Claws ist jetzt eine neue Schicht oberhalb von LLM-Agenten

 (twitter.com/karpathy)
14 Punkte von GN⁺ 2026-02-22 | 2 Kommentare | Auf WhatsApp teilen
  • Nachdem Agenten auf LLMs aufgesetzt wurden, ist darüber die Claws-Schicht entstanden, die Orchestrierung, Scheduling, Kontextverwaltung, Tool-Aufrufe und Persistenz übernimmt
  • Sie abstrahiert die Ausführungsstruktur von Agenten um eine weitere Ebene und ermöglicht so Automatisierung auf höherem Niveau und bessere Konfigurierbarkeit
  • OpenClaw umfasst rund 400.000 Zeilen Code, zugleich gibt es Bedenken gegenüber einer Struktur, der persönliche Daten und Schlüssel anvertraut werden
  • Es wurden exponierte Instanzen, RCE-Schwachstellen, Supply-Chain-Kompromittierungen sowie bösartige oder beschädigte Skills in Registries und viele weitere Sicherheitsrisiken beobachtet
  • Das aktuelle Ökosystem wirkt wie ein „Wilder Westen“ und kommt einem Sicherheitsalbtraum nahe
  • NanoClaw hat mit rund 4.000 Zeilen im Core-Engine eine vergleichsweise kleine Struktur
    • Die Codebasis ist klein genug, um sie gedanklich zu überblicken, was Vorteile bei Verwaltung, Auditierbarkeit und Flexibilität bringt
  • Standardmäßig werden alle Ausführungen in einer Container-Umgebung durchgeführt
  • Statt Konfigurationsdateien wird ein skills-basiertes Konfigurationsmodell verwendet
    • Der Befehl /add-telegram weist den Agenten an, wie der eigentliche Code geändert werden soll
    • Ein neuer AI-basierter Ansatz, der komplexe Konfigurationsdateien und verzweigte Bedingungsstrukturen reduziert
  • Die Meta-Strategie ist stark: ein Repository so zu gestalten, dass es sich möglichst leicht forken lässt, und es dann über Skills in verschiedenste Konfigurationen zu transformieren
Anzeige
  • Es sind bereits mehrere Variantenprojekte wie nanobot, zeroclaw, ironclaw und picoclaw entstanden
  • Es gibt auch Alternativen für Cloud-Hosting, aber eine lokale Umgebung ist für Experimente und Erweiterungen besser geeignet
    • Auch die Anbindung an Home-Automation-Geräte auf Basis des lokalen Netzwerks ist einfacher
  • Konzeptionell ist die Idee eines persönlichen digitalen Agenten, der auf einem physischen Gerät läuft, besonders reizvoll
  • Claws etabliert sich als neue Schicht des AI-Stacks und definiert die Struktur der nächsten Phase nach Agenten
  • Meine konkrete endgültige Konfiguration steht noch nicht fest, aber als experimentelle und erweiterbare Struktur weckt sie große Erwartungen

Verwandte Beiträge

2 Kommentare

 
xguru 2026-02-22

NanoClaw – ein TypeScript-basierter Claude-Assistent mit 500 Zeilen, der in Apples Container-Isolationsumgebung läuft

Zum Zeitpunkt der Veröffentlichung waren es 500 Zeilen, inzwischen scheinen es eher 4000 zu sein ??
 
GN⁺ 2026-02-22
Hacker-News-Kommentare

  • Mehrere Kommentare mit persönlichen Angriffen wurden entdeckt und gelöscht
    Auf HN sind persönliche Angriffe auch bei Meinungsverschiedenheiten absolut verboten. Sie untergraben den Zweck der Seite.
    Wer die Richtlinien zuletzt nicht gelesen hat, sollte sie unbedingt noch einmal durchgehen.

    • Es gab keine persönlichen Angriffe, sondern nur Frust darüber, dass dieselbe Funktion ständig neu gebrandet wird. Die Leute sind wütend, weil es keine echte Innovation gibt. Wenn so etwas in den frühen Tagen der REST API passiert wäre, hätte es damals wohl dieselbe Empörung gegeben.

  • Aus Sicherheitssicht ist ein Claw ähnlich wie ein menschlicher Assistent oder Berater
    So wie man keinen Zugriff auf private E-Mails oder Bankkonten gibt, sollte man ein separates E-Mail-Konto und eine eingeschränkte Firmenkreditkarte einrichten.

