Der österreichische Entwickler hinter OpenClaw empfiehlt Claude, baut mit Codex, und geht zu OpenAI. Was das über das Agentic-AI-Rennen verrät – und über Europas strukturelles Versagen.
Am 15. Februar 2026 verkündete Peter Steinberger, dass er zu OpenAI wechselt. Innerhalb von Stunden hatte die Nachricht die Tech-Medien erreicht. Sam Altman nannte ihn “ein Genie mit erstaunlichen Ideen über die Zukunft sehr intelligenter Agents.” The Register, TechCrunch, CNBC – alle berichteten.
Aber die meisten übersahen die eigentliche Geschichte.
Das ist nicht einfach ein weiterer Acqui-Hire. Es ist eine Fallstudie darüber, wohin sich der AI-Wert verschiebt, warum Security immer wieder gegen Geschwindigkeit verliert, und wie Europa es schafft, seinen eigenen Brain Drain zu beklatschen.
Der Widerspruch, den niemand bemerkt hat
Hier wird es interessant.
In der offiziellen OpenClaw-Dokumentation – dem README auf GitHub mit 196.000 Stars – schreibt Steinberger: “Obwohl jedes Modell unterstützt wird, empfehle ich dringend Anthropic Pro/Max + Opus 4.6 für Long-Context-Stärke und bessere Prompt-Injection-Resistenz.”
Er sagt den Nutzern: Claude ist das beste Modell für OpenClaw.
Und doch hat Steinberger laut Fortune das gesamte OpenClaw-Tool mit OpenAIs Codex gebaut. Er sagte öffentlich auf X, dass sich seine Produktivität “ungefähr verdoppelt” habe, seit er gewechselt ist.
Also empfiehlt er Anthropic für Nutzer. Baut selbst mit OpenAI. Und geht jetzt zu OpenAI.
Das ist keine Heuchelei. Das ist Präzision. Steinberger versteht, dass verschiedene Modelle bei verschiedenen Aufgaben brillieren. Claude mag für die Agentic-Ausführung überlegen sein – im Umgang mit nicht vertrauenswürdigen Inputs, beim Kontexterhalt, bei der Prompt-Injection-Resistenz. Aber für rohe Entwicklerproduktivität und Coding-Geschwindigkeit gewinnt offenbar Codex.
Er hat das Lab gewählt, wo er am schnellsten bauen kann. Das ist das Signal.
Das echte Rennen: Von Modellen zur Ausführungsschicht
Drei Jahre lang war die AI-Industrie besessen von einer Frage: Wer hat das beste Foundation Model? Milliarden flossen in Trainingsläufe. Benchmarks wurden zum Evangelium. Alle paar Monate beanspruchte ein neues Modell die Krone.
Dieses Rennen endet. Nicht weil es gelöst ist, sondern weil es zur Commodity wird.
Das neue Schlachtfeld ist die Ausführungsschicht – die Infrastruktur, die Sprachmodelle in Agents verwandelt, die tatsächlich Dinge tun. Flüge buchen. Postfächer leeren. Code ausführen. Mit anderen Agents koordinieren.
Die Beweise:
29. Dezember 2025: Meta übernimmt Manus, ein in Singapur ansässiges AI-Agent-Startup, für über 2 Milliarden Dollar. Der Deal wurde in zehn Tagen abgeschlossen. Manus hatte nach nur acht Monaten über 100 Millionen Dollar ARR. Mark Zuckerberg testete das Produkt persönlich und kontaktierte die Gründer.
15. Februar 2026: OpenAI stellt Steinberger ein. Altman sagt, persönliche Agents werden “schnell zum Kern unserer Produktangebote.”
Das Muster: Der Wert wandert von der Modell-Schicht zur Orchestrierungsschicht. OpenAI hat GPT. Anthropic hat Claude. Meta hat Llama. Aber keiner von ihnen hatte ein bewährtes Agent-Framework mit viraler Adoption und einem Entwickler-Ökosystem.
Jetzt hat OpenAI eines.
Das Security-Problem, das alle ignorieren
Hier wird die Geschichte unbequem.
