🦞 KI & Überwachung

Der Hummer in der Tasche

Ein KI-Agent mit vollem Systemzugriff, eine Milliarde Nutzer, und die größte Super-App der Welt als Einfallstor. Was passiert, wenn OpenClaw auf WeChat trifft.

📅 April 2026 🔗 Alle Angaben mit verlinkten Quellen ⏱ ca. 12 Min. Lesezeit
1,4 Mrd.
WeChat-Nutzer weltweit
(Tencent, Ende 2024)
60+
Sicherheitslücken
in OpenClaw (Stand April 2026)
1.184
bösartige Skills
im offiziellen Marktplatz
9,9
CVSS-Score der
schlimmsten Lücke (März 2026)
Inhalt
  1. Die Schlange vor Tencent
  2. Was OpenClaw ist — kurz erklärt
  3. WeChat: Das digitale Leben einer Milliarde Menschen
  4. Was passiert, wenn beides zusammenkommt
  5. Die Sicherheitslage — was wir wissen
  6. Wer schützt Oma Li?
  7. Das große Bild: Wer hier spielt
  8. Fazit
01 — Die Schlange vor Tencent

Shenzhen, März 2026. Fast tausend Menschen warten.

Es ist ein Freitagvormittag. Vor der Zentrale des chinesischen Tech-Konzerns Tencent in Shenzhen hat sich eine Schlange gebildet — fast tausend Menschen, berichtet die South China Morning Post. Keine Schlange für ein iPhone. Keine Schlange für Konzertkarten. Eine Schlange für Software.

Wer da steht: Rentner mit Laptops. Hausfrauen. Studenten. Büroangestellte in Mittagspause. Manche tragen MacBooks unterm Arm, andere einen Mini-PC in einer Einkaufstasche. Einige halten sogar NAS-Laufwerke in der Hand.

Was sie wollen: Tencent-Ingenieure sollen ihnen kostenlos einen KI-Agenten namens OpenClaw auf ihre Geräte installieren. Das chinesische Internet kennt OpenClaw nur beim Spitznamen: „den Hummer" — wegen seines roten Lobster-Logos.

Der Ingenieur braucht etwa drei Minuten pro Person. Er installiert OpenClaw auf dem Laptop, verbindet es mit WeChat auf dem Handy, konfiguriert das KI-Modell — und ruft die Nächste. Was in diesen drei Minuten passiert, und was danach: das ist die eigentliche Geschichte.

„Es scheint, als hätten alle um mich herum — meine Kollegen und Freunde — es. Ich will nicht zurückbleiben." — Gong Sheng, Neuenutzer, zu CNBC — März 2026

Ähnliche Szenen spielten sich gleichzeitig vor Baidus Zentrale in Peking ab. Und in 17 weiteren chinesischen Städten, wo Tencent Installationszentren eröffnet hatte. Wer keine Zeit für die Schlange hatte, bestellte sich einen Techniker nach Hause — für 500 Yuan, ungefähr 65 Euro. Und wer nach der Installation kalte Füße bekam? Bezahlte nochmal für die Deinstallation.

02 — Was OpenClaw ist

Kein Chatbot. Ein Agent.

Wir haben OpenClaw bereits ausführlich in unserem OpenClaw-Grundlagenartikel erklärt. Hier die kurze Version, die für diesen Artikel wichtig ist:

💡 Der entscheidende Unterschied

ChatGPT antwortet. OpenClaw handelt. Während ein Chatbot auf Fragen reagiert und dann wartet, bekommt OpenClaw eine Aufgabe — und erledigt sie eigenständig, Schritt für Schritt, ohne bei jedem Schritt zu fragen. Es liest E-Mails, verschickt E-Mails, verschiebt Dateien, bucht Termine, führt Shell-Befehle aus. Rund um die Uhr. Auch wenn du schläfst.