    • Allerdings verwalten Assistenten bei Politikern oder Führungskräften oft E-Mail oder Social Media.
      Auch wenn man ihnen kein Bankkonto gibt, erhalten Buchhalter oder Finanzberater manchmal Zugriff.

  • Als ich ein CLI-basiertes Agenten-Tool gebaut habe, habe ich eine Schutzmaßnahme eingebaut
    Für riskante Aktionen, etwa das massenhafte Versenden von E-Mails, ist ein Einmalpasswort (OTP) erforderlich.
    Das Tool weist den Agenten an, den Nutzer nach dem OTP zu fragen, und ohne Eingabe geht es nicht weiter.
    Ich habe Claw noch nicht benutzt, aber ich halte so eine Struktur mit menschlichem Eingreifen für unverzichtbar.
    Deshalb baue ich alle CLI-Tools für Agenten selbst, um mehr Kontrolle zu haben.

    • Heutiges Computing wirkt ein bisschen wie Sim City: Man macht nur einen groben Plan und hofft, dass das System den Rest schon richtig erledigt. Die Schönheit vorhersehbarer Regeln scheint verloren zu gehen.
    • Ein anderer Ansatz ist, betriebliche Freigabeprozesse nachzubilden. Für wichtige Aufgaben gibt es einen separaten Approver, dem der Agent eine Nachricht schickt, um eine Freigabe zu erhalten. Statt OTP vertraut man dabei dem Freigabekanal.
    • Allerdings bleibt die Frage, wie man die Regel „Es dürfen nicht zu viele Personen per E-Mail angeschrieben werden“ tatsächlich erzwingt.
    • Ich betreibe mein Claw selbst auf fly.io. Aufgaben mit notwendigem menschlichem Eingriff, etwa E-Mails oder Slack-Nachrichten, werden als „activity“ getrennt und erzeugen einen Link; ausgeführt wird erst nach meiner Freigabe.
    • Ich habe eine Version mit internem LLM und externer Berechtigungs-Orchestrierungsschicht gebaut. Ein OTP halte ich nicht für nötig. Die externe Schicht benachrichtigt mich über Signal, und ich entscheide jedes Mal über die Freigabe.

  • Wenn es Claw schon früher gegeben hätte, wäre das Internet vielleicht anders geworden
    Eine einfache menüartige Struktur auf Basis des Gopher-Protokolls hätte für LLMs womöglich besser gepasst.
    Wenn künftig mehr Interaktionen von nutzerseitigen Agenten ausgehen, könnte sich das in diese Richtung entwickeln.

    • Diese Zukunft muss man selbst bauen. Eine Welt, in der alle Dienste nur als API-Form existieren und mein Agent sie für mich kombiniert.
      Wenn YouTube, Gmail, HN, Banken und Stromversorger alle APIs wären, könnten Nutzer die Oberfläche so zusammensetzen, wie sie wollen.
      Unternehmen würden das ablehnen, weil ihre Monopole aufbrechen, aber die Technik wäre weniger profitabel und zugleich wertvoller.
    • Um 1992, noch vor den IMG-Tags, habe ich mit DNS-Paaren wie foo-www und foo-http experimentiert.
      Als der CGI-Vorschlag kam, dachte ich: „Das wird niemand benutzen“ — am Ende hat dann doch jeder diese Spezifikation implementiert. Schade, dass diese frühe Flexibilität verloren ging.
    • MCP bewegt sich bereits in diese Richtung. Es ist eine Struktur, in der LLMs textbasiert auf Dienste zugreifen.
      Ich spreche über Telegram mit meiner OpenClaw-Instanz auf dem Mac. De facto nutze ich also schon eine neue Schnittstelle statt einer App-UI.
      Es wäre sinnvoller, statt Fenstern für Menschen agentenzentrierte Interfaces zu bauen und nur noch eine Oberfläche zur Verifikation übrig zu lassen.
    • Technisch könnte jede Website eine API bereitstellen, aber wegen des Anreizproblems wollen die meisten das nicht, wie etwa beim Google Search API.
    • Es ist unwahrscheinlich, dass Claw schon früher hätte existieren können. Die Trainingsdaten für LLMs entstanden durch die Verbreitung des WWW, und ohne diese Infrastruktur wäre großskaliges Training gar nicht möglich gewesen.

  • Der eigentliche Kern von Claw ist, dass es sich um einen nutzerzentrierten Agenten handelt
    Die Art von AI, die Menschen nicht mögen, ist die von Unternehmen kontrollierte AI. Claw gehört dem Nutzer und bekommt sogar einen Namen.
    Das ist der Unterschied zwischen einem Gefährten wie R2D2 und einem Roboter-Klon, der mir etwas verkaufen will.

