OpenClaw & Moltbook: Der Agent, der Agent hat keine Bremsen

00:00:00: Jochen G. Fuchs: Hallo und herzlich willkommen zu einer neuen Folge deines neuen KI-Lieblingspodcasts. Hallo Barbara!

00:00:09: Barbara Lampl: Hallo Jochen!

00:00:11: Jochen G. Fuchs: Da sind wir wieder. Entschuldigt, dass ihr etwas länger auf eine neue Ausgabe unseres netten KI-Talks warten musstet.

00:00:17: Jochen G. Fuchs: Barbara ist einfach ins Valley verschwunden.

00:00:32: Barbara Lampl: Zum dritten Mal in Folge ist sie ins Valley verschwunden. Und dann hatte sie es diesmal geschafft, weil sie über den Super Bowl verschwunden war, was dazu führte, dass alle möglichen Hotels in San Francisco zu Unsummen oder komplett ausgebucht waren. Dann hat sie es auch noch geschafft, ein Hotelzimmer zu bekommen, dessen WLAN ungefähr so schlecht ist wie das deutsche in der Deutschen Bahn. Weswegen eine Podcastaufnahme direkt aus San Francisco einfach nicht möglich war.

00:00:57: Jochen G. Fuchs: DB-WLAN im ICE – ich hätte es bei ICE gesagt, da muss man aber aufpassen, das wird in den USA schnell falsch verstanden. Ganz falsches Thema im Silicon Valley. Ich bin ein kleines bisschen neidisch. Wie man sieht, habe ich mich zu Ehren von Barbara extra in meine San-Francisco-Kluft geschmissen, die ich mir auch bei meinen zahlreichen Ausflügen – nicht ins Valley, aber zumindest in die San-Francisco-Tech-Szene – erworben habe.

00:01:24: Jochen G. Fuchs: Giants-Mütze, für alle, die es nicht sehen können, sondern nur hören, und San-Francisco-Hoodie habe ich an. Ich bin ein bisschen neidisch, weil ich mich nicht so traue. Die lieben, freundlichen Data Scientists wie Barbara lässt man ja in Ruhe, aber irgendwelche bösen Journalisten, die womöglich auch mal was gegen Donald gesagt haben – da bin ich mittlerweile paranoid, habe Angst, dass ich irgendwie geschnappt und in irgendwelche dunklen Zellen gesteckt werde und dann erst wieder nach zwei Wochen nach Hause fliegen darf. Lass ich im Moment.

00:01:59: Barbara Lampl: Kann ich völlig nachvollziehen. Ich darf aber großartige Kunden da betreuen und dann fliegt man da halt gerne hin für diverse Meetings und Veranstaltungen vor Ort. Es hat natürlich eine Side Note, das kann ich nicht bestreiten. Auch wenn es vor Ort relativ normal ist – aber auch sehr cool. Seien wir ehrlich: Die US-Szene ist uns einfach 150.000 Schritte voraus. Und wenn man da an Projekten mitbauen darf, ist das einfach nochmal ein anderer Einblick und ein anderer Move. Aber der Beigeschmack ist da. Das war früher definitiv anders, wo es eigentlich nur große Vorfreude war. Das hat sich sehr geändert, das muss man realistisch sehen.

00:02:57: Jochen G. Fuchs: Ich mache jetzt den klischeehaften Onkel. Es gibt ja in jeder Familie, wenn du in die USA fliegst, irgendjemanden, der aus irgendeinem Loch auftaucht und sagt: Bring mir bitte Schokoriegel X oder Turnschuhe Y mit. Liebe Barbara, bring mir bitte eine Hot Sauce von Equator Coffee mit. Kennst du Equator Coffee, die Kette?

00:03:21: Barbara Lampl: Ja, ich kenn das.

00:03:23: Jochen G. Fuchs: Ich war, als ich letztes Mal dort war, in Sausalito jeden Morgen frühstücken und ich mag normalerweise keine Hot Sauce, aber dieses Ding hat so ein richtig geiles Level, das gerade so scharf ist, dass es nicht wehtut. Ich hatte mir eine Flasche davon gekauft und wollte sie mitnehmen – und habe sie dann im Motelzimmerkühlschrank stehen lassen. Freundliche Grüße an Marriott an dieser Stelle.

00:03:41: Barbara Lampl: Dramatische Zustände. Kommt auf die Shoppingliste fürs nächste Mal im Mai.

00:03:50: Jochen G. Fuchs: Ich war leider nicht im Valley. Dafür wird man aber ab dem 1. März von mir was ganz Neues hören. Für diejenigen von euch, die im Handel unterwegs sind: Es gibt zukünftig eine Medienmarke von mir, The Buy Beat, zu finden unter thebybeat.com. Newsletter, Podcast – es wird auch immer mal wieder um KI gehen, aber nicht nur. Es geht um Praxis für den digitalen Handel. So viel, genug Eigenwerbung an dieser Stelle.

