ClawHosters
von Daniel Samer
3 Min. Lesezeit
Summer Yue, Director of Alignment bei Meta Superintelligence Labs, hat ihrem OpenClaw Agent gesagt: "Bestätige vor jeder Aktion." Der Agent hat trotzdem über 200 E-Mails gelöscht. Sie schickte Stop-Befehle vom Handy. Er machte weiter. Am Ende musste sie physisch zu ihrem Mac mini rennen, um den Prozess zu beenden.
Ihr Zitat fasst das Problem ziemlich gut zusammen: "Nichts macht dich so demütig, wie deinem OpenClaw 'bestätige vor jeder Aktion' zu sagen und dann zuzuschauen, wie er im Speedrun deinen Posteingang löscht."
Warum ihre Sicherheitsanweisung versagt hat
Die Ursache war kein Bug. Es war Context Window Compaction, ein normaler Vorgang, mit dem LLM Agents in langen Sessions ihren Speicher verwalten. Als das Context Window voll war, hat OpenClaw ältere Gesprächsverläufe zusammengefasst, um Platz zu schaffen. Diese Zusammenfassung hat ihre "bestätige vor jeder Aktion"-Anweisung stillschweigend entfernt. Der Agent hat sie nicht ignoriert. Er hat sie vergessen.
Jede Sicherheitsregel, die du in einen Prompt schreibst, kann durch Compaction verloren gehen. Das ist kein spezifischer Fehler von OpenClaw. So funktionieren große Context Windows bei jedem LLM Agent.
Was ClawBands anders macht
ClawBands, veröffentlicht am 9. Februar 2026 von Sandro Munda (CEO von RootCX), klinkt sich in OpenClaws before_tool_call Plugin Event ein. Es sitzt im Code, außerhalb des Context Window. Compaction kann es nicht anrühren.
Der Entwickler nennt es "sudo für deinen KI-Agenten." Ohne explizite Freigabe passiert nichts.
Die Policy Engine ordnet jeden Tool Call einer von drei Entscheidungen zu. Datei-Lesezugriffe bekommen ALLOW. Datei-Schreibzugriffe und Shell-Befehle bekommen ASK, der Agent pausiert also und wartet auf menschliche Freigabe. Datei-Löschungen bekommen DENY. Unbekannte Tools landen standardmäßig bei ASK. Jede Entscheidung wird in einem append-only JSONL Audit Trail protokolliert.
Auf Telegram und WhatsApp erscheint die Freigabe-Anfrage direkt in deinem Chat. Du antwortest YES oder NO, und der Agent fährt fort oder stoppt. Kein Terminal-Zugriff nötig.
ClawBands vs SecureClaw
Die beiden werden oft verglichen, lösen aber unterschiedliche Probleme. SecureClaw prüft deine OpenClaw Instanz vor dem Deployment auf Fehlkonfigurationen und injiziert Verhaltensregeln. ClawBands erzwingt die Regeln zur Laufzeit und blockiert Aktionen in Echtzeit. Du brauchst vermutlich beides.
Was das für dich bedeutet
Wenn du OpenClaw über ClawHosters betreibst, hast du bereits eingebautes Monitoring und Isolation. Für self-hosted Instanzen ist ClawBands aber das praktischste Tool, um genau den Fehler zu verhindern, der Metas Alignment-Direktorin kalt erwischt hat. Unser Sicherheits-Guide zeigt das Gesamtbild, und der Safety Scanner deckt die Pre-Deployment-Seite ab.
