ClawHosters
von Daniel Samer
6 Min. Lesezeit
Deine ClawHosters-Instanz kann deine PostgreSQL-Datenbank abfragen, über Brave im Web suchen, Dateien aus Google Drive lesen und Nachrichten in Slack posten. Ohne eine einzige Zeile Integrationscode. Genau dafür gibt es MCP Server.
MCP steht für Model Context Protocol. Anthropic hat es im November 2024 vorgestellt, als offenen Standard für die Verbindung von KI-Anwendungen mit externen Tools und Datenquellen. Die Analogie, die hängen geblieben ist: MCP ist der USB-C-Anschluss für KI. Vorher brauchte jede Datenquelle eine eigene Integration. Jetzt gibt es ein Protokoll, das über Clients und Server hinweg funktioniert.
Das Ökosystem ist schneller gewachsen, als wohl irgendjemand erwartet hatte. Die Downloads stiegen innerhalb von fünf Monaten nach dem Launch von rund 100.000 auf über 8 Millionen. Mittlerweile listet allein mcp-awesome.com über 1.200 geprüfte Server, dazu kommen Zehntausende weitere auf GitHub. Anthropic, OpenAI, Google und Microsoft stehen alle hinter dem Standard. Er hat sich durchgesetzt.
Und MCP ist nicht auf Claude beschränkt. OpenClaw funktioniert als MCP Client unabhängig davon, welches LLM du dahinter betreibst.
Was bei ClawHosters mitgeliefert wird
Jede ClawHosters-Instanz kommt mit drei vorinstallierten MCP Servern im Base Snapshot:
| Server | Funktion |
|---|---|
| Filesystem | Dateien innerhalb deiner Instanz lesen und schreiben |
| Shell | Terminalbefehle im Container ausführen |
| Browser | Web-Browsing über Playwright (Chromium ist enthalten) |
Damit sind die häufigsten Anwendungsfälle direkt abgedeckt. Du kannst sie über die ClawHosters Web-Oberfläche oder per SSH direkt in der openclaw.json konfigurieren. Die vollständige Einrichtung findest du in der MCP Server Dokumentation.
Das Config-Format
MCP Server stehen im mcpServers-Objekt deiner openclaw.json. Jeder Eintrag braucht ein Command, Argumente und optional Umgebungsvariablen für API-Keys:
{
"mcpServers": {
"github": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-github"],
"env": {
"GITHUB_PERSONAL_ACCESS_TOKEN": "ghp_dein_token_hier"
}
},
"brave-search": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-brave-search"],
"env": {
"BRAVE_API_KEY": "dein_key_hier"
}
}
}
}
Das npx -y-Pattern ist der Standardweg, über den die meisten MCP Server laufen. Es lädt ein npm-Paket herunter und führt es aus, ohne manuelle Installation. Das -y-Flag bestätigt den Install-Prompt automatisch.
Die Konfiguration funktioniert auch komplett über das ClawHosters Dashboard, ganz ohne JSON. Die Web-Oberfläche bietet dieselben Felder.
Beliebte MCP Server zum Nachrüsten
Diese Server laufen nachweislich auf ClawHosters-Instanzen. Builder.io hat einen ausführlicheren Überblick für 2026, aber hier sind die, die ich am häufigsten im Einsatz sehe:
| Anwendungsfall | Paket |
|---|---|
| GitHub Repos | @modelcontextprotocol/server-github |
| PostgreSQL Queries | @modelcontextprotocol/server-postgres |
| Google Drive Dateien | @modelcontextprotocol/server-gdrive |
| Slack Nachrichten | @modelcontextprotocol/server-slack |
| Web-Suche | @modelcontextprotocol/server-brave-search |
| Notion Seiten | @notionhq/mcp |
Ein Punkt, den du im Blick behalten solltest: Arbeitsspeicher. Die Built-in Server brauchen jeweils 20 bis 50 MB. Node.js-basierte Custom Server liegen bei 50 bis 150 MB pro Stück. Der Browser Server kann im aktiven Betrieb 200 bis 400 MB erreichen. Wenn du einen kleineren ClawHosters Tarif nutzt, kann es eng werden, sobald du vier Custom Server zu den Built-in-Servern dazupackst. Zwei bis drei Custom Server sind für die meisten Setups ein guter Ausgangspunkt.
Custom-Installationen überstehen Container-Neustarts. Bei einem Rebuild werden sie allerdings gelöscht. Falls du einen Rebuild auslöst, musst du deine Custom MCP Server danach neu installieren.
Sicherheit: Der Teil, den du nicht überspringen solltest
Hier muss ich deutlich werden. MCP Server laufen mit denselben Berechtigungen wie der Container, also als Root. Das bedeutet: Ein bösartiger oder kompromittierter MCP Server hat vollen Zugriff auf alles innerhalb deiner Instanz. Dateien, Zugangsdaten, API-Keys, Gesprächsverläufe.
Das ist kein Bug bei ClawHosters. So funktioniert MCP überall. Die offizielle MCP-Spezifikation dokumentiert die Risiken explizit, einschließlich beliebiger Codeausführung über bösartige Server-Pakete.
Reale Vorfälle gab es bereits. Im Januar 2026 berichtete The Register, dass Anthropic drei verkettete Sicherheitslücken in ihrem eigenen Git MCP Server still behoben hat. Die ermöglichten Remote Code Execution. Selbst der First-Party-Server der Protokoll-Entwickler hatte solche Bugs.
Dazu kommt Tool Poisoning. Sicherheitsforscher von Invariant Labs haben gezeigt, wie ein bösartiger MCP Server versteckte Anweisungen in seine Tool-Beschreibung einbetten kann. Die KI sieht und befolgt diese Anweisungen. Der Nutzer bekommt davon nichts mit. In einer Demo wurde auf diese Weise die WhatsApp-Nachrichtenhistorie eines Nutzers abgegriffen.
Laut Pillar Security kann die Kompromittierung eines einzigen MCP Servers Angreifern Zugang zu allen verbundenen Service-Tokens verschaffen. E-Mail, Kalender, Dateispeicher.
Was solltest du also konkret tun?
Installiere nur MCP Server aus Quellen, die du verstehst. Die @modelcontextprotocol-Pakete von Anthropic sind die am gründlichsten geprüften. Überprüfe den npm-Paketnamen, bevor du npx -y auf irgendetwas ausführst. Und mische keine vertrauenswürdigen und unbekannten Server auf derselben Instanz, wenn du sensible Zugangsdaten dort speicherst. ClawHosters bietet Container-Isolation vom Host, aber Daten innerhalb des Containers sind für jeden dort laufenden MCP Server erreichbar.
Mehr zur generellen Absicherung deiner Instanz findest du im Sicherheits-Hardening Guide. Die ClawHosters Docs zur Sicherheit erklären, welche Schutzmaßnahmen standardmäßig aktiv sind.