Ende Januar veröffentlichte Gartner ein Advisory, das OpenClaw als “eine kraftvolle Demonstration von Agentic AI für Unternehmensproduktivität, aber ein inakzeptables Cybersecurity-Risiko” charakterisierte. Sie empfahlen Unternehmen, OpenClaw-Downloads und -Traffic sofort zu blockieren.
Die Details sind schlimmer als die Überschrift:
- 341 bösartige Skills wurden in ClawHub, dem OpenClaw-Marktplatz, in einer Kampagne namens “ClawHavoc” entdeckt. Das waren keine Amateurversuche – es waren professionell aussehende Kryptowährungs-Tools und YouTube-Utilities, die Keylogger und die Atomic macOS Stealer Malware installierten.
- Fast 20% aller Pakete im ClawHub-Ökosystem enthielten bösartigen Code, laut Bitdefenders Analyse von ~4.000 Skills.
- Über 30.000 OpenClaw-Instanzen wurden von Bitsight offen im öffentlichen Internet gefunden, mit Credentials im Klartext gespeichert.
- Ein Cornell-University-Report beschrieb OpenClaw als “absoluten Albtraum” aus Security-Sicht und fand, dass 26% der Pakete Schwachstellen enthielten.
Ciscos Threat-Research-Team war ebenso deutlich: “Aus Fähigkeitsperspektive ist OpenClaw bahnbrechend. Aus Security-Perspektive ist es ein absoluter Albtraum.”
Und Steinbergers Reaktion, als Security-Forscher diese Probleme meldeten? Laut Berichterstattung von Aikido Security sagte er, Security sei “nicht wirklich etwas, das er priorisieren möchte.”
Das ist das Tool, das jetzt OpenAIs “nächste Generation persönlicher Agents” informieren wird.
Fairerweise: OpenClaw hat inzwischen eine Partnerschaft mit VirusTotal, um Skills vor der Veröffentlichung zu scannen. Bösartige Pakete werden blockiert. Verdächtige bekommen Warnungen. Das ist Fortschritt.
Aber das fundamentale Architekturproblem bleibt: Ein Agent-Framework, das breite Systemberechtigungen erfordert und mit unsicheren Netzwerk-Defaults ausgeliefert wird, erzeugt Risiken, die kein Registry-Scanning vollständig mitigieren kann.
Europas strukturelles Versagen
Der Brain-Drain-Winkel wurde berichtet, aber nicht gut genug.
Als OpenClaw viral ging, meldeten sich drei CEOs persönlich bei Steinberger:
- Sam Altman rief an.
- Mark Zuckerberg schrieb via WhatsApp und testete das Produkt selbst.
- Satya Nadella nahm Kontakt auf.
Europäische CEOs, die sich meldeten: null.
Nicht Mistral, Europas angeblicher AI-Champion. Nicht SAP, das größte Enterprise-Software-Unternehmen des Kontinents. Niemand.
Trending Topics, eine österreichische Tech-Publikation, traf es perfekt: “Europa schaute zu und bejubelte Steinberger auf seinem Weg nach San Francisco. Während amerikanische Tech-CEOs innerhalb von Stunden persönlich Kontakt aufnahmen, wartete Europa wahrscheinlich noch auf die HR-Freigabe.”
Der Artikel fährt fort: “Natürlich kann man es positiv sehen und feiern. Immerhin wird ein Österreicher nun an zentraler Stelle daran arbeiten, wie AI-Agents für die Massen funktionieren werden. Aber inmitten all der Feierlichkeiten übersieht man das Wesentliche: Steinberger musste Europa verlassen, um seine Vision zu verwirklichen. Das ist kein Erfolg für Österreich oder Europa. Das ist ein Armutszeugnis.”
Hätte Steinberger in Europa etwas aufbauen können? Theoretisch. Hätte Mistral die Compute-Ressourcen, die globale Reichweite, das Kapital gehabt, um mit OpenAIs Angebot zu konkurrieren? Nein.
Es geht hier nicht um einen einzelnen Entwickler. Es geht um strukturelle Defizite. Europa hat Regulierungsobsession und Kapitalknappheit. Amerika hat Geschwindigkeit und Scheckbücher. Die Rechnung geht immer gleich auf.