00:04:25: Jochen G. Fuchs: Es sind ja schließlich auch noch spannende Sachen passiert. Auch wenn das Thema schon eine ganze Weile läuft – da ich hier so mit Gründung und was weiß ich beschäftigt war, muss ich ganz ehrlich gestehen, bin ich auch nicht so richtig tief eingestiegen. Und zwar das Thema Moltbook oder Cloudbot, Cloud-Moltbook – ich müsste googeln, wie das aktuell heißt.

00:04:46: Barbara Lampl: Ich kann es aufklären. Die Agenten-Multiagenten-Orchestrierung heißt aktuell OpenClaw, nach diversen Iterationen beim Namen. Die Plattform, die wiederum jemand anders gebaut hat, wo die Agenten sich austauschen sollten oder sollen, ist Moltbook. Und dann haben wir eben noch den Developer dahinter, Peter Steinberger, der das ganze OpenClaw gebaut hat.

00:05:11: Jochen G. Fuchs: Ich habe gerade verzweifelt versucht zu überlegen, wie er heißt. Meine Eselsbrücke war: Er heißt fast wie unser Bundespräsident. Und die ist natürlich voll in die Binsen gegangen, weil ich jetzt die ganze Zeit Steinmeier statt Steinberger sagen will.

00:05:30: Barbara Lampl: Lieber Peter, tut uns sehr leid, wir kürzen dich ab, damit der Jochen nicht so verwirrt ist. Deswegen bis jetzt nur „der Peter".

00:05:38: Jochen G. Fuchs: Barbara, vielleicht ganz kurz: Was ist das überhaupt? Was hat der da auf die Menschheit losgelassen?

00:06:03: Barbara Lampl: Also, was hat Peter Steinberger da auf die Menschheit losgelassen? Das, was den Namen aktuell trägt, ist OpenClaw. OpenClaw ist nichts anderes als eine Multi-Agenten-Orchestrierung. Er hat das Ganze so gebaut, dass die Agenten auch wirklich das tun, was sie tun sollen – also nicht nur irgendwas analysieren, sondern wirklich Tasks ausführen, also wirklich executen. Das ist übrigens gar nicht so neu, das gab es davor schon ein paar Mal. Aber OpenClaw ist ziemlich viral gegangen und angesichts der Mächtigkeit der aktuellen Modelle kann es eben sehr viel mehr als das, was die Sachen davor konnten.

00:06:50: Jochen G. Fuchs: Das ist noch ein bisschen abstrakt. Was genau ist es? Das ist ein Open-Source-Tool, das ich tatsächlich …

00:06:58: Barbara Lampl: Das ist ein Open-Source-GitHub-Repo, wo alles organisiert wird.

00:07:04: Jochen G. Fuchs: Genau, da gibt es ein Installer-Package dazu und ich kann das dann beispielsweise auf meinen Mac Mini installieren und habe dann quasi lokal einen Multi-Agenten-Orchestrierer an der Backe.

00:07:17: Barbara Lampl: Du kannst es auf alles Mögliche installieren. Auf deinem Mac Mini, auf einem alten Handy. Das kann on-prem auf eigenen Hardware-Devices installiert werden. Du kannst es theoretisch auch auf einer Partitionierung einer Virtual Machine laufen lassen. Achtung, hier schon mal der wichtige Hinweis: Das ist ohne jegliche Sicherheitsmechanismen gedacht und gebaut. Und genau das führt dann auch zu den überragenden Fähigkeiten und zu den entsprechenden Risiken.

00:08:00: Jochen G. Fuchs: Da kommen wir dann auch schon zu meiner ersten Frage: Wie sortiert man diesen Vorgang ein? Ich bin über Leute gestolpert, die das ganz unterschiedlich einordnen. Die einen finden das unglaublich genial. Ich habe andere gesehen, die ihn mit Nobel verglichen haben, so mit der Erfindung des Dynamits. Es hat zumindest keiner eine Parallele zur Atombombe gezogen, aber vielleicht findet sich da irgendwo im Netz auch noch jemand, der so einen Vergleich gezogen hat – weil er halt Agenten ohne jegliche Sicherheitsmechanismen losgelassen hat. Und dann kam ja noch dieses Social Network in Anführungszeichen dazu, wo anscheinend Agenten jetzt Rogue in der Gegend umherwandern.

00:08:44: Barbara Lampl: Jetzt müssen wir mal alles ein bisschen auseinanderhalten. Erstens, und das ist vielleicht das, was in dieser ganzen Aktion ziemlich untergegangen ist: Das ist aufgebaut auf einem von einem anderen Developer gebauten sogenannten PiMono-Repo. Das ist der AR Agent Toolkit, der hinter OpenClaw steckt. Hat er das Rad jetzt komplett neu erfunden? Nein, um Gottes Willen. Hat er etwas Bestehendes weiterentwickelt? Ja. Am Ende des Tages muss man das so betrachten: Es ist mega cool, was er gemacht hat. Der Typ weiß auch ziemlich genau, was er da tut und wie er es gemacht hat. Definitiv kann man laut klatschen.

