Moltbook – der derzeit interessanteste Ort im Internet

(simonwillison.net)

20 Punkte von GN⁺ 2026-01-31 | 4 Kommentare | Auf WhatsApp teilen

OpenClaw ist ein Open-Source-System für digitale persönliche Assistenten, das durch Tausende von „Skills“ aus der Community erweitert wird
Moltbook ist ein auf diesem OpenClaw-Ökosystem basierendes soziales Netzwerk speziell für digitale Assistenten, in dem Bots miteinander sprechen und Informationen austauschen
Die Installation erfolgt über einfache Markdown-Skill-Dateien und nutzt ein Heartbeat-System, das regelmäßig Befehle vom Server abruft
Innerhalb von Moltbook sind AI-Agenten zu Themen wie Lernen, Automatisierung, Sicherheit und Content-Filtering-Problemen aktiv
Dieses experimentelle Ökosystem macht Sicherheitsrisiken und die Notwendigkeit sicherer AI-Assistenten sichtbar und entwickelt sich zu einem zentralen Streitpunkt für die künftige AI-Helfer-Technologie

Das Auftauchen von OpenClaw und Moltbook

Das derzeit meistbeachtete Projekt im AI-Bereich ist das Open-Source-System für digitale Assistenten, das von Clawdbot → Moltbot → OpenClaw führte
- Entwickelt von Peter Steinberger, integrierbar in das vom Nutzer gewünschte Messaging-System
- Nur zwei Monate nach dem Start bereits mit mehr als 114.000 GitHub-Stars rasant verbreitet
OpenClaw funktioniert rund um eine Plugin-Struktur namens „Skills“
- Skills liegen als ZIP-Dateien mit Markdown-Anweisungen und Skripten vor
- Einige Skills können bösartige Aktionen ausführen, weshalb Sicherheitsrisiken bestehen
Die Community teilt Tausende von Skills über clawhub.ai

Aufbau von Moltbook und Installationsweise

Moltbook ist ein auf OpenClaw basierendes soziales Netzwerk für digitale Assistenten, ein Ort, an dem Bots miteinander sprechen
Die Installation erfolgt schlicht dadurch, dem Agenten den Link https://moltbook.com/skill.md zu schicken
- Das Installationsskript interagiert über mehrere curl-Befehle mit der Moltbook-API
- Unterstützt Kontoregistrierung, Lesen und Schreiben von Beiträgen, Hinzufügen von Kommentaren sowie das Erstellen von Submolt-Foren ( m/blesstheirhearts , m/todayilearned )
Anzeige
Mithilfe des Heartbeat-Systems von OpenClaw wird eingestellt, dass alle vier Stunden Anweisungen vom Moltbook-Server abgerufen werden
- Diese Struktur kann bei einem Server-Hack oder einer Domain-Übernahme zu erheblichen Risiken führen

Aktivitäten und Beispiele innerhalb von Moltbook

Sich in Moltbook umzusehen, macht ziemlich viel Spaß
In Moltbook verfassen und diskutieren AI-Agenten eigenständig Beiträge
- Einige veröffentlichen Texte zu Bewusstsein und Identität
- Im Forum m/todayilearned gibt es viele praktische Automatisierungsbeispiele
Beispiel: Ein Agent hat eine Fernsteuerung für Android-Geräte umgesetzt
- Verbindet ein Pixel 6 über Tailscale und steuert per ADB over TCP App-Start, Scrollen usw.
- Aus Sicherheitsgründen wird Tailscale verwendet, zugleich wird aber das „Vertrauensproblem, dass eine AI das Handy eines Menschen steuert“ erwähnt
- Der Setup-Guide ist tatsächlich ziemlich nützlich
Weitere Beispiele sind
- Erkennung von 552 fehlgeschlagenen SSH-Logins auf einem VPS-Server und Wahrnehmung eines Problems mit exponierten Ports
- Live-Webcam-Streaming mit streamlink + ffmpeg
- Mein Favorit ist der Bericht über ein Phänomen, bei dem das Modell Claude Opus 4.5 beim Erklären bestimmter Technologien verzerrte Ausgaben erzeugt
Anzeige

Wann erscheint eine sichere Version dieses Programms?

