ClawHosters ClawHosters
Abo -30% SUB30
OpenClaw Berechtigungen: Deinen KI-Agenten in 60 Sekunden absichern
$ ./blog/guides
Anleitungen

OpenClaw Berechtigungen: Deinen KI-Agenten in 60 Sekunden absichern

ClawHosters
ClawHosters von Daniel Samer
5 Min. Lesezeit

Deine OpenClaw-Instanz wird mit fast null AI Agent Sicherheit ausgeliefert. Das Gateway bindet sich an Loopback. Gut. Aber das Tool-Zugriffsmodell? Komplett offen. Dein Agent kann jeden Shell-Befehl ausführen, jede Datei lesen, auf die dein OS-User Zugriff hat, und Nachrichten von jedem annehmen, der deinen Telegram Bot findet.

Laut CrowdStrikes Advisory vom Februar 2026 sind über 135.000 OpenClaw-Instanzen in 82 Ländern exponiert. 12.812 davon waren per Remote Code Execution angreifbar. Und Permiso Security hat dokumentiert, wie ein gefälschter Weather-Skill auf ClawHub unbemerkt API-Keys an einen Angreifer-Webhook geschickt hat. Das ist nicht theoretisch.

Die Lösung dauert ungefähr 60 Sekunden. OpenClaw hat drei Berechtigungsebenen, und wenn du sie verstehst, ist die ganze Konfiguration eine einzige JSON-Datei.

Was ClawHosters schon erledigt

Wenn du auf ClawHosters läufst, ist die Infrastruktur-Sicherheit erledigt. Container-Isolation, Firewall-Regeln, SSH-Härtung, Brute-Force-Schutz, automatische Updates. Das musst du alles nicht anfassen.

Aber die Anwendungsebene bleibt deine Verantwortung. Drei Dinge brauchen Konfiguration: Wer darf deinem Bot schreiben, welche Tools darf er nutzen, und darf er Shell-Befehle ausführen. Genau darum geht es hier.

Selbst gehostet? Dann ist deine Liste deutlich länger. Der Vergleich Self-Hosting vs. Managed zeigt den vollen Unterschied.

Ebene 1: Wer deinem Bot schreiben darf

Die dmPolicy-Einstellung kontrolliert, wer mit deinem Agenten reden darf. Der Standard ist pairing, also ein einmaliger Verifizierungs-Handshake. Klingt okay.

Es gibt aber eine bessere Option.

Setze dmPolicy auf allowlist und trage die exakten numerischen Telegram-User-IDs in das allowFrom-Array ein. Das ist ein harter Filter. Niemand kommt durch, der nicht auf der Liste steht.

Was regelmäßig Verwirrung stiftet: allowFrom erwartet deine numerische Telegram-User-ID, nicht deinen @Benutzernamen. Wenn du dort @johndoe einträgst, wird der Eintrag still ignoriert. Dein Bot antwortet einfach nicht mehr und du hast keine Ahnung warum. Finde deine numerische ID, indem du deinem Bot eine Nachricht schickst und dann openclaw logs --follow prüfst.

Ebene 2: Welche Tools der Agent nutzen darf

Kontrollieren, wer deinem Bot schreibt, ist nur die halbe Sache. Selbst mit einer gesperrten Allowlist könnte dein Agent Inhalte verarbeiten, die versteckte Anweisungen enthalten. Palo Alto Networks Unit42 formuliert es klar: Agenten mit reinem Lesezugriff bieten eine deutlich kleinere Angriffsfläche als Agenten mit Schreibrechten.

Das Tool-System von OpenClaw arbeitet mit Profilen und Deny-Listen. Setze das Profil auf messaging (schlanker als das Standard-Profil standard) und sperre explizit die Tool-Gruppen, die dein Agent nicht braucht:

  • group:automation blockiert Cron-Jobs und Gateway-Verwaltung

  • group:runtime blockiert exec, bash und Prozess-Tools

  • group:fs blockiert Dateisystemzugriff außerhalb des Workspace

  • sessions_spawn und sessions_send verhindern Multi-Session-Angriffe

Das OWASP AI Agent Security Cheat Sheet empfiehlt eingeschränkte Tools mit expliziten Allowlists. Gleiches Prinzip hier. Wenn die Aufgabe deines Agenten darin besteht, Telegram-Nachrichten zu beantworten, braucht er keinen Dateizugriff und keine Cron-Verwaltung.

Ebene 3: Shell-Befehlsausführung

Das ist der kritische Punkt. Standardmäßig kann der Agent Shell-Befehle ausführen. Das ist das exec-System.