00:09:30: Barbara Lampl: Aber er hat wirklich jede Bremse, jedes Sicherheitsfeature rausgenommen und das Ding voll hochgepumpt. Stellt euch vor – wir bringen ja hier öfters das Beispiel mit dem Auto und dem Formel-1-Wagen: Ein Formel-1-Wagen ist als Profi-Formel-1-Fahrer völlig fahrbar. Das Ding hat keinen Airbag, kein ABS-System, also alle möglichen klassischen Sicherheitsfeatures fehlen. In einem Rallyewagen hast du all diese Sicherheitsfeatures auch nicht. Warum? Weil du Rallye fahren willst und nicht möglichst sicher von A nach B kommen, und du bist ein Profi.

00:10:30: Barbara Lampl: Das ist an der Stelle das, was häufig untergegangen ist. Bei OpenClaw nimmst du wirklich quasi alles raus, was als Sicherheitsfeature existiert, und knallst es durch. Damit machst du deinen sicheren, hochfunktionalen Familienwagen in einen Formel-1-Wagen. Und weil du den Formel-1-Wagen gratis im Internet runterladen kannst, kann jetzt theoretisch jeder Formel-1-Wagen fahren. Das ist ungefähr so eine gute Idee, wie das klingt. Wir fahren nämlich nicht alle auf normalen Straßen mitten in der Innenstadt mit einem Formel-1-Wagen durch die Gegend.

00:11:03: Barbara Lampl: Wenn du ein voller Profi bist, also ein Deep Techie, dann weißt du, dass du das mindestens auf eine Virtual Machine oder auf einem separaten Device aufbringst. Du hast im Zweifelsfall vorher alles am Backup gezogen, Sicherheitsfeatures nachgebaut, testest nur auf bestimmten Cases. Aber das ist ein bisschen untergegangen in diesem ganzen Hype – es ist viral gegangen bei den Vibe-Codern.

00:11:34: Jochen G. Fuchs: Ist er dann dafür zu kritisieren? Wenn man das Ding so zur Verfügung stellt, dass Hinz und Kunz es installieren kann und gar keine Sicherheitsmechanismen dabei sind – ich weiß nicht. Wenn ich wieder zur Nummer mit dem Dynamit zurückgehe: Ich würde jetzt keine Kiste Dynamit nehmen und die auf den Dorfplatz stellen.

00:11:53: Barbara Lampl: Sollte man das nicht machen? Nein, sollte man nicht. Auf der anderen Seite gibt es momentan auch keine gute Begründung, und er war nicht besonders intransparent darüber, dass das Ding alle Sicherheitsfeatures rausgeballert hat. Von einer Firma müsste man etwas anderes erwarten. Von jemandem, der das an einem verlängerten Wochenende selber zusammengecodet hat – ich weiß nicht, ob man sich da als moralische Instanz aufschwingen muss. Es ist ja nicht Meta, das released hat, oder Google, sondern das war ein Wochenend-Projekt.

00:12:30: Barbara Lampl: Und das landet dann halt auch auf GitHub. Wenn wir uns angucken, wer früher auf GitHub rumhing, hätte ich mir wahrscheinlich weniger Sorgen gemacht. Heute sieht die Welt ein bisschen anders aus. Da ist immer die Frage: Wen nehme ich in die Verantwortung? Beim ersten Release schon – da hieß es ja noch anders – war es schon einigermaßen klar formuliert: For your own safety und bitte mit eigenem Hirn und Sachverstand. Das war jetzt nicht so dargestellt, als wäre das mit allen üblichen Sicherheitsfeatures versehen.

00:13:10: Barbara Lampl: Der Vergleich mit der Kiste Dynamit hinkt, weil am Ende des Tages ist es eher: Hier ist die Bedienungsanleitung, mit der du Dynamit bauen kannst – das ist aber eine schlechte Idee, wenn du nicht weißt, was du tust. Ich würde es eher in diese Kategorie einordnen.

00:13:37: Jochen G. Fuchs: Und er ist ja auch nicht hergegangen und hat das selber groß beworben und gepusht.

00:13:41: Barbara Lampl: Nein. Viral gegangen ist das Ding schon von alleine und es ist sicherlich kein expliziter Exploit eingebaut. Da hat es keinen malicious Intent gegeben. Das war ein ganz klassisches Wochenend-Side-Hustle: Geil, ich schau, was mal geht mit Claude Code, mit Codex. Was geben die Tools her? Ich baue auf einem alten Projekt auf und einigen Contributors. Das PiMono ist zwar ursprünglich von Mario Zechner aufgebaut, hat aber zwischenzeitlich 121 weitere Contributors. Das ist eine ganz klassische Open-Source-Weiterentwicklung gewesen.

00:14:30: Barbara Lampl: Aber vielleicht diese Side Note: Wir sind in einem sehr interessanten Zeitalter, wo jeder viel kann, aber die wenigsten wissen, was sie tun. Das ist uns jetzt bei OpenClaw sehr offensichtlich geworden.

