OpenClaw v2026.3.28: Plugin-Approval-Hooks und erweiterte Security-Audits

OpenClaw stärkt Plugin-Approvals und Security-Audits

Wer entscheidet, was ein KI-Agent tun darf? Das OpenClaw-Release führt zwei wichtige Sicherheitsbausteine ein: Plugin-Approval-Hooks für mehr Nutzerkontrolle und erweiterte Security-Audits, die nun auch Anbieter wie Gemini, Grok/xAI, Kimi, Moonshot und OpenRouter abdecken. Beide Änderungen adressieren ein zentrales Problem im Agenten-Ökosystem: Je mehr Tools ein Agent bedienen kann, desto wichtiger werden klare Freigabegrenzen und zuverlässige Prüfungen auf versehentlich hinterlegte Secrets.

Das passt zu einem größeren Trend in produktiven Agenten-Setups. Sicherheit entsteht nicht nur durch bessere Modelle, sondern durch nachvollziehbare Prozessgrenzen. Eine ähnliche Perspektive spielt auch bei OpenClaw Mission Control eine Rolle, wo Governance und Auditierbarkeit für größere Installationen im Mittelpunkt stehen.

Plugin-Approval-Hooks für kritische Aktionen

Bisher konnte ein OpenClaw-Plugin jeden Tool-Call ausführen, für den es Berechtigungen besaß. Mit den neuen Approval-Hooks kann ein Plugin Tool-Ausführungen pausieren und den Nutzer aktiv um Genehmigung bitten, bevor kritische Aktionen durchgeführt werden.

Funktionsweise und Integration

Der neue Hook arbeitet asynchron. Ruft ein Plugin eine Approval-Anfrage auf, wird die Ausführung unterbrochen. Die Aufforderung zur Genehmigung kann den Nutzer über verschiedene Kanäle erreichen:

• Telegram-Buttons direkt im Chat
• Discord-Interactions wie Slash-Commands oder Buttons
• ein Exec Approval Overlay im CLI-Modus
• einen generischen Approval-Befehl auf unterstützten Kanälen

Ein Plugin, das Dateien löschen kann, fragt so beispielsweise vorab, ob eine wichtige Konfigurationsdatei wirklich entfernt werden soll. Die finale Entscheidung liegt beim Nutzer.

Einheitlicher Genehmigungs-Workflow

Der Approval-Workflow wird damit breiter nutzbar. Statt kritische Plugin-Aktionen separat zu behandeln, können sie in denselben Kontrollpfad eingebunden werden wie andere riskante Operationen. Das reduziert Sonderlogik und macht es für Nutzer leichter zu verstehen, wann eine Aktion nur vorgeschlagen und wann sie tatsächlich ausgeführt wird.

Erweiterte Security-Audits für API-Keys

Die Security-Audits von OpenClaw durchsuchen Konfigurationen nach versehentlich hinterlegten API-Keys – ein bekanntes Risiko, insbesondere bei Web-Search-Keys. Laut offiziellen Release Notes wurden die Audits auf zusätzliche Provider ausgeweitet: Gemini (Google), Grok/xAI, Kimi (Moonshot AI), Moonshot selbst sowie den Aggregator OpenRouter.

Schutz vor versehentlichen Leaks

Viele Nutzer konfigurieren diese Provider, übersehen aber, dass API-Keys in Konfigurationsdateien oder Umgebungsvariablen verbleiben können. Landen diese Dateien in Repositories oder werden geteilt, sind die Keys potenziell kompromittiert.

Die erweiterten Audits sollen laut Entwickler-Angaben auch Credentials dieser Provider über einen Registry-Shim erkennen. Selbst wenn Keys indirekt über Wrapper oder Hilfsskripte eingebunden sind, kann das Audit anschlagen. Wer beispielsweise OpenRouter für kostengünstige Modelle und Kimi für spezifische Sprachaufgaben in einem privaten Git-Repo nutzt, erhält so zusätzliche Warnsignale, bevor sensible Daten versehentlich geteilt werden.

Weitere wichtige Änderungen

Breaking Changes und Migrationen

Die veraltete OAuth-Integration für das Qwen-Portal wurde entfernt. Nutzer müssen laut Release Notes künftig Model Studio über API-Key-basierte Authentifizierung verwenden. Zudem schlagen Konfigurations-Migrationen für Legacy-Keys, die älter als zwei Monate sind, bei der Validierung fehl, anstatt automatisch migriert zu werden. Das zwingt zur Aktualisierung veralteter Konfigurationen und reduziert versteckte Kompatibilitätsprobleme.

Provider-Updates und CLI-Verbesserungen

Bei den Providern wechselt xAI zur Responses API, integriert x_search nativ und aktiviert das xAI-Plugin automatisch aus Web-Search- und Tool-Konfigurationen. MiniMax erhält einen Image-Generation-Provider für das image-01-Modell, während OpenAI den Patch-Modus standardmäßig für OpenAI- und Codex-Modelle aktiviert.

Zusätzlich gibt es Verbesserungen bei den ACP-Bindings: Ein entsprechender Binding-Workflow kann bestehende Chats in unterstützten Messengern direkt in einen Codex-basierten Workspace verwandeln, ohne einen Child-Thread zu erstellen. OpenCLI-Backends wie Claude CLI oder Gemini CLI werden laut Release Notes automatisch geladen, sofern sie in der Konfiguration referenziert sind.

Nächste Schritte für Nutzer und Entwickler

Für Nutzer und Entwickler ergeben sich daraus vier praktische Aufgaben:

• System aktualisieren: Neue Sicherheitsfeatures sollten nach einem Update aktiv geprüft werden.
• Plugins anpassen: Entwickler sollten Approval-Hooks in kritische Tool-Calls integrieren.
• Sicherheit prüfen: Security-Audit-Warnungen sind besonders wichtig, wenn die neu unterstützten Provider genutzt werden.
• Workspaces testen: Direkte ACP-Bindings in Messenger-Diensten können helfen, Thread-Overhead zu reduzieren.

Was daraus folgt

Das Release schließt zwei wichtige Lücken im Sicherheitsmodell für KI-Agenten. Die verbesserte Nutzerkontrolle über Plugin-Aktionen und die präzisere Erkennung von API-Key-Leaks reduzieren Risiken bei Fehlfunktionen oder kompromittierten Credentials.

Mit zunehmender Autonomie der Agenten wachsen auch die Anforderungen an Sicherheit und Nachvollziehbarkeit. Approval-Hooks und erweiterte Audits sind dafür keine Komplettlösung, aber ein wichtiger Schritt: Kritische Aktionen werden sichtbarer, Secrets werden breiter geprüft, und produktive Setups bekommen bessere Kontrollpunkte.