Ein OpenClaw Bot ist eingesperrt und versucht auszubrechen

NanoClaw schützt lokale Systeme vor unsicheren OpenClaw-Agenten

Das Open-Source-Projekt isoliert KI-Prozesse in Containern und verhindert so den Zugriff durch eingeschleusten Schadcode.

Andreas Becker14.02.26 Nano Banana

Kurzfassung Quellen

Das Open-Source-Projekt NanoClaw bietet eine sichere Architektur für autonome KI-Agenten.
Durch konsequentes Sandboxing und Container-Isolation wird den Modellen der direkte Zugriff auf das Host-System entzogen.
Dieser Ansatz schützt Anwender effektiv vor Schadcode, der bei OpenClaw über manipulierte Erweiterungen eingeschleust wurde.
Die Software richtet sich an Selbsthoster und verzichtet aus Sicherheitsgründen auf die Anbindung an unregulierte Marktplätze.

Das Open-Source-Projekt NanoClaw liefert eine Architektur, die autonome KI-Agenten in isolierten Umgebungen ausführt und die bekannten Sicherheitslücken von OpenClaw adressiert. Der neue Ansatz zwingt Erweiterungen in Container, um den unkontrollierten Systemzugriff der Assistenz-Software konsequent zu unterbinden.

Architektur gegen Schadcode

Die ursprüngliche OpenClaw-Plattform gewährt KI-Modellen weitreichende Berechtigungen auf dem Host-System. Angreifer nutzten diesen Umstand in den vergangenen Wochen intensiv aus, um über manipulierte Erweiterungen Schadcode einzuschleusen und lokale Nutzerdaten abzugreifen.

Das Projekt NanoClaw setzt genau an dieser Schwachstelle an und kapselt jeden Agenten in einem separaten Container ab. Das zugrundeliegende Betriebssystem bleibt dadurch vor direkten Zugriffen geschützt, da die KI-Prozesse lediglich in einer streng limitierten Laufzeitumgebung agieren.

Ressourcenverbrauch und Rechtemanagement

Laut der GitHub-Dokumentation fokussiert sich die Software auf eine ressourcenschonende Implementierung für das Selbsthosting. Anwender installieren das System auf eigener Hardware und behalten die vollständige Kontrolle über die angebundenen Sprachmodelle.

Die strikte Containerisierung erfordert naturgemäß einen minimalen Overhead bei der Speicherverwaltung. Dafür limitiert diese Architektur die Ausbreitung potenzieller Trojaner auf das jeweilige Modul. Zugriffe auf das Netzwerk oder lokale Dateien geben Administratoren vorab über ein detailliertes Rechtemanagement explizit frei.

Trennung der Prozesse

Die konsequente Isolation der Ausführungsumgebung stellt eine etablierte IT-Sicherheitsmethode dar, die bei der Ursprungsversion von OpenClaw völlig fehlte. Fachexperten stuften das System mehrfach als enormes Risiko ein, da die Modelle generierte Systembefehle ohne Validierung direkt auf dem Host ausführten.

NanoClaw implementiert nun strikte Systemgrenzen für jeden Prozess. In der Praxis muss sich jedoch zeigen, ob diese Sandboxing-Mechanismen auch komplexen Ausbruchsversuchen durch gezielte Prompt-Injection-Angriffe dauerhaft standhalten.

Fokus auf lokale Ausführung

Der Entwickler verzichtet bei NanoClaw bewusst auf die Anbindung an den unregulierten Marketplace, der sich bei OpenClaw als primäres Einfallstor für Malware erwies. Nutzer binden externe Funktionen stattdessen nach eigener Überprüfung manuell in die lokale Instanz ein.

Die fehlende Cloud-Anbindung verhindert zudem den ungewollten Abfluss von Telemetriedaten an Drittanbieter. Der Quellcode der Software steht zur unabhängigen Inspektion auf GitHub bereit.