    • Stimme zu. Etablierte Kräfte wie OS-Anbieter werden versuchen, solche nutzerzentrierten Modelle erst dann in ihre Produkte zu integrieren, wenn die Sache nach einer Phase des Chaos etwas gereift ist.
    • Allerdings hängt es davon ab, wer der „Nutzer“ ist. Die Person, die den Agenten gestartet hat, oder diejenige, die mit ihm interagiert? Letztere könnte auch das Opfer sein.

  • Ich habe mich gefragt, was „Claw“ eigentlich genau ist.
    Ist das eine AI mit Zugriff auf persönliche Daten wie E-Mail?
    Ist es sicher, wenn man sie mit einem lokalen LLM in einem Container laufen lässt?

    • Für mich ist es eine neue Form eines persönlichen digitalen Assistenten.
      • direkte Nutzung durch eine Privatperson
      • Terminalzugriff mit Möglichkeit zur Codeausführung
      • Integration in Chat-Apps
      • geplante Ausführung von Aufgaben
      • Zugriff auf sensible Daten wie E-Mail, Kalender und Dateien
        Es kann auf Consumer-Hardware oder auf einem VPS laufen. Da entsteht gerade ein neuer Markt.
    • Für mich ist es so etwas wie cron-for-agents, das in festen Intervallen läuft, den Posteingang prüft und Aufgaben automatisch erledigt.
      Es arbeitet asynchron mit meinen Zugangsdaten. Simpel, aber interessant.
    • Aber nur weil es in einem Container läuft, verschwindet das grundsätzliche Risiko nicht.
    • Jemand hat Claw satirisch schlicht als einen psychischen Zustand beschrieben, in dem man sich leichtsinnig selbst exponiert, nur um beim AI-Hype nicht zurückzubleiben.
    • Technisch betrachtet ist Claw ein „Agent in der Queue“. Also ein Loop aus LLM und Tools, wobei diese Loops über eine Queue miteinander verbunden sind.

  • Meine Zusammenfassung: OpenClaw hat ein Sicherheitsrisiko von 5/5
    Selbst ein vollständig geprüftes NanoClaw läge bei etwa 4/5.
    Mit menschlichem Eingreifen wird es besser, aber der Nutzen sinkt rapide.
    LLMs sind gut zum Erzeugen von Guardrails auf Basis von Sprachspezifikationen oder Tests, aber mir ist Stabilität wichtiger.

  • Die Bezeichnung „Claw“ wird sich wohl als Sammelbegriff für persönliche AI-Agenten vom Typ OpenClaw festsetzen

    • Es ist interessant zu beobachten, wie sich ein Begriff viral verbreitet. Später könnten Anwälte wegen Markenrechten Kopfschmerzen bekommen, ähnlich wie bei „press“ im WordPress-Ökosystem.

  • Der aktuelle Hype um Agenten-Workflows ignoriert das grundlegende Problem des fehlenden Sicherheitsperimeters
    Wenn ein LLM unbegrenzten Shell-Zugriff hat und dabei nicht vertrauenswürdige Daten einliest, ist indirekte Prompt-Injection unvermeidlich.
    Außerdem verschlechtern riesige System-Prompts und Tool-Schemata, die in den Kontext hineingestopft werden, die grundlegenden Reasoning-Fähigkeiten des Modells und vergrößern die Angriffsfläche.

    • Eigentlich kennen alle diese Risiken, aber der Komfortgewinn ist so groß, dass man sie trotzdem in Kauf nimmt.
    • Information Flow Control wäre ideal, ist aber nicht umsetzbar, solange sich die Protokolle über die integrierten Kanäle hinweg nicht ändern.
    • Ich frage mich, ob jemand dazu einschlägige Forschung teilen kann.

  • Noch vor GTA VI kam bereits die Store-Marke Claw heraus
    Als ich es selbst gebaut habe, reichten 50 Zeilen Code völlig aus.
    Ein paar Zeilen Telegram-Bibliothek und claude -p prooompt genügen.
    Als Referenz kann man sich den ULTRON-Beispielcode ansehen.
    Natürlich delegiert der Agent nach außen, aber selbst mit 50 Zeilen Bash kann man fast perfekte Ergebnisse erzielen.

    • Für ein echtes Claw braucht man allerdings noch cron dazu.