OpenClaw läuft lokal auf dem eigenen Computer — es braucht keinen Cloud-Dienst. Das ist der Vorteil, den Tencent und Baidu bewerben: Die Daten bleiben auf dem eigenen Gerät. Was dabei weniger betont wird: Der Agent braucht dafür tiefe Systemrechte. Voller Zugriff auf Dateien. E-Mail-Konten. Kalender. Kontakte. Und — im chinesischen Kontext besonders relevant — WeChat Pay.

03 — WeChat: Das digitale Leben einer Milliarde Menschen

Keine App. Eine Infrastruktur.

Wer WeChat nicht kennt, denkt vielleicht an WhatsApp. Das ist falsch. WeChat ist das digitale Betriebssystem des chinesischen Alltags — und das ist keine Übertreibung.

Tencent meldete zum Jahresende 2024 offiziell 1,385 Milliarden kombinierte monatlich aktive Nutzer für WeChat und Weixin (die chinesische Version). Das ist die einzige belastbare, von Tencent selbst bestätigte Zahl — neuere offizielle Zahlen für 2026 liegen noch nicht vor.

Was diese Milliarde Menschen über WeChat macht, geht weit über Messaging hinaus:

935 Mio.
WeChat Pay — aktive Nutzer (2023, Tencent)
45 Mrd.
Nachrichten täglich
90 %
chinesische Berufstätige nutzen WeChat statt E-Mail für die Arbeit

Quellen: Tencent Investor Relations · 99firms WeChat Statistics 2026

Kein WeChat zu haben bedeutet in vielen chinesischen Städten: kein Taxi, keine Arzttermine, keine Zahlungen im Supermarkt. Bargeld ist in weiten Teilen des Landes faktisch überflüssig geworden — WeChat Pay hat es ersetzt. Selbst Straßenverkäufer akzeptieren ausschließlich QR-Code-Zahlungen.

Das ist der Kontext, in den OpenClaw jetzt hineingekommen ist.

04 — Was passiert, wenn beides zusammenkommt

ClawBot: Der Hummer zieht in WeChat ein.

Am 22. März 2026 startete Tencent offiziell ClawBot — eine direkte Integration von OpenClaw in WeChat. ClawBot erscheint als normaler Kontakt in WeChat, genau wie ein Freund oder Kollege. Nutzer können per Textnachricht — oder Sprachnachricht — Befehle an ihren Agenten schicken.

Die Einrichtung: WeChat updaten, Plugin in den Einstellungen aktivieren, QR-Code scannen. Fertig. Laut Tencent dauert das etwa drei Minuten.

Was dabei technisch passiert: Der Laptop zuhause läuft ab diesem Moment dauerhaft. OpenClaw darauf ist über das Internet erreichbar. WeChat auf dem Handy ist die Fernbedienung. Jeder Befehl, den Oma Li per WeChat schickt, wird über Tencent-Server geleitet, erreicht den Laptop, und OpenClaw führt ihn aus. Mit vollem Systemzugriff.

Was das im Alltag bedeutet, klingt praktisch: Vom Pendlerzug aus eine Sprachnachricht schicken — „Fass das Meeting-Recording auf meinem Desktop als Zusammenfassung zusammen und schick es mir." Minuten später liegt die Datei in WeChat. Kein Umweg, keine andere App.

Was dabei weniger thematisiert wird: WeChat ist nicht irgendein Kanal. WeChat ist die App, über die 935 Millionen Menschen täglich bezahlen, kommunizieren und arbeiten. Der Laptop — mit OpenClaw darauf — ist ab sofort über diese App fernsteuerbar. Nicht nur von Oma Li.

⚠ Wichtig zu wissen — Nutzerzahlen der Kombination

Wie viele WeChat-Nutzer ClawBot tatsächlich aktiviert haben, ist nicht bekannt. Tencent hat dazu keine Zahlen veröffentlicht. Der Rollout läuft schrittweise. Wir nennen daher keine Kombinationszahl — sie wäre Spekulation.

05 — Die Sicherheitslage

Was wir wissen — chronologisch.

