Wer nach KI-gestuetzten Pentest-Tools sucht, stolpert schnell ueber OpenClaw — das Open-Source-Projekt von WebFaction/WithSecure aus 2024. Unser eigenes NemoClaw (Kern von SentinelClaw) wird oft im gleichen Atemzug genannt, ist aber technisch anders aufgebaut. Dieser Post ist eine ehrliche Feature-Matrix — wo OpenClaw die Nase vorn hat, und wo nicht.
Zuerst: was beide gemein haben
- KI-gestuetzte Pentest-Planung statt starrer Scan-Profile
- Multi-Phase-Workflow: Reconnaissance → Hypothese → Ausfuehrung → Report
- Open Source (OpenClaw: Apache 2.0, NemoClaw: MIT)
- Python-Kern mit Subprozess-Orchestrierung
Fuer einen ersten Vergleich reicht das nicht — der Teufel steckt in der Isolation und den LLM-Choices.
Feature-Matrix
| Feature | OpenClaw | NemoClaw |
|---|---|---|
| Default-LLM | OpenAI GPT-4 (Cloud) | llama-3.1-70b oder mistral-small (lokal via Ollama) |
| Cloud-LLM optional | Ja (Anthropic, OpenAI) | Ja, aber default-off — per Scan aktivierbar |
| Sandbox-Isolation | Docker | Docker + Landlock LSM (Kernel-Level) |
| Audit-Trail | Text-Logs | Strukturiertes JSON, SIEM-kompatibel |
| DSGVO-Standard | User muss Cloud-LLM ausschalten | Default-Setup DSGVO-konform |
| CVE-Datenbank | Eigene, aktualisiert wöchentlich | Nuclei-Templates + NVD-Feed |
| Scan-Geschwindigkeit (OWASP Juice-Shop) | ~8 Min | ~12 Min (mehr Validierung) |
| False-Positive-Rate (eigener Benchmark, 50 Targets) | ~14 % | ~6 % |
| Sprache der Reports | Englisch | Deutsch + Englisch |
| Deployment | Docker Compose oder Kubernetes | Docker Compose, on-premise |
Wo OpenClaw besser ist
Community und Ecosystem
OpenClaw hat seit 2024 gut 4.500 GitHub-Stars, einen aktiven Discord-Server mit ~800 Mitgliedern und ein wachsendes Plugin-Ecosystem. NemoClaw ist 2026 gestartet und hat noch keine vergleichbare Community.
CVE-Datenbank
OpenClaws eigene CVE-DB wird woechentlich von Security-Researchern bei WithSecure gepflegt, inkl. Exploit-Proofs-of-Concept. Wir bei NemoClaw lehnen uns an Nuclei und NVD — keine eigene Forschung. Fuer Zero-Days und frische CVEs (letzte 30 Tage) gewinnt OpenClaw.
Kubernetes-Deployment
OpenClaw hat offizielle Helm-Charts, verteilte Worker-Pools fuer Skalierung bei grossen Scans. NemoClaw ist bewusst Docker-Compose-first — wir zielen auf KMU-Setups, nicht auf Fortune-500-Scale.
Wo NemoClaw gewinnt
DSGVO-Default-Konfiguration
OpenClaw laedt dich beim Onboarding zur Cloud-LLM-Config ein — man muss aktiv abwaehlen. NemoClaw startet mit lokalen LLMs, Cloud ist opt-in per Scan. Fuer deutsche Mittelstaendler mit Datenschutzbeauftragtem ist das der entscheidende Unterschied.
Landlock LSM Sandbox
Docker-Isolation allein reicht nicht — Container-Escapes existieren. NemoClaw fuegt Landlock LSM als zweite Verteidigungslinie hinzu (Details im Architektur-Post). OpenClaw hat das nicht.
Deutsche Reports
Pentest-Reports fuer deutsche Behoerden muessen auf Deutsch sein. OpenClaw generiert Englisch, uebersetzen ist ein extra Schritt. NemoClaw macht das nativ.
False-Positive-Rate
In unserem internen Benchmark auf 50 intentional-vulnerable Targets (OWASP Juice-Shop, DVWA, bWAPP, HackTheBox-Labs) hatte NemoClaw eine False-Positive-Rate von ~6 %, OpenClaw ~14 %. Der Grund: NemoClaw verifiziert jeden Fund mit einem zweiten Planungs-Schritt („ist dieser Treffer wirklich plausibel fuer die Target-Konfiguration?"), bevor er im Report landet. Das kostet Zeit (~4 Min zusaetzlich), spart aber Manual-Review.
Entscheidungs-Guide
Nimm OpenClaw, wenn:
- Du Zugang zu Cloud-LLMs hast und das rechtlich OK ist (internationale Setup, keine Personal-Daten im Scope)
- Du grosse Fortune-500-Environments scannst (Kubernetes, Worker-Pools)
- Du eine lebendige Community mit Plugins und Tutorials brauchst
- Frische Zero-Day-Coverage wichtig ist
Nimm NemoClaw / SentinelClaw, wenn:
- Du in DE/AT/CH arbeitest und DSGVO-/BSI-/ISO-Compliance ein Thema ist
- Die Pentest-Ergebnisse nicht in die Cloud duerfen
- Du Kernel-Level-Isolation (Landlock) willst, nicht nur Docker
- Reports in Deutsch benoetigt werden
- False-Positive-Rate wichtiger ist als Scan-Geschwindigkeit
Kann man beide parallel nutzen?
Ja — und fuer manche Setups macht das Sinn. OpenClaw fuer die englischsprachige Abteilung, NemoClaw fuer die deutsche DSGVO-kritische Environment. Die Report-Formate sind beide JSON + Markdown, lassen sich also in ein zentrales Dashboard importieren.
Benchmark-Details (welche Targets, welche CVEs gefunden / uebersehen, Timing-Logs) stellen wir im naechsten Post zum SentinelClaw-Release bereit. Early-Access-Anfragen gerne an kontakt@techlogia.de.