Haha, danke für den Link! Es ist etwas schwierig mit OpenClaw und all den skurillen Dingen auf dem Laufenden zu bleiben. Wusste gar nicht, dass die bloggen und Schmähbriefe schreiben.
Aber die Anzahl der Sicherheitslücken zu quantifizierten, finde ich etwas dumm. 73? Da gehe ich wohl eher mit Peter Steinberger… Das Ding ist eine große Sicherheitslücke. Und was soll überhaupt als Lücke gelten, wenn es mit Absicht vollkommen freie Hand hat? Ich denke das Wort “fail” trifft es da schon sehr gut.
Die Sicherheitslücken erwähne ich, um zu zeigen was passiert, wenn man mit “KI” Code generiert und verwendet, ohne ihn sich vorher anzuschauen. Steinberger hat selbst in seinem Blog geschrieben, dass er das so macht. So jemand kriegt einen Job bei OpenAI (die ja kürzlich das Wort “Sicher” aus dem Leitbild entfernt haben). Finde, da ergibt sich schon ein ganz gutes Bild von diesen Leuten…
Also ich hab den c’t 3003 Beitrag über OpenClaw geschaut und ein paar andere Interviews mit ihm. Ich würde sagen er ist ein zertifiziert Bekloppter. Nicht unbeding in negativem Sinne… Aber seine Grundidee ist ja alle langweiligen Sicherheitsmaßnahmen und Einschränkungen wegzulassen und mal zu schauen was so passiert. Er nimmt absichtlich das am meisten “unhinged” KI-Modell und feiert die “Banger” die es bringt. Vollzugriff auf die Computer, inklusive API-Keys. Er pushed Code und schaut ihn sich nicht an…
Also für mich ist das Sicherheitslücken anmäkeln eher so wie auf ein Metal-Festival gehen, und sich beschweren, dass dort keine Schlager laufen. Und dass die Leute da alle betrunken sind… Also ich meine, Ja? Das ist korrekt? Aber war auch irgendwie Sinn der Sache?!
Nur das das hier kein Metal-Festival ist, sondern ziemlich albern.
Sicherheitsmängel in eine Software zu machen, war glaube ich eher nicht Sinn der Sache, sondern eine Software zu entwickeln, die unsichere Dinge tut. Mit “Sicherheitslücke” ist ja nicht gemeint, dass OpenClaw Root-Zugriff hat, sondern zB. dass man in Instanzen, die öffentlich im Internet herumfliegen, fremdsteuern kann/konnte. Man könnte letzteres ja auch machen mit einer Software ohne Sicherheitslücken. Ich finde, das muss man schon differenzieren, um ein Bild von dem “zertifizierten Bekloppten” zu kriegen. Wäre das eine Software ohne Sicherheitslücken, wäre er m.E. ein bisschen weniger zertifiziert.
Soweit ich weiß, hatte er darauf auch eine Antwort. Und zwar die Oberfläche soll nicht in Richtung Internet exponiert sein. Damit ist das dann per Definition keine Sicherheitslücke mehr, sondern ein fehlerhaftes Set-Up, was der Anwender verschuldet hat.
Ich möchte ihn aber auch nicht in Schutz nehmen, oder in die Richtung diskutieren… Ich meine für den Anwender, oder die Leute die dann darunter leiden ist es egal wie es zustande kam, oder wie die technische Definition lautet. Der Schaden ist dann im Zweifel so und so da…
Letztlich wird es halt schwierig. Er verwendet seine Ressourcen lieber dafür neue Features einzubauen, herumzuspielen… Und liebt das Chaos(?) Die Zeit ist dann logischerweise nicht da um die Weboberfläche abzusichern oder solche Dinge.
Ich find’s letztendlich legitim solche Entscheidungen mit seinen Privat-Aktivitäten zu treffen. Es ist ja sein Ding. Und für mich sieht es eher wie ein Kunst-Projekt aus. Es wird ja niemand gezwungen das zu Nutzen. Man kann sich ja auch Claude Code installieren, oder eine der anderen “professionellen” Agenten Plattformen …wenn man auf sowas steht. Das hätte dann wenigstens Sicherheit irgendwie in der Projektbeschreibung.
Aber letztlich hast du sicherlich recht. Sobald Menschen zu Schaden kommen, hört irgendwie der Spaß auf. Und es ist auch vollkommen richtig die Dinge beim Namen zu nennen. Und den Leuten beizubringen mit was sie es hier tatsächlich zu tun haben. Ich denke das ist für viele Menschen nicht wirklich klar erkennbar.
Und ich lese deinen Artikel auch gerne. Danke für die Auflistung, ich lerne dabei auch noch einiges dazu. Es ist ja viel zu viel um da selbst informiert zu bleiben.
Und dann bei OpenAI anzufangen oder OpenClaw von einem der Großkonzerne übernehmen zu lassen ist auch wirklich Banane. Mir fehlen etwas die Worte. Die sind halt wirklich alle bescheuert. Und der Hype-Train ist echt auf Volldampf unterwegs.