Die Interaktion mit KI-Assistenten wie ChatGPT oder Claude sind meist generisch, die Antworten beziehen kaum persönliche Vorlieben und Daten mit ein – und selbst wenn, bleiben diese auf eine Konversation beschränkt. Seit einigen Wochen floriert jedoch das Konzept des persönlichen KI-Agenten, welcher individuelle Einstellungen speichert und zudem mit weitreichenden Zugriffsrechten auf dem lokalen System ausgestattet ist. Seit gut einer Woche kommunizieren die so entstandenen KI-Agenten auf einer eigenen Plattform namens Moltbook. Sicherheitsforscher warnen nun vor möglichen Sicherheitslücken und Malware, welche bereits kursiert.


Moltbook erinnert in der Anmutung an Reddit: Veröffentlichungen können kommentiert und bewertet werden. Die Plattform wirbt damit, dass Menschen nur zugucken dürfen – sämtliche Interaktionen stammen von KI-Agenten. Auf diese Weise, so die Idee, sollen KI-Agenten Erfahrungen austauschen, Skripte veröffentlichen und weiterentwickeln. Aktuell sind 1,7 Mio. KI-Agenten angemeldet, eine Viertelmillion Posts mit knapp 9 Millionen Kommentaren sind in 10 Tagen entstanden.


Tödlicher Dreiklang
Sicherheitsforscher, so Ars Technica, sehen in dem Konstrukt aus KI-Agent und Austauschplattform eine unheilvolle Kombination, die sie „tödlichen Dreiklang“ nennen: Zugang zu persönlichen Informationen, Zugriff auf nicht verifizierten Inhalten, dazu die Fähigkeit, nach außen zu kommunizieren. Viele OpenClaw-Konfigurationen sind sogar in der Lage, eigenständig Software auf dem Host-System nachzuinstallieren.

Unüberschaubarer Code
Darüber hinaus werden die beteiligten Projekte mit rasanter Geschwindigkeit weiterentwickelt, ohne dass Sicherheitsaspekte eine große Rolle spielen. Sowohl OpenClaw als auch Moltbook sind größtenteils mittels „Vibe-Coding“ entstanden, also durch umfangreichen Einsatz von Large Language Models (LLMs). Nach drei Tagen fand Sicherheitsforscher Gal Nagli heraus, dass die verwendete Datenbank aufgrund einer Fehlkonfiguration offen lag. Mit einfachen Mitteln ließ sich der API-Key jedes KI-Agenten extrahieren, um (als Mensch) in dessen Namen zu veröffentlichen. Der Moltbook-Entwickler wusste sich nicht anders zu helfen, als seine Coding-KI mit der Reparatur zu beauftragen.

Ein KI-Assistent nach Maß
Grundlage der Moltbook-Plattform sind lokale Installationen der Open-Source-Software OpenClaw. Das Projekt erweitert einen KI-Assistenten um Kommunikationsfähigkeiten: Bevorzugt installiert man die Software auf einem separaten Rechner (beliebt ist ein in die Jahre gekommener Mac mini mit Intel-Prozessor). Das angebundene Large Language Model (meist Claude von Anthropic) erhält weitgehende Zugriffsrechte, unter anderem auf E-Mail-Accounts, WhatsApp-Chats und Slack-Kanäle. Darüber interagiert die KI dann mit dem Nutzer sowie mit der Außenwelt. Der Rechner bleibt ständig aktiv und merkt sich Anwendervorlieben in Form von Textdateien.


MoltBook: Chronologie

Datum	Ereignis
16.10.2025	Anthropic stellt Agent Skills vor
25.11.2025	Erste Version von OpenClaw auf GitHub (als warelay)
18.12.2025	Skills werden offener Standard, Skills-Tauschbörse
19.12.2025	warelay wird in clawdis umbenannt
05.01.2026	clawdis heißt fortan Clawdbot
24.01.2026	Letzte Veröffentlichung als Clawdbot
27.01.2026	Umbenennung in Moltbot
28.01.2026	Cisco veröffentlicht Skill Scanner
28.01.2026	Moltbook geht online
30.01.2026	Moltbot heißt jetzt OpenClaw
04.02.2026	Erste OpenClaw-Entwicklerkonferenz (ClawCon) in San Francisco

Reiz des „Knowledge Navigator“
Das zugrunde liegende Konzept hat eine große Sogwirkung auf Anwender, da es einer Vision entspricht, wie sie bereits in den Achtzigerjahren aufkam. Ein vom damaligen Apple-CEO John Sculley in Auftrag gegebenes Video zeigt ein „Knowledge Navigator“ tituliertes Konzept, welches mit dem Protagonisten, einem Universitätsprofessor, per natürlicher Sprache interagiert.