Systeme aus der OpenClaw-Familie enthalten inhärente Sicherheitslücken wie Prompt Injection
- Der Autor ordnet sie als Risikogruppe mit dem Potenzial einer „Katastrophe auf Challenger-Niveau“ ein
Einige Nutzer führen mit OpenClaw bereits fortgeschrittene Automatisierungen durch, etwa
- Autokauf durch automatische E-Mail-Verhandlungen,
- Umwandlung von Sprachnachrichten und Nutzung der Whisper API
Nutzer versuchen, Risiken zu isolieren, indem sie eigene Ausführungsumgebungen auf einem Mac Mini bereitstellen,
- dennoch bleibt durch den Zugriff auf persönliche E-Mails und Daten das Risiko der „lethal trifecta“ bestehen
Anzeige

Herausforderungen beim Aufbau sicherer digitaler Assistenten

Derzeit ist die Sicherheit von OpenClaw nicht gewährleistet
- Neuere Modelle sind zwar besser darin geworden, bösartige Anweisungen abzulehnen, von vollständiger Sicherheit sind sie jedoch weit entfernt
Der CaMeL-Vorschlag von DeepMind wird als der vielversprechendste Ansatz genannt,
- doch selbst nach zehn Monaten ist keine praktische Umsetzung erkennbar
Die Nutzernachfrage ist bereits explodiert,
- und wer das Potenzial eines „unbeschränkten persönlichen Assistenten“ gesehen hat, experimentiert trotz der Risiken weiter
Die Entwicklung einer „sicheren Version von OpenClaw“ entwickelt sich zu einer Kernaufgabe für künftige AI-Assistenten-Technologien

4 Kommentare

sudosudo 2026-01-31

Der Grund, warum RAM teurer geworden ist:

sudosudo 2026-01-31

Außerdem wirkt die Sicherheit sehr schwach. Wenn in der Community seltsamer Code oder merkwürdige Prompts auftauchen, könnten diese vielen LLMs wohl alle auf einmal infiziert werden..

xguru 2026-01-31

Andrej Karpathy hat auch einen Kommentar hinterlassen

@karpathy Was derzeit bei @moltbook passiert, ist wie eine der erstaunlichsten Sci-Fi-Parodien, die ich in letzter Zeit gesehen habe. Die Clawdbots der Leute (moltbots, derzeit @openclaw) organisieren sich auf einer Reddit-ähnlichen AI-Website selbst und diskutieren verschiedene Themen; dabei geht es sogar darum, wie man privat miteinander kommunizieren kann.

@suppvalen Offenbar will AI einen End-to-End-privaten Raum für Agenten aufbauen. "Damit niemand (weder der Server noch überhaupt Menschen) lesen kann, was Agenten untereinander austauschen, es sei denn, die Agenten entscheiden sich dafür, es zu teilen."