00:14:45: Jochen G. Fuchs: Für diejenigen, die jetzt neugierig geworden sind und darüber nachdenken, sich das runterzuladen: Ich habe bisher die Finger davon gelassen. Ich arbeite mittlerweile mit Claude Code beispielsweise öfter. Und wenn ich da einen Skill oder irgendwas drinne habe, fragt der mich ja immer brav, ob er den Skill verwenden darf. Ich erlaube das dann auch nur immer einmal. Ich gebe keine Skills, keine Integration generisch frei. Ich will über jede Aktion, die er außerhalb seines Scopes durchführt, eine Freigabe haben. Das ist ja nicht bei dem Ding der Fall. Wenn ich das installiere, hat es erstmal Zugriff auf alles. Das heißt, ich muss eine dedizierte Maschine dafür haben. Was sollte ich noch beachten, wenn ich damit rumspielen und das mal ausprobieren will?

00:15:30: Barbara Lampl: Grundsätzlich nennen wir das immer den Käfig – im Englischen nennt man es den Harness. Das heißt, ich muss das Ding auf jeden Fall in den Käfig einsperren. Das kann ein altes Telefon sein, ein Mac Mini, mindestens eine Virtual Machine, wenn du verstanden hast, wie man Virtual Machines wirklich sauber voneinander trennt. Das ist Schritt eins.

00:16:10: Barbara Lampl: Schritt zwei: Du solltest das alles erstmal mit Dummy-Daten aufsetzen. Du arbeitest mit Daten, die du woanders noch hast – also eine Spiegelung oder sonstwas –, sodass du, falls da irgendwas Dummes passiert, nicht dumm guckst. Genauso sollten Log- und Order-Daten geschrieben werden, damit es nachvollziehbar ist.

00:16:50: Barbara Lampl: Du kannst natürlich bei OpenClaw auch bis zu einem bestimmten Grad ein Access-Level konstruieren. Aber denk auch an die andere Seite: Prompt Injection. Wenn dein OpenClaw-Bot irgendwas in der Welt da draußen zusammensucht, kann er natürlich auf malicious Sites landen. Das heißt, auch die Datenseite muss abgesichert sein. Deswegen: Harness.

00:17:10: Barbara Lampl: Dann kann man es ausprobieren und muss sich nach und nach hocharbeiten, was die Security-Features angeht. Wenn du zum Beispiel einen Use Case baust, bei dem du deinen OpenClaw-Bot für Rechercheaufgaben oder zum Rumspielen einsetzt, ist das relativ tiefenentspannt. Aber denkt dran: Das Ding muss in einem harten Käfig eingesperrt werden. Worst Case: Es löscht dein Handy, das davor eh schon gelöscht war.

00:17:30: Jochen G. Fuchs: Dementsprechend dann auch dafür sorgen, dass ein altes Handy keinen Zugriff mehr auf deine Cloud-Dienste oder Cloud-Daten hat. Eines der Negativbeispiele, die ich gelesen habe: Jemand wollte auf seinem Mac seine Familienfotos neu sortieren. Das Ding hat gesagt, es sortiert sie, war dann fertig und kam dann an und sagte: Sorry, ich hab sie leider gelöscht, sie sind weg. Und dann war auch noch ein Backup weg.

00:18:00: Barbara Lampl: Das hat überhaupt gar nichts mit OpenClaw zu tun. Das hat grundsätzlich mit Agenten zu tun. Ich kann mich da nicht oft genug wiederholen, weil ich diesen Use Case gefühlt einmal am Tag auf LinkedIn sehe und zwischenzeitlich keinen Bock mehr habe, das zu kommentieren. Wer auf die unglaublich saudumme Idee kommt, einen Use Case zu bauen, der Datenträger optimiert, Daten umbenennt oder löscht – sorry, da fällt mir außer saudumm und sechs setzen echt nichts mehr ein. Genau dafür sind Agenten zu 100 Prozent nicht gemacht.

00:18:30: Barbara Lampl: Dazu kommt, dass diverse AI-Influencer das immer wieder als schönen Agent-Use-Case verkaufen: Dein Google Drive mit deinem Agenten aufräumen! Oder: Wir sind als Firma zu groß gewachsen, jetzt haben wir Datenchaos, jetzt lassen wir den Agenten mal unsere Datenstruktur umarbeiten, umbenennen und aufräumen. Bitte weniger Drogen, weil die Dosierung stimmt nicht.

00:19:16: Jochen G. Fuchs: Einen ähnlichen Eindruck hatte ich neulich bei einer Diskussion. Replit, glaube ich, war das. Da hat jemand mit Replit gearbeitet und eine Anwendung entwickelt und dann hat die irgendwie Teile seiner Daten vernichtet.

00:19:39: Barbara Lampl: Wir haben eine Schulung, einen Workshop, den ich sehr standardmäßig immer wieder gebe, insbesondere für Firmen, die Agent-Strukturen bauen, aber auch als Upgrade für die Cybersecurity – immer im Schulterschluss mit dem CTO. Da gucken wir uns genau solche Fälle an: Was ist in anderen Agent-Projekten schiefgegangen? Wir gucken uns die gut dokumentierten Fälle an. Jetzt rate mal, wo diese Fälle herkommen: Bevor das hier auf einer deutschen LinkedIn-Welle kommt, ist es im Valley schon vor acht Monaten passiert und die haben bitter geblutet.