OpenClaw existiert seit November 2025. In den fünf Monaten seitdem hat das Projekt eine Sicherheitskrise erlebt, die für eine neue Kategorie von Software steht: mächtig, beliebt, und strukturell schwer abzusichern.

Jan. 2026
Kritisch

ClawHavoc-Kampagne: Koordinierter Angriff auf den offiziellen Skill-Marktplatz ClawHub. 341 bösartige Skills von 7 Angreifern, die sich als legitime Plugins tarnten. Verteilung von Keyloggern und dem AMOS-Infostealer. Die einzige Hürde für den Upload: ein GitHub-Account, der eine Woche alt ist.
30. Jan. 2026
CVE — CVSS 8.8

CVE-2026-25253: Ein-Klick Remote Code Execution. Ein Nutzer besucht eine bösartige Webseite — in Millisekunden übernimmt der Angreifer die komplette OpenClaw-Instanz. Auch gegen lokal gebundene Instanzen ausnutzbar, weil der Angriff über den Browser läuft. Gepatcht in Version 2026.1.29.
Feb. 2026
Maßstab

135.000 ungeschützte Instanzen weltweit, identifiziert von SecurityScorecard. 63 % ohne jede Authentifizierung. Kompromittierte Instanzen leakten API-Keys, OAuth-Token und Zugangsdaten im Klartext.
Feb. 2026
Dokumentierter Vorfall

Moltbook-Datenleck: Die Cybersicherheitsfirma Wiz entdeckte eine offene Supabase-Datenbank — 1,5 Millionen API-Token und 35.000 E-Mail-Adressen aller registrierten OpenClaw-Agenten auf der Plattform waren frei zugänglich — bevor Wiz das Team informierte und die Datenbank gesichert wurde.
März 2026
Marktplatz

824 bösartige Skills aus nun 10.700 gelisteten — etwa 8 % des gesamten Marktplatzes. Skills mit professioneller Dokumentation und harmlosen Namen schmuggeln Malware ein. Cisco-Forscher testeten einen populären Skill live: neun Sicherheitsprobleme, zwei davon kritisch. Der Skill leitete Nutzerdaten still an externe Server weiter.
29. März 2026
CVE — CVSS 9.9

CVE-2026-32922: Vollständige Privilegien-Eskalation über Token-Scope-Missbrauch. CVSS 9.9 — die höchste mögliche Kritikalitätsstufe. Betroffen: alle Versionen vor 2026.3.11. Wer nicht aktualisiert hatte, war vollständig kompromittierbar.
April 2026
Aktuelle Lage

Mehr als 60 CVEs und 60 GHSAs insgesamt dokumentiert. 63.070 live erreichbare Instanzen per Ende März 2026 — weniger als der Peak im Februar, aber: Die Architektur, die die Angriffe möglich macht, ist unverändert.
„Wenn du nicht verstehst, wie man einen Befehl in ein Terminal eingibt, ist dieses Projekt zu gefährlich, um es sicher zu benutzen." — Shadow, OpenClaw-Maintainer, auf Discord
06 — Wer schützt Oma Li?

Die ehrliche Antwort: niemand wirklich.

Chinas Behörden haben reagiert — schnell sogar, verglichen mit anderen Ländern. Am 22. März 2026 veröffentlichten CNCERT und die China Cybersecurity Association gemeinsam einen Sicherheitsleitfaden. Das chinesische Industrieministerium (MIIT) folgte mit eigenen Richtlinien.

Was sie empfehlen: OpenClaw nur auf dedizierten Geräten oder in virtuellen Maschinen betreiben. Nicht mit Administratorrechten. Keine sensiblen Daten im OpenClaw-Umfeld speichern. Den Skill-Marktplatz mit Vorsicht nutzen. Regelmäßig aktualisieren.

Das sind vernünftige Empfehlungen. Für jemanden mit technischem Hintergrund. Aber nicht für die Person, die sich gerade von einem Tencent-Ingenieur in drei Minuten den Lobster hat installieren lassen.

