ClawHosters
von Daniel Samer
3 Min. Lesezeit
API Keys in Plaintext-Config-Dateien. Das ist nach wie vor die häufigste Fehlkonfiguration bei selbst gehosteten OpenClaw-Instanzen. SecurityScorecard hat über 40.000 exponierte Instanzen gefunden, bei denen Zugangsdaten offen in lesbaren YAML-Dateien lagen. OpenClaw v2026.2.26, veröffentlicht am 27. Februar von 45 Contributors unter der Leitung von @steipete, geht dieses Problem jetzt mit einem eigenen Secrets Management CLI an. Aber da steckt noch mehr drin.
Secrets Management: openclaw secrets
Das neue openclaw secrets CLI bringt vier Befehle mit: audit, configure, apply und reload. API Keys und Zugangsdaten lassen sich jetzt vollständig außerhalb der Config-Dateien speichern. Secrets werden erst nach explizitem apply aktiv, und eine strikte Target-Path-Validierung verhindert, dass Secrets an Stellen landen, wo sie nicht hingehören.
Wer das v2026.2.25 Sicherheitsrelease verfolgt hat: Das war der Patch dagegen, wie Angreifer reinkommen. Dieses Release sorgt dafür, dass es weniger zu holen gibt, falls sie es doch schaffen.
Für Selbst-Hoster: openclaw secrets audit auf der Instanz laufen lassen. Die Chancen stehen gut, dass Credentials auftauchen, die da nicht sein sollten.
Thread-gebundene ACP Agents
Agent Communication Protocol Agents sind jetzt First-Class Runtimes, gebunden an Thread Sessions. Was das konkret heißt: Du kannst Agents spawnen, Nachrichten an sie dispatchen und ihren Lifecycle pro Thread steuern. Startup Reconciliation fängt den Fall ab, wenn der Server mitten in einer Konversation neu startet. Coalesced Thread Replies verhindern, dass Multi-Agent-Antworten den Chat überfluten.
Das ist die Art Infrastruktur-Änderung, die Multi-Agent-Setups in der Produktion zuverlässig macht, statt dass sie nur in Demos funktionieren.
Agent Routing CLI
Drei neue CLI-Befehle für Agent-Routen: openclaw agents bindings, openclaw agents bind und openclaw agents unbind. Routen sind Account-scoped. Verschiedene Nutzer können also unterschiedliche Agent-Konfigurationen auf derselben Instanz haben.
Wer bisher jedes Mal YAML editiert hat, um zu ändern, welcher Agent was übernimmt: Das ersetzt diesen Workflow.
Der Rest
IPv6-Multicast-Adressen werden jetzt korrekt als private Ziele für SSRF-Protection klassifiziert. Die DM Allowlist erbt zur Laufzeit. Delivery Queue Recovery hat smartere Backoff-Logik bekommen. Gemini OAuth ist an Googles aktuelle Spec-Änderungen angepasst. Und Codex läuft jetzt auf WebSocket-first Transport. Die vollständigen Release Notes listen 7+ Security Fix Kategorien zusätzlich zu den Headline Features.
Was das für ClawHosters-Kunden bedeutet
Schon erledigt. Wer einen Managed-Hosting-Plan von ClawHosters nutzt, läuft bereits auf v2026.2.26. Kein YAML editieren, keine manuelle Secret-Rotation, keine Downtime. Genau dafür gibt es Managed Hosting.
Selbst-Hoster sollten updaten und openclaw secrets audit als ersten Schritt ausführen. Allein das Secrets CLI macht dieses Release das Upgrade wert.
