OpenClaw als Tor zu chinesischer KI: Was IT-Security-Teams jetzt bewerten müssen

7 Min. Lesezeit

Der Open-Source-KI-Agent OpenClaw hat sich innerhalb weniger Monate zum wichtigsten Vertriebskanal für chinesische KI-Dienste im Ausland entwickelt. Über die Plattform nutzen Entwickler weltweit Modelle von MiniMax, Moonshot und DeepSeek zu einem Bruchteil westlicher Preise. Für IT-Security-Verantwortliche stellt sich damit eine dringende Frage: Was passiert mit den Daten, die über diese Infrastruktur fließen?

Das Wichtigste in Kürze

• OpenClaw vermittelt als modellagnostischer Agent den Zugang zu chinesischen KI-Modellen, die Token-Preise von 1 bis 3 Dollar pro Million bieten – fünf- bis sechsmal günstiger als westliche Alternativen.
• Laut OpenRouter-Daten haben chinesische Modelle seit Februar 2026 erstmals amerikanische Konkurrenten beim globalen Token-Verbrauch überholt.
• SecurityScorecard identifizierte über 42.900 exponierte OpenClaw-Instanzen in 82 Ländern – 45 Prozent davon auf Alibaba Cloud.
• Chinas eigene Behörden haben staatlichen Institutionen die Installation von OpenClaw untersagt und verweisen auf Prompt-Injection-Risiken und Datenlecks.
• Für regulierte Branchen in Europa kollidiert die Nutzung chinesischer KI-Infrastruktur mit NIS2- und DSGVO-Anforderungen an Datensouveränität.

Was OpenClaw ist und warum es relevant wird

OpenClaw ist kein KI-Modell, sondern ein quelloffener Agent, der lokal auf dem Gerät eines Nutzers läuft und sich per API mit beliebigen Large Language Models verbinden kann. Entwickelt vom österreichischen Entwickler Peter Steinberger und im November 2025 auf GitHub veröffentlicht, wurde das Tool unter dem ursprünglichen Namen Clawdbot bekannt, bevor es nach einem Trademark-Einspruch durch Anthropic über den Zwischennamen Moltbot seinen heutigen Namen erhielt.

Das modellagnostische Design machte OpenClaw zu einem natürlichen Vertriebskanal für chinesische KI-Anbieter, die eine internationale Verbreitung anstreben. Anfang 2026 integrierte die Plattform kostenlose Unterstützung für Moonshots Kimi K2.5 und MiniMax-M2.5 und verwies auf deren Kosteneffizienz. Bloomberg berichtete am 2. April 2026, dass OpenClaw inzwischen die Token-Verarbeitung für Dutzende chinesischer Anbieter übernimmt. Damit wird ein Open-Source-Tool, das ursprünglich als Entwickler-Werkzeug konzipiert war, de facto zur Vertriebsinfrastruktur eines ganzen Ökosystems.

Die Adoption in China selbst ist massiv: Tencent hat am 22. März ein OpenClaw-basiertes Tool als WeChat-Mini-Programm verfügbar gemacht. Lokale Behörden in Shenzhen bieten Subventionen von bis zu zwei Millionen Yuan für Unternehmen, die auf OpenClaw aufbauen. Laut SecurityScorecard weist China fast doppelt so viel OpenClaw-Aktivität auf wie die Vereinigten Staaten.

Die Ökonomie: Warum der Preisunterschied für Agenten kritisch wird

Die wirtschaftliche Dynamik ist der eigentliche Treiber. Laut einer Analyse der Financial Times verlangen chinesische KI-Labore wie MiniMax und Moonshot etwa 1 bis 3 Dollar pro Million Output-Tokens. Vergleichbare westliche Modelle wie Anthropics Claude Sonnet kosten rund 15 Dollar pro Million. Bei klassischen Chatbot-Anfragen fällt dieser Unterschied kaum ins Gewicht. Bei KI-Agenten, die eigenständig komplexe Aufgaben abarbeiten, potenziert er sich.

Der Unterschied liegt im Token-Verbrauch: Während ein Chatbot für eine Textzusammenfassung etwa 30.000 Tokens benötigt, kann ein KI-Agent für eine Programmieraufgabe bis zu 20 Millionen Tokens verbrauchen. Ein in der Financial Times zitierter Entwickler senkte seine prognostizierten Tageskosten von 900 auf rund 50 Dollar, indem er auf Moonshots Kimi-Modell umstieg.

