Der Übergang von der Empfehlung zur eigenständigen Handlung zwingt Organisationen laut Maor, das Thema aus Governance-Sicht zu betrachten und auf bessere Sichtbarkeit, Kontrolle und Durchsetzung zu setzen. Die OpenClaw-Assistenten fungieren als Automatisierungsschicht über den Chat und können quer durch geschäftskritische Abläufe agieren – darunter Umsatzprozesse, IT-Dienste, Personalwesen, Beschaffung und Sicherheit.
Im praktischen Betrieb beginnt eine Anfrage im Chat oder einem Messaging-Werkzeug und kann auch von außerhalb der üblichen Unternehmensanwendungen stammen. Das Gateway nimmt die Anfrage entgegen, verfolgt die laufende Konversation und entscheidet, welche angebundenen Werkzeuge oder Dienste genutzt werden. Dabei werden Aktionen über lokalen Zugriff und verbundene APIs ausgelöst – mit denselben Zugriffsrechten wie der Nutzer und die angebundenen Systeme.
Gerade lokale Installationen sind heikel, weil sie einen dauerhaft laufenden Dienst in die Umgebung setzen. Dieser speichert in der Regel Konfigurationsdateien, Aktivitätsprotokolle und die Anmeldedaten, die er für die Verbindung zu anderen Werkzeugen benötigt. Installieren viele Teams die Software unabhängig voneinander, kann sie sich in den Arbeitsalltag ausbreiten, bevor die IT überhaupt weiß, wo sie läuft, worauf sie zugreifen kann und ob sie sicher konfiguriert ist.
Das OpenClaw-Gateway beschreibt Maor als das ständig aktive Steuerungselement: Es empfängt eingehende Nachrichten, hält Sitzungen und Kanalverbindungen aufrecht und leitet Anfragen an den richtigen Agenten, an Werkzeuge oder Dienste weiter. Er vergleicht es mit der Eingangstür eines belebten Supermarkts. In fortgeschritteneren Konfigurationen speichert der Agent zusätzlich Sitzungszustände und Anmeldedaten für den Zugriff auf andere Systeme. Wird diese „Eingangstür" kompromittiert, wächst der Wirkungsradius, weil die Kompromittierung legitime Aktionen über mehrere Anwendungen und Dienste hinweg anstoßen kann.
Die offiziellen Sicherheitshinweise von OpenClaw konzentrieren sich darauf, die Angriffsfläche des Gateways zu minimieren, stärkere Authentifizierung mit regelmäßigem Wechsel der Anmeldedaten durchzusetzen, die Netzwerkerkennung nach Möglichkeit zu reduzieren und sämtliche Protokolle und Transkripte als unantastbar zu behandeln. Auf Unternehmensebene greifen diese Vorgaben laut Maor jedoch zu kurz.
Als Grundlage für eine angemessene Governance nennt er drei Punkte. Sichtbarkeit steht an erster Stelle: Da 29 Prozent der Beschäftigten nicht genehmigte KI-Agenten am Arbeitsplatz einsetzen, gilt es zunächst, diese Schatten-KI zu erfassen – wer agentische Assistenten nutzt, an welchem Ort und mit welchen Verhaltensmustern. Bei der Kontrolle empfiehlt er feste Leitplanken für Einsatz und Bereitstellung sowie begrenzte, eng überwachte Testläufe; sind solche Kontrollen nicht möglich, sei das Blockieren unkontrollierter Nutzung oft der schnellste Weg, das Risiko zu senken. Drittens sollen Netzwerkabwehrmechanismen verdächtigen Command-and-Control-Verkehr erkennen, falls gefälschte Installationsprogramme, bösartige Erweiterungen oder kompromittierte Komponenten Kontakt zu von Angreifern kontrollierten Systemen aufnehmen.
Das Management agentischer KI-Risiken erfordert laut Maor mehr als klassisches Netzwerk- oder Anwendungsdenken. Organisationen bräuchten tieferen Einblick, wie sich Bedrohungen wie Prompt Injection, Datenabfluss und autonomer Missbrauch real auswirken. KI-Sicherheit hänge daher von fortlaufender Forschung, besserem Verständnis des Agentenverhaltens und eigens auf deren Funktionsweise zugeschnittenen Richtlinien ab.