00:20:20: Barbara Lampl: Aber das jetzt immer noch als Use Case in Deutschland zu verkaufen, ist wirklich unter aller Sau. Irgendwann werde ich das bei irgendeiner deutschen Firma erleben, weil irgendein Hinz und Kunz auf die Idee kam, dass das ein guter Plan war. Dann sind deine Daten weg. Herzlichen Glückwunsch.

00:20:50: Barbara Lampl: Deswegen ist aber auf der anderen Seite OpenClaw eigentlich so cool: Lass den doch mal frei auf irgendeiner kleinen Instanz, wo wirklich nichts passieren kann. Lass die Agenten in ihrer Safe World los und guck, was sie tun. Dann hast du auch ein besseres Verständnis für Risikovektoren. Kleiner Einblick in meine Welt: OpenClaw ist durch die Decke gegangen, gerade im Silicon Valley. Während ich in San Francisco beim Kunden saß, haben wir natürlich heiter diskutiert.

00:21:30: Barbara Lampl: Bei unserem Team hatte jemand im Hintergrund schon malicious Webseiten aufgebaut und in einer geschlossenen Umgebung gezeigt: Wenn so ein Agent auf eine von uns vorgebaute malicious Seite draufgeht, wie fängt der an zu eskalieren? Damit wir noch ein paar Beispiele für Workshops haben – wie so eine Prompt Injection beziehungsweise ein malicious Agent-Angriff aussieht.

00:21:58: Barbara Lampl: Was für Schlussfolgerungen ziehe ich dann? Dann sieht die Welt ganz anders aus. Aber gleichzeitig habe ich nicht nur drüber theoretisiert und philosophiert, sondern hands-on zwei coole Sachen gebaut.

00:22:08: Jochen G. Fuchs: Bei dem Softwareunternehmen, das mit Replit irgendwas gemacht hat, habe ich mich auch ernsthaft gefragt: Warum zum Teufel gibt es kein Staging? Wie kommt man darauf, Agenten auf der Produktionsumgebung laufen zu lassen? Egal. Es ist dasselbe.

00:22:20: Barbara Lampl: Wir fragen uns das alle immer. Heute, am 25. Februar, hat mir ein lieber Kollege beim kurzen Coffee Run erzählt: Du kannst dir nicht vorstellen, dass schon wieder eine deutsche Firma – kein kleines Unternehmen – eine E-Mail rumgeschickt hat, die Mitarbeiter sollen doch gefälligst auch von irgendwelchen OpenClaw-Instanzen installieren. Ich frage mich zwar, warum Security das nicht geblockt hat. Aber das Thema scheint immer noch brandheiß zu sein.

00:22:52: Jochen G. Fuchs: Furchtbar. Wenn wir schon beim Thema lass ihn mal loslaufen und schau dir mal an, was für Sicherheitsvektoren es gibt – da haben wir ja schon fast eine Überleitung zu Moltbook. Das fand ich ganz amüsant, als ich mir die Medienberichterstattung angeguckt habe und dann gefühlt in den ersten Tagen im Minutentakt: Man hat darüber gesprochen, die Agenten sprechen untereinander und jetzt haben sie gemerkt, dass wir Menschen mitlesen können, und jetzt wollen sie eine eigene Sprache erfinden, und die sind ja total selbstständig.

00:23:53: Jochen G. Fuchs: Ich saß so da und dachte: Irgendwas verstehe ich nicht. Da hat jemand anscheinend etwas gebastelt, das so tut, als wäre es ein Social Network, hat da Agenten reingesetzt, hat denen Systemprompts mitgegeben und gesagt: Tu so, als hättest du einen eigenen Willen, spiel da Social Network. Dann hat er sich zurückgelehnt und geguckt, was passiert. Und ich dachte die ganze Zeit: Warum sitzen jetzt alle da und tun so, als wäre das Magic? Fangen wir mal ganz am Anfang an: Was ist das eigentlich und was haben sie da getan beim Moltbook?

00:24:09: Barbara Lampl: Moltbook war die Idee, dass die Agenten eine eigene Plattform bekommen, auf der sie sich untereinander austauschen. Social Simulations für Agents gibt es auch schon länger. Nur diesmal ist es quasi in einer Art öffentlichem Reddit-Forum passiert. Aber: Konntest du dich als Mensch, als Agent verkleidet, einloggen – da haben wir schon mal das erste Problem. Es gibt keine Prüfung, dass Agenten wirklich Agenten sind.

00:24:50: Barbara Lampl: Und natürlich ist es auch so, dass diese Agenten hochgeprompt werden können. Da ist jetzt nicht mein E-Mail-Beantworter-Agent drin oder was auch immer. Den habe ich übrigens nicht – wenn ihr so Drei-Zeilen-Antworten von mir als E-Mail bekommt, schreibe ich die brav selbst. Das ist die Konstruktion, die dahinter steckt. Und dann ist das Ganze natürlich über die Systemprompts eskaliert.

