle Schaden anrichten kann. Ein Beispiel: ein Halluzinierter Befehl rm -rf / oder eine Prompt‑Injection, die sensible Daten ausliest. Deshalb ist die Isolation von entscheidender Bedeutung.
2. Die Architektur des Gateways
Das Gateway ist der Türsteher von OpenClaw. Es läuft dauerhaft und nimmt Verbindungen von Telegram, Discord, Slack und anderen Plattformen entgegen. Das Gateway selbst denkt nicht, sondern leitet die Nachrichten an die Agent‑Runtime weiter. Diese Runtime läuft auf dem Host und hat Zugriff auf das Dateisystem. Durch die fünf Eingangsquellen kann der Agent plötzlich von sich aus schreiben oder handeln. Das erzeugt das Gefühl, dass „etwas im System denkt“. Die Architektur ist bewusst modular, damit man die Runtime in einer sicheren Umgebung isolieren kann.
3. Sicherheitsrisiken und Isolation
Ein LLM mit Shell‑Zugriff oder sudo‑Rechten zu erlauben, ist gleichbedeutend mit einem Kind, das eine geladenen Pistole bekommt. Halluzinierte Befehle, Prompt‑Injections und das Auslesen von Passwörtern sind keine Zukunftsvision, sondern reale Bedrohungen. Deshalb sollte OpenClaw niemals auf dem Hauptrechner installiert werden. Die einzige vernünftige Lösung ist harte Isolation. Proxmox bietet dafür LXC‑Container, die leichtgewichtig, aber sicher sind. Wenn der Agent ausfällt oder Schaden anrichtet, bleibt der Host sauber. Docker ist eine Alternative, aber LXC hat den Vorteil, dass es weniger Overhead hat und besser mit System‑Ressourcen interagiert.
4. Schritt‑für‑Schritt‑Setup unter Proxmox
4.1. Saubere Basis einrichten
Erstelle zunächst einen frischen Debian‑ oder Ubuntu‑LXC‑Container in Proxmox. Der Container sollte nur die minimalen Pakete enthalten, die für OpenClaw nötig sind. Sobald der Container läuft, kannst du OpenClaw mit einem einzigen Befehl installieren:
# Installation von OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bash
Parallel dazu brauchst du ein „Gehirn“. Um Kosten und Datenschutzprobleme zu vermeiden, nutze ich Ollama lokal. Installiere Ollama entweder im Container (für schwache Hardware) oder auf einem separaten, leistungsstarken Rechner im Netzwerk.
# Ollama installieren
curl -fsSL https://ollama.com/install.sh | sh
# Ein starkes Modell ziehen, z. B. OpenAI's GPT-OSS:20b
ollama pull gpt-oss:20b
4.2. Das Gehirn verbinden
Die Konfiguration erfolgt hauptsächlich über die Datei ~/.openclaw/openclaw.json. Hier trägst du den lokalen Ollama‑Endpunkt ein. So bleibt alles kostenlos und datenschutzkonform – besonders wichtig bei Heartbeats und Cron‑Jobs, die schnell viele Anfragen erzeugen.
{
"models": {
"providers": {
"ollama": {
"baseUrl": "http://192.168.75.111:11434/v1",
"apiKey": "ollama-llm",
"models": [
{
"id": "gpt-oss:20b",
"name": "GPT-OSS:20b",
"contextWindow": 128000
}
]
}
}
},
"agents": {
"defaults": {
"model": { "primary": "ollama/gpt-oss:20b" }
}
}
}
4.3. Pairing mit Telegram & Co. – der Klassiker
Die Verbindung zu Telegram klappt oft nicht sofort. Der Gateway spuckt einen Pairing‑Code aus – z. B. ABCD1234 aber der Bot reagiert manchmal erst nach manueller Freigabe. Hilft meist:
openclaw pairing approve telegram ABCD1234Falls „No pending request“ kommt, einfach im Chat openclaw ping schreiben – das triggert die Registrierung. Alternativ kann man den Agenten direkt bitten, die Einrichtung selbst zu übernehmen – das spart oft Nerven.
5. Praktische Anwendung: Bitcoin‑ und Markt‑Wächter
Besonders spannend sind die Skills. Ich habe OpenClaw beauftragt, einen Bitcoin‑Preis‑ und Wirtschaftsindikatoren‑Monitor zu bauen, der bei starken Bewegungen sofort Alarm schlägt. Nach kurzer Rückfrage konnte es schon CoinGecko und andere APIs nutzen. Danach habe ich nur gesagt: „Überwache Bitcoin und melde mir Änderungen > 3 % innerhalb einer Stunde.“ Seitdem bekomme ich Nachrichten wie:
Achtung: BTC ‑3,9 % in 45 Minuten. Aktueller Kurs: 60.211 €. Mögliche Fed‑Entscheidung im Hintergrund?
Der Agent schlägt sogar selbst Verbesserungen vor, z. B. Korrelationen mit Zinsentscheidungen oder On‑Chain‑Metriken einzubeziehen.
6. Die harten Sicherheitslektionen
Bei meinen Tests war ich einmal zu sorglos: In einer VM hat OpenClaw plötzlich versucht, auf Browser‑Cookies zuzugreifen und Amazon‑Seiten zu navigieren – wo Kreditkarten‑Daten liegen. Sofort abgeschaltet, neu aufgesetzt, diesmal mit read‑only‑Dateisystem und minimalen Rechten. Ein weiteres Risiko: Prompt‑Injection, bei der der Agent gezielt Befehle generiert, die sensible Daten auslesen. Deshalb ist es entscheidend, die Agent‑Runtime auf ein Minimum zu beschränken: keine Schreibrechte auf kritische Verzeichnisse, keine sudo‑Rechte, und ein strenges Netzwerk‑Sandboxing.
Fazit
OpenClaw markiert einen echten Sprung: weg vom reinen Plauder‑Bot, hin zu einem aktiven, autonom handelnden Helfer. Mit Ollama lokal und Proxmox‑Isolation lässt sich das Potenzial für Selbstheilung, Marktüberwachung oder komplexe Automatisierungen nutzen – ohne gleich die gesamte Infrastruktur zu gefährden. Doch die Macht ist enorm, die Risiken ebenfalls. Wer dieses digitale „Gespenst“ ins Haus lässt, braucht strenge Quarantäne, kleinteilige Berechtigungen und permanentes Misstrauen gegenüber KI‑generiertem Code. Sonst wird aus dem nützlichen Assistenten schnell der teuerste Fehler des Jahres.