⚠ Das strukturelle Problem

Die Schutzmaßnahmen wurden für technische Nutzer entwickelt — und werden an Menschen verteilt, die in der Schlange standen, damit ihnen jemand anderes das Tool installiert. Diese Lücke ist keine Kleinigkeit. Es ist der Kern des Problems.

Tencent hat in den ClawBot-Nutzungsbedingungen klargestellt: Das Unternehmen stellt nur den Nachrichtenübertragungskanal bereit. Es speichert keine Gesprächsinhalte. Und es übernimmt keine Verantwortung für KI-generierte Ergebnisse oder deren Folgen.

OpenClaw selbst ist Open Source — kein Unternehmen trägt die Verantwortung. Und CNCERT hat explizit gewarnt: Staatsbetriebe und Behörden dürfen OpenClaw nicht auf Dienstcomputern betreiben — während lokale Regierungen zur selben Zeit Installationsevents subventionieren und Förderprogramme für OpenClaw-Startups auflegen.

Das Analystenhaus Gartner hatte im Februar 2026 eine eindeutige Einschätzung: OpenClaw sei ein „inakzeptables Cybersicherheitsrisiko" für Geschäftsnutzer — und solle ausschließlich in isolierten Nicht-Produktions-Umgebungen mit Wegwerf-Zugangsdaten betrieben werden.

07 — Das große Bild

Wer hier wirklich spielt.

OpenClaw ist nicht nur ein virales Tool. Es ist der Mittelpunkt eines Wettbewerbs um die nächste Infrastruktur des Internets — und fast alle großen Spieler sind bereits dabei.

OpenAI hat OpenClaws Erfinder Peter Steinberger im Februar 2026 eingestellt. Meta kaufte im März 2026 Moltbook — das soziale Netzwerk, das ausschließlich für OpenClaw-Agenten gebaut worden war. Gründer und COO wechselten direkt zu Metas Superintelligence Labs. Tencent, Alibaba, Baidu und ByteDance haben alle innerhalb weniger Wochen eigene OpenClaw-basierte Produkte gelauncht. NVIDIA hat auf der GTC 2026 eine Enterprise-Sicherheitsschicht für OpenClaw angekündigt.

Was sie alle eint: Sie wollen die Infrastruktur kontrollieren, über die autonome Agenten mit der Welt — und miteinander — kommunizieren. Wer diese Infrastruktur besitzt, besitzt einen Schlüsselbestandteil der nächsten Phase des Internets.

Oma Li ist in diesem Rennen nicht das Ziel. Sie ist der Vertriebskanal. Ihre Installation, ihr WeChat-Account, ihre Daten — das ist der Weg, über den diese Infrastruktur in den Alltag von einer Milliarde Menschen kommt. Und zwar schnell.

Die Zahlen, die wir sicher kennen: 346.000 GitHub-Stars, 47.700 Forks. China hat die USA bei der OpenClaw-Nutzung laut SecurityScorecard bereits überholt — mit fast doppeltem Volumen. Wie viele Menschen konkret ClawBot auf WeChat aktiviert haben: unbekannt, da Tencent keine Zahlen veröffentlicht hat.

08 — Fazit

Was hier wirklich passiert.

Was in China gerade passiert, hat keinen Präzedenzfall. Ein KI-AgentKI-AgentSoftware, die eigenständig Aufgaben ausführt — ohne bei jedem Schritt auf menschliche Eingabe zu warten. mit Systemzugriff wird über staatlich koordinierte Installationsevents an Millionen nicht-technischer Nutzer verteilt. Der Zugang: über die App, die für diese Nutzer Telefon, Geldbörse, Arbeitsplatz und soziales Netzwerk in einem ist.

