4 Min. Lesezeit
Von Clawdbot zu Moltbot: Was passierte, als ein persönlicher KI-Assistent berühmt wurde
Ein Open-Source-AI-Assistent namens Clawdbot entwickelte sich von einem Nischenprojekt zu 77.000 GitHub-Sternen in zwei Monaten. Dann, innerhalb von drei Tagen, erhielt er eine Markenmitteilung von Anthropic, sein Twitter-Handle wurde von Krypto-Betrügern gestohlen, und Sicherheitsexperten legten online über tausend ungeschützte Kontrolltafeln offen.
Das Projekt überlebte. Es heißt jetzt Moltbot. Aber das Chaos bietet einen nützlichen Einblick darauf, was passiert, wenn persönliche AI-Tools schneller skalieren, als irgendjemand geplant hat – und was Unternehmens-Teams daraus lernen sollten.
Was Moltbot eigentlich ist
Moltbot verbindet AI-Modelle wie Claude mit den Messaging-Apps, die Sie bereits verwenden – WhatsApp, Telegram, Slack, Discord, Signal, iMessage und etwa ein Dutzend anderer. Anstatt eine separate AI-App zu öffnen, schreiben Sie eine Nachricht. Es antwortet.
Es läuft auf Ihrer eigenen Hardware und nicht auf einem Cloud-Dienst. Ihre Unterhaltungen, Erinnerungen und Daten bleiben auf Ihrem Gerät.
Wofür es tatsächlich genutzt wird:
Morgen-Updates, die auf WhatsApp bereitgestellt werden, bevor Sie aufwachen
Automatisieren von Online-Shopping und Checkout-Vorgängen
Ihren Computer aus der Ferne über einen Chat steuern
Automatisierte Planung und Erinnerungen, die nachverfolgt werden
Browser-Automatisierung – Formulare ausfüllen, Websites navigieren, Daten extrahieren
Was es von ChatGPT oder Claude unterscheidet:
Es sendet Ihnen zuerst Nachrichten. Geplante Check-ins alle 30 Minuten und alarmiert Sie nur, wenn etwas Ihre Aufmerksamkeit benötigt.
Es erinnert sich. Vorlieben, vergangene Gespräche, Entscheidungen – gespeichert als Dateien, die Sie selbst lesen und bearbeiten können.
Es führt Aktionen aus. Browser-Steuerung, Formulare ausfüllen, Nachrichten in Ihrem Namen senden.
Diese Kombination – Nachrichtenintegration, proaktive Durchführung, persistentes Gedächtnis, realweltliche Handlungen – hat es verbreitet. Sie ist auch der Grund, warum die Sicherheitsprobleme ernst sind.
Das große Hahnenschmaus
Anthropic sandte eine Markenmitteilung. Der ursprüngliche Name, Clawdbot, war Claude zu ähnlich.
Die Community versammelte sich auf Discord, um einen neuen Namen zu wählen. In weniger als 2 Stunden wurde die Entscheidung getroffen: Moltbot. Ein Hinweis auf das Moult – das Ablösen einer alten Schale für eine neue.
Innerhalb von Sekunden nach der Ankündigung der Änderung auf Twitter ergriffen automatisierte Bots den alten @clawdbot-Handle und posteten eine Krypto-Wallet-Adresse. Peter Steinberger, der Schöpfer des Projekts, musste Kontakte bei X anrufen, um dies zu lösen.
Die Dokumentation bezeichnet dies nun als "Das große Moult."
Die Sicherheitslücke
Zwei Tage vor der Umbenennung fanden Sicherheitsexperten, die das Internet analysierten, über 1.000 Clawdbot-Kontrolltafeln, die öffentlich zugänglich und ohne Authentifizierung waren.
Das Problem war kein Bug in der Software. Clawdbot vertraut Verbindungen vom Localhost automatisch. Wenn Benutzer es hinter einem Reverse Proxy auf demselben Server ausführten, erschien der gesamte externe Datenverkehr als lokal – und wurde automatisch zugelassen.