Was das für Enterprise AI bedeutet
Wenn Sie CIO, CISO oder Enterprise-Architekt sind, hier ist was zählt:
1. Agentic-AI-Adoption beschleunigt schneller als Governance.
Deloittes State of AI Report 2026 fand heraus, dass 74% der Unternehmen planen, Agentic AI innerhalb von zwei Jahren einzusetzen. Aber nur 21% berichten von einem ausgereiften Governance-Modell für autonome Agents.
Diese Lücke ist eine Katastrophe, die darauf wartet zu passieren. Agents beantworten nicht nur Fragen – sie führen Aktionen aus. Sie tätigen Käufe, senden Kommunikation, modifizieren Systeme. Der Blast Radius eines kompromittierten Agents erstreckt sich auf jedes System, das er erreichen kann.
2. Shadow AI ist bereits in Ihrem Netzwerk.
Token Security fand heraus, dass 22% seiner Enterprise-Kunden Mitarbeiter hatten, die OpenClaw ohne IT-Genehmigung betrieben. Noma Security berichtete, dass 53% seiner Enterprise-Kunden OpenClaw privilegierten Zugang über ein einziges Wochenende gewährten.
Ihre Mitarbeiter warten nicht darauf, dass Sie Agentic-AI-Tools evaluieren und genehmigen. Sie installieren sie jetzt, verbinden sie mit der Firmen-E-Mail und hoffen, dass niemand es bemerkt.
3. Die “Orchestrierungsschicht” wird eine Beschaffungskategorie.
Genau wie Unternehmen zwischen AWS, Azure und GCP für Cloud-Infrastruktur wählen mussten, werden sie bald zwischen Agent-Management-Plattformen wählen. OpenAI mit Steinbergers Vision. Microsoft mit seinem fragmentierten, aber umfassenden Stack. Was auch immer Google als Nächstes baut. Enterprise-Player wie Glean und Writer.
Die Entscheidungen, die Sie in den nächsten 12-18 Monaten treffen, werden Ihre AI-Architektur für Jahre prägen.
Die Frage, die niemand stellt
Steinberger schrieb in seinem Blogpost zur Ankündigung: “Was ich will, ist die Welt verändern, nicht ein großes Unternehmen aufbauen, und die Zusammenarbeit mit OpenAI ist der schnellste Weg, das zu allen zu bringen.”
Er schrieb auch: “Meine nächste Mission ist es, einen Agent zu bauen, den sogar meine Mutter benutzen kann.”
Das ist das Versprechen und die Gefahr von Agentic AI in einem Satz.
Das Versprechen: AI-Assistenten, die die mühsame Logistik des modernen Lebens übernehmen. Postfach leeren. Reisen buchen. Kalender verwalten. Mehrstufige Workflows ausführen, während Sie schlafen.
Die Gefahr: Dieselben Fähigkeiten, ohne angemessene Schutzmaßnahmen deployed, werden zu Angriffsvektoren. Ein Agent mit Zugang zu Ihrer E-Mail kann Ihre Daten leaken. Ein Agent mit Zugang zu Ihrer Codebase kann Schwachstellen einführen. Ein Agent, der nicht vertrauenswürdige Inhalte verarbeitet – E-Mails, Dokumente, Webseiten – kann durch Prompt Injection gekapert werden.
Die Frage ist nicht, ob sich Agentic AI verbreiten wird. Sondern ob Governance aufholt, bevor die unvermeidlichen Breaches das öffentliche Vertrauen umformen.
Steinberger hat etwas Bemerkenswertes gebaut. OpenAI hat seinen Wert erkannt. Keine dieser Tatsachen ändert die Realität, dass wir kollektiv auf eine Zukunft zurasen, in der autonome Systeme mit menschlichem Zugang und vor-menschlichem Urteilsvermögen operieren.
Der Lobster übernimmt tatsächlich die Welt. Ob das ein Feature oder ein Bug ist, hängt ganz davon ab, was wir als Nächstes bauen.