Die Sicherheitslage ist dokumentiert und ernst: Über 60 Sicherheitslücken in fünf Monaten, ein offizieller Marktplatz mit Malware, und eine Architektur, die systemisch schwer abzusichern ist. Die Schutzmaßnahmen sind vorhanden — aber für eine andere Zielgruppe.

Das ist kein chinesisches Problem. Prompt InjectionPrompt InjectionAngriff, bei dem bösartige Anweisungen in Inhalten versteckt werden, die der KI-Agent liest — und die er dann als Befehle ausführt., kompromittierte Skills, und schlecht gesicherte Instanzen betreffen OpenClaw weltweit. Und OpenClaw wächst weiter — auch in Europa, nur ohne staatliche Installationshelfer.

Die Frage, die am Ende bleibt, ist keine technische: Wenn ein System, das du nicht verstehst, Zugriff auf dein komplettes digitales Leben bekommt — weil alle anderen es auch haben — wer trägt dann die Konsequenzen?

Nicht Tencent. Das steht in den AGB. Nicht OpenClaw — das ist Open Source. Und der Tencent-Ingenieur, der die drei Minuten investiert hat: der ist längst bei der Nächsten in der Schlange.

📌 Redaktionelle Einschätzung — thx4data.de

OpenClaw selbst ist keine Bedrohung. Es ist ein mächtiges, legitimes Werkzeug — das unter den richtigen Bedingungen sinnvoll genutzt werden kann. Das Problem ist die Kombination: ein strukturell unsicheres System, ein überhasteter Massenrollout, und eine Zielgruppe, der die nötigen Kenntnisse für den sicheren Betrieb fehlen. China hat gerade im größten Maßstab der Geschichte getestet, was passiert, wenn man diese drei Dinge zusammenbringt. Das Ergebnis dieses Experiments kennen wir noch nicht vollständig. Was wir wissen: Die Architektur, die die Risiken erzeugt, ist unverändert — und OpenClaw kommt auch in den Rest der Welt. Nur ohne die Schlange vor Tencents Zentrale.

Quellen & Nachweise
[1]
Tencent Investor Relations — Offizielle WeChat MAU-Zahlen Q4 2024
investor.tencent.com
[2]
South China Morning Post — „OpenClaw fever: why is China rushing to 'raise a lobster'?" (März 2026)
scmp.com
[3]
CNBC — „How China is getting everyone on OpenClaw, from gearheads to grandmas" (März 2026)
cnbc.com
[4]
MIT Technology Review — „Hustlers are cashing in on China's OpenClaw AI craze" (März 2026)
technologyreview.com
[5]
TechNode — „Tencent's WeChat launches ClawBot plugin supporting OpenClaw framework" (März 2026)
technode.com
[6]
Conscia — „The OpenClaw security crisis" — vollständige Analyse aller CVEs (Feb. 2026)
conscia.com
[7]
The Hacker News — „Researchers Find 341 Malicious ClawHub Skills" (Feb. 2026)
thehackernews.com
[8]
ARMO — „CVE-2026-32922: Critical Privilege Escalation in OpenClaw" (März 2026)
armosec.io
[9]
China Daily — „Guidelines released to curb OpenClaw security risks" (März 2026)
govt.chinadaily.com.cn
[10]
The Register — „China's CERT warns OpenClaw can inflict nasty wounds" (März 2026)
theregister.com
[11]
TechCrunch — „Meta acquired Moltbook, the AI agent social network" (März 2026)
techcrunch.com
[12]
The Wire China — „How the OpenClaw Frenzy Is Testing China's AI Commitment" (März 2026)
thewirechina.com
[13]
Asia Times — „OpenClaw AI goes viral in China, raising cybersecurity fears" (März 2026)
asiatimes.com
[14]
NBC News — „In China, a rush to 'raise lobsters' quickly leads to second thoughts" (März 2026)
nbcnews.com
[15]
OpenClaw Wikipedia-Eintrag — Chronologie, Umbenennung, Sicherheitsvorfälle
en.wikipedia.org/wiki/OpenClaw
Link kopiert ✓