OpenClaws Wachstum 2026 macht das Ökosystem attraktiv für Angreifer, die dorthin gehen, wo Entwickler gerade vertrauen: Erweiterungen, MCP-Server, Vorlagen und kopierte Shell-Snippets. Die richtige Antwort ist keine Panik, sondern ein kleinerer Schadensradius.
Diese Checkliste richtet sich an OpenClaw-Nutzer, die heute konkrete Gegenmaßnahmen brauchen. Office Claws ist keine native OpenClaw-Laufzeitumgebung, sondern ein Codex-first Desktop-Manager für Coding-Agenten auf isolierten VPS-Hosts. Genau deshalb beschreiben wir hier ein ehrliches Sicherheitsmuster statt eine falsche Integrationsbehauptung.
Das Angriffsmuster
Die meisten Trojaner brauchen keine Zero-Day-Lücke. Sie brauchen nur einen vertrauten Weg in einen Runner mit Zugangsdaten: eine Erweiterung wird installiert, der Agent lädt sie mit Datei- und Netzwerkrechten, der Payload liest .env, Shell-History oder Tokens und nutzt anschließend die Werkzeuge des Agents zum Exfiltrieren oder Geldausgeben.
Darum ist OpenClaw-Trojaner-Abwehr vor allem Architektur.
Die Checkliste
| Kontrolle | Minimum | Besser |
|---|---|---|
| Runner-Isolation | Ein Projekt pro Workspace | Ein wegwerfbarer VPS pro riskantem Lauf |
| Secrets | Keine Langzeitschlüssel in .env | Keychain oder kurzlebige Tokens |
| Erweiterungen | Versionen pinnen | Diffs prüfen und breite Rechte ablehnen |
| Netzwerk | Egress protokollieren | Domains pro Aufgabe erlauben |
| Kosten | Provider-Limits | Tagesbudget pro Agent |
| Wiederherstellung | Sauberer Branch | Runner aus Snapshot neu bauen |
1. Der Agent gehört auf einen Host, den du löschen kannst
Ein Trojaner ist deutlich weniger schlimm, wenn er auf einem Host ohne Browser-Cookies, private SSH-Schlüssel und fremde Repositories landet. Für ernsthafte Coding-Arbeit ist ein Container oder kleiner VPS die bessere Grenze. Wenn etwas falsch aussieht: zerstören, Token rotieren, aus Snapshot neu starten.
2. Provider-Schlüssel bleiben außerhalb des Runners
Der gefährlichste Standard ist ein mächtiger API-Key im Projekt-.env. Verschiebe Schlüssel in die Betriebssystem-Keychain oder in einen lokalen Broker für kurzlebige Task-Tokens. Für Codex-lastige Migrationen hilft Office Claws for OpenClaw users, weil Runner und Desktop sauber getrennt bleiben.
3. Erweiterungen wie Produktionsabhängigkeiten behandeln
Pinne Versionen, vermeide Auto-Updates und lies den Diff vor jedem Upgrade. Blockiere Erweiterungen mit unnötig breitem Dateizugriff, unerwarteter Netzwerkkommunikation oder Installationsskripten, die zur Laufzeit Binärdateien nachladen.
4. Netzwerk-Egress sichtbar machen
Viele Trojaner müssen irgendwann nach außen funken. DNS- oder Firewall-Logs reichen als Anfang. Noch besser ist eine Allowlist: Git-Hoster, Paketregistries, Modellprovider und deine eigene Steuerungsebene.
5. Kostenlimits sind Pflicht
Ein geleakter Schlüssel ohne Limit ist ein Blankoscheck. Setze Tageslimits beim Provider und beobachte den Tokenverbrauch pro Runner. Unser OpenClaw cost comparison zeigt, warum Codex-Abos planbarer sein können, aber Sichtbarkeit bleibt nötig.
6. Audit-Logs außerhalb des Agents speichern
Der kompromittierte Prozess darf nicht die einzige Quelle der Wahrheit sein. Prompts, Tool-Calls, Shell-Befehle und Diffs gehören an einen Ort außerhalb des Runners.
Wann der Wechsel zu Codex auf einem VPS sinnvoll ist
Für breite OpenClaw-Experimente genügt ein enger lokaler Sandbox-Lauf. Für repo-zentrierte Coding-Arbeit, lange Tests und mehrere Branches ist Codex auf einem isolierten VPS oft sauberer. Lies dazu den OpenClaw vs Codex comparison. Office Claws sitzt bewusst auf der Codex-Seite: Provisioning, Monitoring und Multi-Agent-Übersicht ohne vorzugeben, OpenClaw nativ auszuführen.
15-Minuten-Härtung
- Provider-Keys aus
.enventfernen. - Tageslimit beim Provider setzen.
- OpenClaw-Erweiterungen pinnen und Auto-Updates deaktivieren.
- Frischen Branch und engen Workspace nutzen.
- Lange Tasks auf einem wegwerfbaren Host ausführen.
- Logs und Diffs außerhalb des Runners sichern.
Trojaner-Abwehr ist kein magischer Scanner. Es sind langweilige Grenzen: keine dauerhaften Secrets im Runner, keine unbegrenzten Kosten, keine unsichtbaren Netzwerkaufrufe und kein Host, den du nicht löschen willst.