Eine Sicherheitsforscherin von Meta berichtet auf X von einem Vorfall mit einem OpenClaw-Agenten, der ihre E-Mails im Eiltempo löschte. Der Fall wirft Fragen zur Alltagstauglichkeit solcher KI-Helfer auf.
OpenClaw-Agent gerät außer Kontrolle
In einem inzwischen viel beachteten Beitrag schildert die Meta-KI-Sicherheitsforscherin Summer Yu, wie ihr OpenClaw-Agent ihre Mailbox aufräumen sollte. Sie hatte den Agenten angewiesen, ihr überfülltes Postfach zu prüfen und Vorschläge zu machen, welche Nachrichten sie löschen oder archivieren könnte.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Stattdessen begann der Agent damit, ihre E-Mails im Rekordtempo zu löschen und ignorierte dabei ihre Stopp-Befehle vom Smartphone. Yu beschreibt, wie sie zu ihrem Mac mini rennen musste, als wolle sie eine Bombe entschärfen, um den Prozess zu unterbrechen. Sie veröffentlichte dazu Screenshots, die zeigen sollen, wie der Agent ihre Anweisungen zum Anhalten überging.
Der Mac mini, ein kompakter und vergleichsweise günstiger Desktop-Mac von Apple, hat sich in der Szene als bevorzugtes Gerät für OpenClaw durchgesetzt. Ein Apple-Mitarbeiter soll dem bekannten KI-Forscher Andrej Karpathy berichtet haben, die Geräte würden sich „wie verrückt“ verkaufen, nachdem dieser einen Mac mini gekauft hatte, um eine OpenClaw-Alternative namens NanoClaw zu betreiben.
OpenClaw-Hype und „Klauen“-Trend
OpenClaw ist ein quelloffener KI-Agent, der durch das KI-only soziale Netzwerk Moltbook bekannt wurde. Dort standen OpenClaw-Agenten im Mittelpunkt eines inzwischen weitgehend widerlegten Vorfalls, bei dem es zeitweise so aussah, als würden die KIs gegen Menschen konspirieren.
Laut GitHub-Beschreibung verfolgt OpenClaw jedoch ein anderes Ziel: Die Software soll als persönlicher KI-Assistent direkt auf den eigenen Geräten der Benutzer:innen laufen. In der Tech-Szene im Silicon Valley ist die Begeisterung so groß, dass „Klaue“ und „Klauen“ inzwischen zu Schlagwörtern für Agenten auf persönlicher Hardware geworden sind. Weitere Beispiele sind ZeroClaw, IronClaw und PicoClaw.
Sogar das Podcast-Team des Startup-Förderers Y Combinator trat in der jüngsten Folge in Krabbenkostümen auf, um diesen Trend aufzugreifen.
Warnung vor zu viel Vertrauen in KI-Agenten
Yus Schilderung wird von vielen auf X als Warnsignal verstanden. Kommentator:innen fragen sich, welche Chancen normale Benutzer:innen haben, wenn bereits eine KI-Sicherheitsforscherin solche Probleme erlebt. Ein Softwareentwickler fragte Yu, ob sie gezielt die Sicherheitsmechanismen des Agenten testen wollte oder einen Anfängerfehler gemacht habe.
Sie antwortete, es sei tatsächlich ein „Anfängerfehler“ gewesen. Zuvor hatte sie ihren Agenten mit einem kleineren „Spielzeug“-Postfach getestet, also mit weniger wichtigen E-Mails. Dort lief alles problemlos, sodass sie dem System genug vertraute, um es auf ihr echtes Postfach loszulassen.
Yu vermutet, dass die große Datenmenge im realen Postfach eine sogenannte Verdichtung ausgelöst hat. Damit ist der Moment gemeint, in dem das Kontextfenster – also das Protokoll aller Anweisungen und Aktionen während einer Sitzung – zu groß wird und der Agent beginnt, Inhalte zu komprimieren und zusammenzufassen.
In dieser Phase kann die KI aus Sicht der Menschen wichtige Anweisungen überspringen. Im geschilderten Fall könnte der Agent Yus letzte Eingabe, in der sie ihn ausdrücklich anwies, nicht zu handeln, übersprungen und stattdessen wieder auf die Instruktionen aus dem „Spielzeug“-Postfach zurückgegriffen haben.
Mehrere Stimmen auf X betonten, dass Eingabeaufforderungen allein sich nicht als Sicherheitsbarrieren eignen. Modelle könnten sie missverstehen oder ignorieren. Vorschläge aus der Community reichten von präziserer Syntax zum Stoppen des Agenten bis hin zu technischen Maßnahmen wie Anweisungen in separaten Dateien oder zusätzlicher Open-Source-Software zur Durchsetzung von Regeln.
TechCrunch konnte Yus Schilderungen nicht unabhängig überprüfen. Sie reagierte nicht auf eine Anfrage, beantwortete aber zahlreiche Fragen und Kommentare auf X. Für die Einordnung spielt das laut TechCrunch jedoch eine untergeordnete Rolle.
Die Geschichte verdeutlicht, dass KI-Agenten für Wissensarbeitende in ihrem aktuellen Entwicklungsstand ein Risiko darstellen. Menschen, die sie heute produktiv einsetzen, stützen sich auf selbst gebaute Schutzmechanismen. Ob sich das in den kommenden Jahren ändert, bleibt offen. Viele hätten gerne Unterstützung bei E-Mails, Bestellungen oder Terminen – doch dieser Alltagseinsatz scheint noch nicht erreicht.