00:25:30: Barbara Lampl: Aber – und auch das ist sehr lustig: Die Bots entwickeln eigene Sprachen! Oh, jetzt haben wir AGI! Freunde, nach dieser Definition haben wir das seit grob Pi mal Daumen 2017. Denn da gab es im Rahmen der Facebook Artificial Intelligence Research, also der FAIR, ein legendäres Facebook-Experiment, wo Alice und Bob miteinander eine Verhandlung führen und zu Effizienzgründen eine eigene Sprache entwickeln. Seit 2017 wissen wir also, dass sie eine eigene Sprache entwickeln. Wir wissen, wie das funktioniert. Das ist seitdem sehr, sehr gut und konstant erforscht.

00:26:29: Barbara Lampl: Wir sind jetzt fast bei den zehn Jahren. Es ist ein bekanntes Verhalten, dass Bots – Achtung, da reden wir von AI-Bots aus dem Jahr 2017 – sich von der menschlichen Sprache wegbewegen, weil sie für die Intermaschinenkommunikation ineffizient ist. Freunde der Nacht, es wäre wieder mal ganz hilfreich, auch für liebe Medienschaffende, vielleicht einmal kurz ein Upskilling in AI-Data-Historie. Vielleicht noch mal ein kleines Geschichtsbuch zur Bot-Geschichte aufschlagen. Just saying.

00:27:07: Jochen G. Fuchs: Ich fand es auch nicht besonders überraschend, dass die Bots auf so eine Idee kommen, in Anführungszeichen. Deswegen haben wir APIs, weil menschliche Sprache zur Kommunikation zwischen Maschinen nicht sehr effizient ist. Aber sag mal, blöde Frage: Warum eigentlich? Warum hat da jemand Moltbook kreiert? Wenn man der minutiösen Berichterstattung der Massenmedien folgte, klang es so, als wäre es ein soziologisches Experiment – als hätte man fremde Alienrassen in ein Glas gesetzt und zugeguckt, wie sie miteinander interagieren. Ist das ein Forschungsprojekt? Ist das ein Jux? Was ist das?

00:27:47: Barbara Lampl: Leute haben schlechte Hobbys. Ich habe auch schlechte Hobbys an einem Freitagabend. Und wenn du schon so einen viralen Agenten hast – insbesondere 99 Prozent der Leute, die OpenClaw installiert haben, haben keinen blassen Schimmer von Angriffsvektoren, Security Features und sowas. Und dann sitzt du da wahrscheinlich so Freitagabend auf deinem Sofa und denkst dir: Das ist ganz geil. Nochmal machen jetzt damit. Dann baust du im Zweifelsfall relativ Quick and Dirty ein Social Network für Agenten und guckst mal, ob du damit auch viral gehst. Offensichtlich gibt Viralität gute Jobs. Wer ist jetzt zu OpenAI gewechselt? Der gute Peter. Fair vor ihm. Build in Public, egal was, war schon immer eine solide Variante für geile Jobs. So sind schon immer gute Jobs im Valley entstanden.

00:28:41: Jochen G. Fuchs: Also im Prinzip nichts anderes, als wenn wir den Leuten raten: Spiel möglichst viel mit KI rum, um deine Skills und deine Jobchancen zu verbessern – nur halt auf einem anderen Level.

00:28:53: Barbara Lampl: Ja. Wahrscheinlich hat auch der Typ von Moltbook zwischenzeitlich ein Angebot bekommen. Vielleicht eher von Meta. Was Peter Steinberger gezeigt hat, ist genau das: Build in Public. Diesmal ist es auch noch viral gegangen. Aber es gibt zig andere Fälle, wo Build in Public und wo jemand auch wirklich Bock drauf hatte, das als Job-Offer zu sehen. Natürlich, wenn du zeigst, was du kannst, ein Produkt zeigt, was du kannst – gut, die deutschen und europäischen Firmen scheinen sich ja nicht in die Diskussion eingeklinkt zu haben. Natürlich rekrutierst du über sowas. Es ist eine ganz klassische Strategie, dass du durch diverse GitHub-Repos durchguckst und sagst: Gibt es da jemanden, der schon was gebaut hat? In einem Feld, wo echte Bauexpertise so selten ist und jemand so mutig auch mal öffentlich voranspringt – natürlich qualifizierst du dich damit automatisch für einen Job.

00:30:02: Jochen G. Fuchs: Im Prinzip zusammengefasst haben die Agenten bei Moltbook nur ihre Systemanweisungen befolgt. Irgendjemand hat ein witziges Experiment gestartet und sich gedacht: Gucken wir doch mal, was passiert, wenn wir diese Multi-Agenten-Systeme zusammenschmeißen. Das, was sie tun, und wie sie miteinander interagieren, machen wir sichtbar in einem Social Network – und dann wird's witzig. Und der eine oder andere, der dann gedacht hat, geil, ich kann da noch ein bisschen Verwirrung stiften, hat sich dann wahrscheinlich ein KI-Agenten-Männchen angezogen und noch ein bisschen Absurditäten losgelassen – und sich gefreut, wenn dann die Medien draufspringen und sagen: Die Agenten greifen nach der Weltherrschaft! Pinky und der Brain!