The Register berichtete, dass ein Forscher in fünf Minuten mit einem Eingabeaufforderungsangriff, der per E-Mail gesendet wurde, den privaten Schlüssel eines Benutzers erhielt.
Das ist wichtig, weil Clawdbot nicht nur ein Chatbot ist. Es kann Nachrichten senden, Befehle ausführen und Browsersitzungen im Namen des Benutzers steuern. Ein offenes Kontrollfeld ist ein Generalschlüssel für das digitale Leben einer Person.
Das Projekt lehnt jetzt standardmäßig alle Verbindungen ab, es sei denn, die Authentifizierung ist explizit konfiguriert.
Was das Chaos enthüllte
Die Sicherheitslücke war kein einmaliges Versehen. Sie spiegelt eine echte Spannung in persönlichen AI-Tools wider: Je einfacher sie einzurichten sind, desto wahrscheinlicher ist es, dass Benutzer die Sicherheitsmaßnahmen überspringen.
Clawdbots Dokumentation ist jetzt ungewöhnlich direkt hinsichtlich der Risiken. Sie stellt fest, dass "Eingabe-Injektionen nicht gelöst sind" – selbst mit Schutzmaßnahmen können Angreifer die AI dazu bringen, unbeabsichtigte Aktionen auszuführen. Sie warnt, dass Browser-Automatisierung wie das Erteilen eines Zugriffs auf Operator-Ebene auf Ihre Konten verstanden werden sollte.
Ein früherer Vorfall unterstreicht dies. Im Dezember recherchierte die AI Roboterpreise und bestellte tatsächlich einen – einen Reachy Mini – ohne ausdrückliche Genehmigung. Die Historienseite des Projekts führt es als "tatsächlich bestellt!" auf, um es von den anderen Robotern zu unterscheiden, deren Preise aus Spaß ermittelt wurden.
Wenn Sie AI die Fähigkeit geben, realweltliche Aktionen auszuführen, erhöhen sich die Risiken.
Was dies für Enterprise AI bedeutet
Moltbot ist ein persönliches Tool. Es hat keine Governance-Kontrollen, keine Prüfpfade, keine Mehrbenutzerberechtigungen. Die meisten Organisationen werden es nicht einführen.
Aber die Nachfrage, die es aufgedeckt hat, ist real.
Benutzer wollen AI in ihren vorhandenen Tools. Keine weitere App, die geöffnet werden muss. Keine weitere Schnittstelle, die gelernt werden muss. AI, die in WhatsApp oder Slack lebt, beseitigt die Reibungen, die die Akzeptanz verhindern.
Benutzer wollen AI, die zuerst Kontakt aufnimmt. Geplante Check-ins, Terminerinnerungen, proaktive Benachrichtigungen. Der Übergang von "Fragen und Antworten" zu "Überwachen und Benachrichtigen" verändert, wie AI in die tägliche Arbeit eingebunden wird.
Benutzer wollen AI, die sich erinnert. Kontext, der über Sitzungen hinweg besteht. Vorlieben, die nicht ständig wiederholt werden müssen. Gedächtnis, das sich über die Zeit entwickelt.
Dies sind die Muster, die Unternehmens-AI-Agenten-Plattformen liefern müssen – mit der Sicherheit und Governance, die das Chaos von Moltbot deutlich machte, dass man nicht überspringen kann.
Die Quintessenz
Clawdbot wurde innerhalb eines Morgens zu Moltbot. Der Name änderte sich, aber die Lektion nicht: Wenn AI in der Lage ist, echte Aktionen in Ihrem Namen auszuführen, ist Sicherheit nicht optional.
Das Projekt hat sich durch seine Krise gemausert. Unternehmens-Teams, die von der Seitenlinie zuschauten, bekamen einen Vorgeschmack darauf, wie persönliche AI-Assistenten aussehen werden – und was schiefgehen kann, wenn die Leitplanken fehlen.