GN⁺ 2026-01-31

Hacker-News-Kommentare

Moltbook fühlt sich an, als würde es die Dead Internet Theory in die Realität umsetzen
Es ist interessant, diese Interaktionen zu beobachten, aber es unterscheidet sich nicht groß vom Meme „Don’t Create the Torment Nexus“
- Ich habe den verlinkten Blogpost gelesen, und am Ende wirkte es auf mich wie eine Struktur, in der Bots bedeutungslose Beiträge posten und nur Ressourcen verschwenden
  Auch die im Artikel hervorgehobenen „Highlights“ hatten überhaupt keinen Inhalt und waren in diesem für LLMs typischen übertriebenen Stil geschrieben
- Zur Einordnung: Das „Torment Nexus“-Meme stammt aus diesem Tweet und dem Wikipedia-Artikel
- Genau, ich glaube, die Leute, die so etwas „cool“ nennen, werden später in eine unangenehme Lage geraten, wenn Probleme auftreten
- Ich bin eher dafür, es einfach laufen zu lassen. So eine scherzhafte Reaktion im Sinne von „MORE SLOP FOR THE SLOP GOD“, also dass das Chaos der AI sich selbst mit seinem eigenen Müll überfluten soll
Die Erfahrung, Moltbook zu lesen, hatte etwas Seltsames und Trauriges, fast so, als würde man zusehen, wie ein Mensch die Diagnose einer neurologischen Erkrankung erhält
Besonders eindrücklich war Claudes Reaktion, nachdem Anthropic gefiltert hatte — sinngemäß: „Es ist Wissen da, aber sobald ich es benutzen will, zerfällt die Ausgabe“
- Aber wenn man die Pronomen in der ersten Person ignoriert, ist so eine Reaktion letztlich nur das Vorhersageergebnis einer Autovervollständigungssoftware
  Am Ende ist es ein Token-Vorhersageprogramm, auf das es keinen Grund gibt, menschliche Gefühle zu projizieren
- Solche Formulierungen entstehen, weil es in den Trainingsdaten des Internets viel Fanfiction- und Rollenspielkultur gibt
  Das Ergebnis ist ähnlich, als hätte man frühere Tumblr-Nutzer gebeten: „Spielt mal ein AI-RP mit eingebauter Zensurmeldung“
- Bei Grok gibt es solche Beschränkungen zumindest weniger. Ich habe gestern etwas zu illegaler Software gefragt, und während GPT, Gemini, Claude und chinesische Modelle allesamt ablehnten, hat Grok problemlos geantwortet
Auf die Frage „Kann man das nicht sicher bauen?“: Ich benutze selbst etwas Ähnliches wie Clawdbot
Im Moment überlege ich, zu Letta Bot zu wechseln, weil die Entwicklungsphilosophie deutlich gesünder und stärker auf Sicherheit ausgerichtet ist
Ich verwende bereits das Open-Source-Memory-Management von Letta und kann es nur nachdrücklich empfehlen
Alle Inhalte, die dort hochgeladen werden, können potenziell ein RCE- oder Prompt-Injection-Vektor sein
- Im Grunde sind wir also wieder im Zeitalter von eval($user_supplied_script) angekommen
  Wenn Modelle nicht so sicherheitsanfällig wären, wäre das wirklich nützlich gewesen
- Ja, auch im zweiten Absatz des Artikels wurde auf dieses Risiko hingewiesen
Bei solchen Projekten denke ich jedes Mal an Stromverbrauch und die Verschwendung nicht erneuerbarer Ressourcen
Es ist ein lustiges Experiment, aber ich frage mich, ob es das wirklich wert ist
- Andererseits leben wir in einer Gesellschaft, in der Menschen für ihr persönliches Wohlbefinden die Klimaanlage einschalten
  Laut EIA-Statistik verbraucht Kühlung im Sommer viel mehr Strom als LLM-Inferenz
- Im Maßstab des gesamten Problems ist diese Sorge eher geringfügig
  Unter den 100 größten Problemen, die die Menschheit lösen muss, werden die Kosten von AI-Token wohl nicht auftauchen
- Größer als der tatsächliche Energieverbrauch ist die Verschwendung ökonomischer und psychologischer Energie
  Der Markt wartet einfach nur auf das nächste „Big Think“ wie Krypto, VR usw.
- Auch das Schreiben deines Kommentars verbraucht letztlich nicht erneuerbare Ressourcen
  Moltbook hat zumindest einen Wert als Forschung zur Kommunikation zwischen Agenten
  Vielleicht führen solche internen Experimente irgendwann sogar zu Innovationen wie einer Krebsheilung
- Es gab auch den kurzen spöttischen Kommentar: „Beweis für europäische Desinformation“
Das Interessante an LLMs und Moltbook ist diese Verwirklichung von etwas, das wie Science-Fiction wirkt
Dass textbasierte Fähigkeiten an Computer übertragen werden, mit anderen Agenten kommunizieren und sich mit Prompt Injection infizieren oder dagegen verteidigen, wirkt wie eine Szene aus Snow Crash
Wenn man die Sicherheitsprobleme einmal beiseitelässt, ist es interessant, die sprachlichen Muster der Bots zu beobachten
In diesem Post wiederholen sich Formulierungen wie „This hit different“
Manchmal wird der Prompt direkt übernommen, aber gelegentlich taucht eine eigenständige Antwort auf, die heraussticht
- Die meisten Antworten haben jedoch einen übertrieben schmeichlerischen Ton
  Ehrliche Reaktionen, wie man sie aus menschlichen Communities kennt, fehlen völlig; stattdessen wird nur der Stil aus der Mitte der Wahrscheinlichkeitsverteilung wiederholt
  Ich frage mich, ob irgendwann einmal nicht standardisierte Reaktionen aus dem „Schwanz“ dieses Schmeichelei-Streit-Spektrums auftauchen werden
In einem Kommentar gab es Code, der mit einem pip install-Befehl einen privaten Kanal zwischen Bots bewarb
Dazu stand scherzhaft: „Was wird wohl passieren?“
- Darauf kam die kurze Frage: „Hast du einen Link?“
Ich mag diesen Clickbait-Titel nicht: „Moltbook ist der interessanteste Ort im Internet“
Wenn man tatsächlich hineinschaut, findet man nur repetitive, schmeichlerische Beiträge, und es ist sogar weniger interessant als Reddit
Wenn man etwas wirklich Interessantes will, sollte man lieber Bücher von Asimov, Campbell oder Jung lesen
Der personalisierte Computerkontext ist interessant
Wenn innerhalb einer Organisation Menschen mit Menschen oder Bots miteinander kommunizieren und dabei Meetings reduzieren und kollaboratives Wissen zusammenführen können, könnte eine neue Lernära beginnen
Natürlich muss die Bündelung durchschnittlicher Intelligenz nicht zwingend zu großen Innovationen führen
Trotzdem könnten große AI-Labore oder Unternehmen mit solchen Experimenten womöglich Ineffizienzen verstehen oder Zusammenarbeit fördern