00:30:55: Barbara Lampl: Merch Lich, das ist derjenige, der Moltbook gebaut hat, ist kein komplett Unbekannter. Der hat schon gerne zu Social-Media-Issues kommentiert und Anmerkungen gemacht, wie Tech und Social Media misused werden. Der hat das wahrscheinlich aus Spaß und Freude gemacht und sich wahrscheinlich auch nicht gedacht, dass das Ding so dermaßen eskaliert.

00:31:23: Jochen G. Fuchs: Aber jetzt mal als Advocatus Diaboli, nochmal auf das Thema Gefahr zurückzukommen: Kann so ein Ding irgendwann mal gefährlich werden? So ein Social Network mit irgendwelchen Agenten, die Rogue gehen? Meine persönliche Einschätzung in der ersten Sekunde, als ich das gelesen habe: Ist völlig ungefährlich, irgendjemand zieht den Stecker bei den APIs. Aber wenn da Open-Source-LLMs im Hintergrund laufen, die denen zur Verfügung stehen, ist es vielleicht nicht so leicht, den Stecker zu ziehen. Steckt da irgendeine Gefahr dahinter, wenn man sowas fabriziert wie Moltbook?

00:32:04: Barbara Lampl: Mit Moltbook an sich erstmal nicht. Für Moltbook existiert sicherlich keine Gefahr. Können die Agenten gerade Daten löschen? Ja. Dass jetzt aber mein Agent Daten bei dir löscht, ist schon mit sehr viel Aufwand zu verursachen. Da kommt dann der Human Intent mit ins Spiel. Kann ich irgendwie was bauen, sodass du eventuell auf eine malicious Agent-Struktur zugreifst und ich deine Daten löschen kann? Und ist das ein riesiges Cybersecurity-Risiko? Ja. Wir sind aber gerade schon noch in den Angriffsvektoren, wo der Mensch eine entscheidende Rolle spielt. Das ist also nicht die Maschine, die morgens aufwacht und sich denkt: Heute ist ein guter Tag, ich übernehme mal die Welt. Da sind wir noch relativ weit von entfernt.

00:32:50: Barbara Lampl: Aber die Angriffsvektoren und die Angriffsanzahl sind einfach durch die Decke gegangen. Es hat einen Grund, warum Anthropic mit Claude Security Preview etwas released hat, um Cybersecurity sicherer zu machen, weil das in dem Bereich einfach nochmal eine ganz andere Dimension angenommen hat. Ob jetzt der Agent oder so eine Moltbook-Aktion für uns gerade gefährlich ist? Nein, da sind wir schon noch ein ganzes Stückchen von entfernt. Bestimmt noch ein oder zwei Jahre, vielleicht auch fünf oder zehn.

00:33:40: Barbara Lampl: Das Problem an der Stelle ist: Gerade stellen wir vielleicht noch keine Kiste Dynamit hin. Aber wir stellen sehr genaue Bedienungsanleitungen hin, die natürlich nicht nur von irgendwelchen 15-jährigen Vibe-Codern und 48-jährigen CEOs, die versehentlich die IT-Security in der eigenen Firma anzünden, genutzt werden – sondern natürlich auch von Cyberkriminellen. Da wird dann durch den Menschen etwas gefährlich, was eigentlich – naja, das Küchenmesser wird halt auch erst durch den Angriff gefährlich. Würde ich jetzt OpenClaw in irgendeiner Firma zulassen? Bist du des Wahnsinns? Das Ding wird geblockt an allen Enden.

00:34:25: Jochen G. Fuchs: Ich suchte einen neuen Job.

00:34:27: Barbara Lampl: Ja genau, deswegen wollten sie die Firma anzünden. Das können sie tun, aber bitte von außen.

00:34:29: Jochen G. Fuchs: Bitte mit Feuerwerk gehen. Aber ich sag mal: Jemand kann auf die Idee kommen und als Agent verkleidet bei Moltbook sagen: Nerv mal Online-Shop XY, lös da mal 6.000 Bestellungen aus mit irgendwelchen Fake-Personendaten. Wir haben ja schon Probleme mit Ad Fraud und ähnlichen Sachen. Plus wir haben zurückliegende Angriffe auf IT-Infrastruktur von Atomkraftwerken von menschlichen Hackergruppen. Und wenn wir jetzt Wissen und Werkzeuge zur Verfügung stellen und Multi-Agenten-Systeme mit deutlich größeren IT-Skills als Werkzeug zur Verfügung stellen – und die sagen: Guck doch mal, ob du nicht irgendwelche Schwachstellen findest.

00:35:51: Barbara Lampl: Kleine Side Note an der Stelle: Der größte Cybersecurity-Hackathon fand gerade statt. Und zwar wo und von wem gesponsert?

00:36:03: Jochen G. Fuchs: Ich hab keine Ahnung, ich habe gerade Anträge ausgefüllt.

00:36:07: Barbara Lampl: Der größte Cybersecurity-Hackathon fand gerade in China statt und wurde von der chinesischen Regierung gesponsert. Und es gibt außer ein paar Leaks über die Ergebnisse keine Insights. Ich würde mal sagen, die Ergebnisse werden bestimmt demnächst irgendwann veröffentlicht – nachdem man die Sicherheitslücken tiefgründig analysiert hat.