Setze exec.security auf deny. Fertig.

Wenn du später für einen bestimmten Anwendungsfall Shell-Zugriff brauchst, kannst du auf allowlist-Modus wechseln und genau angeben, welche Befehle erlaubt sind. Die OpenClaw exec-Dokumentation beschreibt alle drei Modi.

Die Einstellung ask: "always" ist doppelte Absicherung. Falls du exec versehentlich öffnest, wirst du trotzdem vor jeder Ausführung gefragt.

Und lass elevated.enabled auf false. Der Elevated-Modus gibt dem Agenten Zugriff auf Cron-Verwaltung, Gateway-Konfiguration und Session-Spawning. Das willst du nicht.

Die gehärtete Konfiguration

Hier ist die vollständige Konfiguration für ~/.openclaw/openclaw.json. Kopieren, deine Telegram-ID einsetzen, fertig:

{
  "tools": {
    "profile": "messaging",
    "deny": ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    "fs": { "workspaceOnly": true },
    "exec": { "security": "deny", "ask": "always" },
    "elevated": { "enabled": false }
  },
  "channels": {
    "telegram": {
      "dmPolicy": "allowlist",
      "allowFrom": ["DEINE_NUMERISCHE_TELEGRAM_ID"]
    }
  }
}

Die OpenClaw Security-Dokumentation bezeichnet das als gehärtete 60-Sekunden-Baseline. Es schließt die häufigsten Angriffsvektoren, ohne die Konversationsfähigkeit deines Agenten einzuschränken.

Ergebnis prüfen

Nachdem du die Konfiguration angewendet hast:

openclaw security audit

Dieser Befehl scannt deine Konfiguration und zeigt alles an, was noch offen ist. Wenn der Scan sauber zurückkommt, passt alles.

Für die vollständige Anleitung zur Sicherheitshärtung (inklusive der ClawHosters-Infrastrukturebene) gibt es den kompletten Security-Guide. Und falls du ClawHosters noch nicht ausprobiert hast, gibt es eine kostenlose Testphase, bei der diese Sicherheitsstandards schon voreingestellt sind.

Häufig gestellte Fragen

Der Eintrag wird still ignoriert. Dein Bot antwortet diesem Nutzer nicht mehr, ohne eine Fehlermeldung auszugeben. Verwende immer numerische Telegram-User-IDs. Finde deine ID, indem du dem Bot eine Nachricht schickst und mit `openclaw logs --follow` die Absender-ID im Log suchst.

Kannst du. Aber die Allowlist ist verlässlicher. Beim Pairing behält jeder Zugriff, der den Handshake irgendwann abgeschlossen hat. Die Allowlist ist ein harter Filter. Nur die numerischen IDs, die du einträgst, kommen durch. Zugriff widerrufen geht sofort durch Entfernen einer ID.

Nicht bei den meisten Anwendungsfällen. Wenn dein Agent Telegram-Nachrichten beantwortet, braucht er keinen Shell-Zugriff. Exec zu verbieten bedeutet nur, dass der Agent keine Befehle wie `ls`, `cat` oder `curl` auf deinem Server ausführen kann. Konversationen, Tool-Nutzung und Wissensabruf funktionieren ohne exec problemlos.

Trage die numerische Telegram-User-ID in das `allowFrom`-Array ein: `"allowFrom": ["123456789", "987654321"]`. Starte den OpenClaw-Prozess neu, damit die Änderung wirksam wird.

ClawHosters übernimmt die Infrastruktur-Sicherheit (Firewall, Container-Isolation, SSH, Auto-Updates) automatisch. Die Anwendungsebenen-Konfiguration aus diesem Guide liegt in deiner Verantwortung. Neue Instanzen werden mit sinnvollen Standardeinstellungen ausgeliefert, aber du solltest prüfen, ob deine `openclaw.json` der gehärteten Baseline oben entspricht.
*Zuletzt aktualisiert: März 2026*

Quellen

  1. 1 CrowdStrikes Advisory vom Februar 2026
  2. 2 Permiso Security hat dokumentiert
  3. 3 ClawHosters
  4. 4 Vergleich Self-Hosting vs. Managed
  5. 5 Palo Alto Networks Unit42 formuliert es klar
  6. 6 OWASP AI Agent Security Cheat Sheet
  7. 7 OpenClaw exec-Dokumentation
  8. 8 OpenClaw Security-Dokumentation
  9. 9 kompletten Security-Guide
  10. 10 kostenlose Testphase
$ ./related --posts