„Selbst kleine Preisunterschiede werden kritisch, wenn KI-Agenten täglich Millionen von Tokens verbrauchen.“
– Will Liang, CEO Amplify AI Group, zitiert in der Financial Times

Für Unternehmen, die hunderte oder tausende Agent-Aufrufe pro Tag skalieren, ergeben sich Einsparpotenziale im fünf- bis sechsstelligen Bereich pro Jahr. Die Frage, ob diese Einsparung die damit verbundenen Risiken rechtfertigt, ist eine strategische Entscheidung, keine technische.

Daten von OpenRouter belegen den Trend: Seit Februar 2026 haben chinesische Open-Source-Modelle, angeführt von MiniMax-M2.5, Kimi K2.5 und Zhipus GLM-5, erstmals amerikanische Konkurrenten beim globalen Token-Verbrauch überholt. Die drei führenden chinesischen Anbieter vereinen rund 61 Prozent der Token-Nutzung unter den zehn meistgenutzten Modellen der Plattform.

Die Sicherheitslage: Exponierte Instanzen und Datensouveränität

Für IT-Security-Teams ist die Kostenersparnis nicht das relevante Signal – die Sicherheitsimplikationen sind es. SecurityScorecards STRIKE Team identifizierte über 42.900 exponierte OpenClaw-Instanzen in 82 Ländern, 45 Prozent davon auf Alibaba Cloud. Jede exponierte Instanz ist ein potenzielles Einfallstor: OpenClaw-Agenten verarbeiten Quellcode, API-Schlüssel, interne Dokumentation und Geschäftslogik – genau die Daten, die bei einem Abfluss den größten Schaden anrichten.

Hinzu kommt ein spezifisches Angriffsrisiko: Prompt-Injection-Angriffe, bei denen bösartige Eingaben den Agenten dazu bringen, unbeabsichtigte Aktionen auszuführen, sind bei lokal laufenden Agenten mit API-Zugriff besonders gefährlich. Ein kompromittierter Agent kann nicht nur Daten exfiltrieren, sondern auch lokale Dateien lesen, Befehle ausführen und Zugangsdaten weitergeben – ohne dass der Nutzer es bemerkt.

Chinas eigene Behörden haben die Risiken erkannt. CNCERT, das nationale Computer-Notfallteam, warnte explizit vor Prompt-Injection-Angriffen und Datenlecks durch OpenClaw. Staatsbetriebe, Regierungsbehörden, Banken und militärnahe Einrichtungen erhielten Installationsverbote. Die People’s Bank of China gab eine separate Warnung für den Finanzsektor aus. Wenn der Staat, der chinesische KI-Modelle fördert und subventioniert, gleichzeitig seinen eigenen Institutionen die Nutzung des Vertriebskanals untersagt, sollte das auch europäische CISOs aufhorchen lassen.

Die Infrastruktur-Risiken gehen über einzelne Schwachstellen hinaus. Wer Prompts und Code über chinesische API-Endpunkte routet, übergibt Daten an Unternehmen, die dem chinesischen Cybersecurity-Gesetz und dem Datensicherheitsgesetz unterliegen. Beide Gesetze verpflichten Unternehmen zur Kooperation mit staatlichen Sicherheitsbehörden. Für europäische Unternehmen, die unter NIS2 oder DSGVO fallen, stellt sich damit eine konkrete Compliance-Frage: Ist die Verarbeitung sensibler Geschäftsdaten über chinesische KI-Infrastruktur mit den eigenen Datenschutzanforderungen vereinbar?

Zhipu, GLM-5 und die Grenzen der Skalierung

Die Expansion verläuft nicht reibungslos. Zhipu AI musste sich nach dem Launch von GLM-5 im Februar 2026 öffentlich für Instabilitäten entschuldigen, nachdem der Traffic auf das Zehnfache anstieg. Kapazitätsengpässe und Serviceausfälle zeigten, dass die Infrastruktur vieler chinesischer Anbieter für die plötzliche globale Nachfrage nicht ausgelegt war. Für Unternehmen, die produktive Workflows auf diesen Modellen aufbauen, bedeutet das ein zusätzliches Verfügbarkeitsrisiko – und in zeitkritischen Umgebungen wie CI/CD-Pipelines oder automatisierten Security-Scans ein operatives Risiko.

Bloomberg-Kolumnist Tim Culpan kommentierte Ende März, das OpenClaw-Phänomen biete Chinas KI-Sektor einen Grund, langfristig höhere Preise zu verlangen – während es gleichzeitig die ungeordneten, realen Trainingsdaten liefere, die das gesamte Ökosystem beschleunigen könnten. Aus Security-Perspektive ist genau das der kritische Punkt: Jeder Prompt, jede Code-Completion, jede Agent-Aufgabe, die über diese Modelle läuft, ist ein Datenpunkt, der potenziell in zukünftige Modellversionen einfließt.

