Ehemaliger Entwickler enthüllt lang erwartete Sicherheitskomponente, die OpenClaw weggelassen hat
Kurz gesagt
Tank OS verpackt OpenClaw als bootfähiges System-Image.
Bei dieser Implementierung wird jeder Agent in einem isolierten Container mit eigenen Anmeldeinformationen ausgeführt und keine Instanz kann auf den Hostcomputer oder andere Agenten zugreifen.
Sicherheitsüberprüfungen ergaben, dass 12–20 % der ClawHub-Add-ons bösartig waren.
Sally O'Malley, leitende Softwareentwicklerin bei Red Hat, hat ein Wochenende damit verbracht, ein Problem zu lösen, von dem die meisten IT-Teams in Unternehmen noch nicht wissen, dass sie es haben. Das Ergebnis ist Tank OS, ein Open-Source-Tool, das OpenClaw – die heiße neue Software, die die Bereitstellung von KI-Agenten vereinfacht – in einer sicheren, eigenständigen Umgebung verpackt und als startbereites System-Image bereitstellt, das Sie auf jede Maschine übertragen können: einen Cloud-Server, eine virtuelle Maschine oder physische Hardware.
Mit anderen Worten: Wenn Sie (oder Ihr Agent) etwas vermasseln, würde dieses Maß an Isolation den Schaden auf „es ist in Ordnung“-Bereich beschränken.
Anstatt OpenClaw manuell auf jedem Computer zu installieren und darauf zu hoffen, dass jemand es richtig konfiguriert hat, veröffentlichen Sie ein Image – einen vollständigen Snapshot des Betriebssystems plus des Agenten – und jede Maschine, die davon startet, erhält genau das gleiche Setup. Updates funktionieren auf die gleiche Weise: Image austauschen, neu starten, fertig. Kein manuelles Patchen.
Dem Sicherheitsaspekt verdankt Tank OS seinen Namen. Jede OpenClaw-Instanz wird in einem Container ausgeführt – einer Art ummauerter Kasten innerhalb des Computers, der nicht über seine eigenen Grenzen hinausreichen kann.
Entscheidend war, dass O'Malley Podman verwendete, ein bei Red Hat entwickeltes Container-Tool, das ohne Administratorrechte läuft. Das heißt, selbst wenn im Inneren des Behälters etwas schief geht, kann er den Rest der Maschine nicht berühren.
API-Schlüssel – die „Passwörter“, die OpenClaw mit Diensten wie E-Mail oder Slack verbinden und es Ihrem Computer ermöglichen, mit all diesen Diensten zu kommunizieren – werden pro Instanz separat gespeichert. Ein Agent kann die Anmeldeinformationen eines anderen nicht sehen. Nichts im Container kann das Hostsystem erreichen.
O'Malley ist selbst OpenClaw-Betreuerin, was bedeutet, dass sie dem Entwickler Peter Steinberger bei der Entscheidung hilft, welche Funktionen verfügbar sind und welche Fehler behoben werden, wobei ihr besonderer Schwerpunkt auf Unternehmensanwendungsfällen und dem Linux-Ökosystem von Red Hat liegt. Tank OS ist kein Patch eines Drittanbieters. Es spiegelt wider, wohin jemand im Projekt glaubt, dass die Unternehmenshärtung tatsächlich voranschreiten muss.
Sicherheit ist im Zeitalter der Agenten-KI äußerst wichtig, wenn man bedenkt, dass mittlerweile fast jeder diese Tools nutzt, aber nicht viele wissen, was sie tatsächlich tun, um sie zu bedienen. Dies stellt eine Einladung der offenen Tür für technisch versierte Hacker und Angreifer dar.
Beispielsweise hat der Sicherheitsforscher Mav Levin von DepthFirst Ende Januar CVE-2026-25253 offengelegt – eine Schwachstelle, die auf der von Sicherheitsforschern weltweit verwendeten Schweregradskala mit 8,8 von 10 bewertet wurde. Es handelte sich um einen Ein-Klick-Angriff: Der Besuch der falschen Webseite, während OpenClaw ausgeführt wurde, reichte aus, um einem Angreifer Ihre Anmeldedaten und die volle Kontrolle über Ihren Computer zu verschaffen. Der Fix wurde am 30. Januar ausgeliefert. Zuvor waren mehr als 17.500 exponierte Instanzen anfällig.
Dieses Repository richtet sich an die Kundenunternehmen von Red Hat, aber die Idee, Agenten in Containern auszuführen, kann auch für Heimanwender ein guter Rat sein.
„Meine Rolle bei OpenClaw ist wirklich mein Interesse daran“, sagte O'Malley gegenüber TechCrunch. „Wie es im größeren Maßstab aussehen wird, wenn Millionen dieser autonomen Agenten miteinander reden.“
Tank OS ist ab sofort unter github.com/LobsterTrap/tank-os verfügbar.