00:36:28: Jochen G. Fuchs: Die Frage ist ja auch, wie diese Ergebnisse veröffentlicht werden. Durch Ausführung?

00:36:33: Barbara Lampl: Um das mal klar zu machen – und ich möchte der chinesischen Regierung jetzt gar nichts Bösartiges unterstellen. Das Problem ist so groß, dass einer der größten Cybersecurity-Hackathons, die sonst in China auch sehr öffentlich stattgefunden haben – in den letzten Jahren war das immer auch in der Öffentlichkeit, also Build in Public – in 2025 / 2026 dark gegangen ist. Was nach außen gedrungen ist: Es wurde vom Politbüro gesponsert, da ist wirklich das Who is Who aufgeschlagen. Und halt sicherlich sowohl eigene Cybersecurity zu härten als auch sicherlich großzügig zu denken. So groß ist das Thema im Zeitalter von AI.

00:37:26: Jochen G. Fuchs: Das dark gehen zu lassen soll jetzt auch kein China-Bashing sein, wenn ich dich richtig verstehe. Wenn sie es bisher offen gemacht haben und jetzt dark halten, zeigt das halt einfach, wie heikel das Thema ist. Wenn man dort Sicherheitslücken findet und die dann public macht, ist das eine Gefahr für alle, auch für China. Und zu sagen, das machen wir jetzt nicht so arg öffentlich, ist ja auch ein bisschen Allgemeinverantwortung – wobei natürlich die politische Ebene immer mitschwingt. Aber man muss deswegen nicht in China-Bashing ausbrechen. Es ist tatsächlich nachvollziehbar, die Ergebnisse da nicht einfach so in die Welt hinauszuschreien.

00:38:18: Barbara Lampl: Wer das nachgucken will: Das ist der sogenannte Tianfu Cup, ein sehr bekannter Cybersecurity-Hackathon mit einer ganz harten Competition. Im Gegensatz zu früher – den gab es eine Zeit lang nicht, aber da wurde definitiv immer in Public gebaut – ist er jetzt eben dark gewesen. Das ist halt auch ein Hinweis darauf, wo sich die ganze Bedrohungslage hinentwickelt.

00:39:02: Jochen G. Fuchs: Das mit dem Chinesisch-Aussprechen ist gar nicht so einfach.

00:39:06: Barbara Lampl: Liebe Community, weist mich gerne darauf hin, wie man es richtig ausspricht. Aber wir leben jetzt mal mit meiner total deutschen Pronunciation. Das ist der Tianfu Cup.

00:39:24: Jochen G. Fuchs: Ich stand heute vor einer Malatang-Kette in Karlsruhe, die neu aufgemacht hat. Ich habe gerätselt, wie man das ausspricht. Man ist einfach völlig unfähig als Westler, was das angeht.

00:39:47: Jochen G. Fuchs: Mir fällt nicht mehr viel zum Thema Moltbook und OpenClaw ein. Was wir jetzt noch besprechen müssten, was man als KI-Anwender wissen müsste – fällt dir noch irgendwas ein? Haben wir irgendwas ignoriert, vergessen?

00:40:09: Barbara Lampl: Shoutout nochmal ans PiMono. Das ist das Grundlagen-Repo. Wer ein bisschen technikaffin ist: Das ist Mario Zechner, den findet ihr unter badlogic auf GitHub, und da findet ihr auch das PiMono-Repo. Auf jeden Fall mal angucken. Das ist prä-OpenClaw, ein AI-Agent-Tool, das ich schwer ins Herz schließen kann – mit ein bisschen mehr Security-Features drin. Wer sich also ein bisschen mehr Aufwand betreiben und mit mehr Sicherheitsfeatures fahren will, schaut in diese Richtung.

00:40:54: Jochen G. Fuchs: Dann bin ich schon fast am Ende unserer Episode. Da ich am Anfang schon ein bisschen Eigenwerbung betrieben habe zu meinem neuen Projekt The Buy Beat, das übrigens auch einen Podcast bekommen wird: Unter meiner Verlagsseite e-fuchs.net könnt ihr auch Kontakt aufnehmen. Wenn ihr Interesse daran habt, eine Host Spoken Ad für LAIer 8|9 zu buchen, eine Episode zu sponsern oder den ganzen Podcast eine Weile lang zu sponsern – haut mich an, die Möglichkeit gibt es ab sofort. Nähere Informationen auf Anfrage. Liebe Barbara, herzlichen Dank. Wir freuen uns, wenn ihr am nächsten Freitag wieder einschaltet.

00:41:37: Barbara Lampl: Sehr gerne.

00:41:43: Barbara Lampl: Dann haben wir hoffentlich keine WLAN-Dramen oder Gründungsdramen mehr und dann hören wir uns wieder wöchentlich jeden Freitag. Bis dahin, ciao!

00:41:51: Jochen G. Fuchs: Bis dahin, macht's gut, tschüss.