Die geopolitische Dimension verschärft die Lage zusätzlich. Die USA haben mit dem CHIPS Act und erweiterten Exportkontrollen den Hardware-Zugang für chinesische KI-Labore eingeschränkt. Gleichzeitig finden dieselben Labore über OpenClaw nun einen direkten Softwarekanal zu westlichen Entwicklern und deren Daten. Für Regierungen und regulierte Branchen im Westen entsteht damit ein Spannungsfeld zwischen wirtschaftlicher Effizienz und strategischer Technologiesouveränität, das in den kommenden Monaten politische Antworten erfordern wird.

Was IT-Security-Teams jetzt bewerten müssen

Die Nutzung chinesischer KI-Modelle über OpenClaw ist kein theoretisches Szenario – sie findet in Entwicklerteams bereits statt, oft ohne Kenntnis der IT-Abteilung. Wie bei jeder Shadow-IT-Thematik liegt die Herausforderung weniger im Verbieten als im strukturierten Umgang. Folgende Bewertung ist jetzt erforderlich:

1. Shadow-AI inventarisieren: Prüfen, ob und wo OpenClaw oder vergleichbare Agenten in der Organisation eingesetzt werden. Netzwerk-Monitoring auf ausgehende Verbindungen zu bekannten chinesischen API-Endpunkten konfigurieren.
2. Datenklassifizierung durchsetzen: Festlegen, welche Datenkategorien an externe KI-Dienste übermittelt werden dürfen. Quellcode, API-Keys, Kundendaten und interne Dokumentation sollten nie an nicht-auditierte Endpoints fließen.
3. Compliance-Bewertung erstellen: Für regulierte Branchen klären, ob die Datenverarbeitung über chinesische Infrastruktur mit NIS2-Meldepflichten, DSGVO-Transferregeln und branchenspezifischen Anforderungen vereinbar ist.
4. API-Gateway als Kontrollschicht: Falls KI-Agenten zugelassen werden, den Traffic über ein internes API-Gateway routen, das Prompts filtert, sensible Daten maskiert und Nutzung protokolliert.
5. Richtlinie für KI-Agenten definieren: Eine klare Policy für den Einsatz von KI-Agenten im Unternehmen erstellen – analog zu bestehenden BYOD- oder Cloud-Nutzungsrichtlinien.

Häufige Fragen

Was genau ist OpenClaw?

OpenClaw ist ein quelloffener KI-Agent, der lokal auf dem Gerät eines Nutzers läuft und sich per API mit beliebigen Large Language Models verbinden kann. Es ist kein eigenes KI-Modell, sondern eine Steuerungsschicht, die verschiedene Modelle über eine einheitliche Schnittstelle zugänglich macht.

Ist die Nutzung chinesischer KI-Modelle über OpenClaw illegal?

Nicht grundsätzlich. Es gibt kein generelles Verbot für die Nutzung chinesischer KI-Dienste in der EU. Allerdings können Datenschutzanforderungen (DSGVO), Branchenregulierung (NIS2, DORA) und interne Compliance-Richtlinien die Nutzung einschränken oder ausschließen, insbesondere wenn sensible Daten verarbeitet werden.

Warum sind chinesische KI-Modelle so viel günstiger?

Mehrere Faktoren wirken zusammen: niedrigere Infrastrukturkosten, aggressive Preisstrategien zur Marktdurchdringung, staatliche Subventionen und ein intensiver Preiswettbewerb unter chinesischen Anbietern. Allein in Shenzhen subventioniert der Bezirk Longgang Entwickler mit bis zu zwei Millionen Yuan. Ob diese Preise langfristig tragfähig sind oder ob die Phase der aggressiven Marktdurchdringung irgendwann durch Preiserhöhungen abgelöst wird, ist offen.

Was sollte ich tun, wenn Entwickler in meinem Team bereits OpenClaw nutzen?

Zunächst den Einsatz nicht pauschal verbieten, sondern inventarisieren: Welche Modelle werden genutzt, welche Daten fließen, über welche Endpoints? Dann eine risikobewertete Policy erstellen und ein API-Gateway als Kontrollschicht einführen. Verbote ohne Alternative führen zu Shadow-IT.

Hat China OpenClaw selbst verboten?

Nicht generell. Chinas CNCERT hat staatlichen Institutionen, Staatsbetrieben und Banken die Installation untersagt und Sicherheitsleitlinien herausgegeben. Die private und kommerzielle Nutzung ist davon nicht betroffen – im Gegenteil subventionieren einzelne Städte wie Shenzhen Unternehmen, die auf OpenClaw aufbauen.

Quelle Titelbild: KI-generiertes Stimmungsbild (FLUX.2) – keine Produktabbildung

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer