OpenClaw aktualisiert das „Traum“-Erinnerungssystem: KI-Agenten können Notizen wiedergeben und fünf große Sicherheitslücken beheben

OpenClaw, eine Open-Source-Platform für KI-Agenten mit über 2 Mio. Nutzern, veröffentlichte am 9. April 2026 die neueste Version. Der zentrale Höhepunkt ist ein neues „Dreaming“-Speichersystem, das es KI-Agenten ermöglicht, frühere Notizen der Nutzer abzuspielen und so einen Langzeitspeicher aufzubauen. Dieses Update behebt zugleich mehrere Sicherheitslücken, darunter SSRF-Bypass und Umgebungsvariablen-Verunreinigung, und nur wenige Wochen liegen zwischen dem diesjährigen großen Cybersecurity-Vorfall im März.
(Vorgeschichte: Volltext der Rede von Jensen Huang auf dem GTC2026: KI-Nachfrage im Wert von mehreren hundert Milliarden Dollar, OpenClaw macht jedes Unternehmen zu einem AaaS)
(Zusatz zum Hintergrund: Jensen Huang steht hinter KI-Agenten: Treiben von Geschäften im Wert von mehreren hundert Milliarden Dollar – wie werden menschliche Jobs ersetzt?)

Inhaltsverzeichnis

Toggle

• Dreaming-System: Damit KI-Agenten „sich erinnern“, was du geschrieben hast
• Fünf Sicherheits-Patches: Folgearbeiten zum letzten Vorfall
• Weitere Anpassungen, die Aufmerksamkeit verdienen

Der Hummer (openClaw) erhält ein Update: Das am 2026.4.9 mit Abstand auffälligste ist nicht, wie lang die Funktionsliste geworden ist, sondern ein Sprung auf konzeptioneller Ebene – KI-Agenten bekommen jetzt die Fähigkeit zu „schlafen“.

Dreaming-System: Damit KI-Agenten „sich erinnern“, was du geschrieben hast

Die neue Version führt die REM backfill lane ein, mit der frühere daily notes der Nutzer schrittweise in das Dreams-Speichersystem zurückbefüllt werden. Anschließend werden sie durch staged promotion signals nach und nach verfestigt, um zu einem Langzeitspeicher zu werden. In Kombination mit einer neuen strukturierten Diary-UI können Nutzer über eine Zeitleiste historische Aufzeichnungen durchsuchen und backfill oder Reset selbst auslösen.

Ganz einfach gesagt: Die Arbeitsnotizen und Entscheidungszusammenhänge, die du vor ein paar Monaten in OpenClaw festgehalten hast, können nun von KI-Agenten „verdaut“ werden und in späteren Gesprächen proaktiv aufgerufen werden. Das bedeutet für langzeitintensive Nutzer, dass der Agent nicht mehr bei jedem Dialog bei null anfängt – sondern kein vergessender Assistent mehr ist.

Fünf Sicherheits-Patches: Folgearbeiten zum letzten Vorfall

Im März hatte Kaspersky berichtet, dass OpenClaw über 21.000 exponierte Instanzen aufgewiesen hat, die gescannt wurden, und dass auch bösartige skills-Plugins entdeckt und umherirrend gefunden wurden. Dieser Druck wird in diesem Update konkret adressiert.

Die fünf Sicherheitsbereiche, die in dieser Version gepatcht wurden, sind:

Die durch Browser-Interaktionen ausgelöste Navigation überprüft nun erneut das Ziel des jeweiligen Blocks und schließt damit die zuvor vorhandene Lücke, die sich über SSRF-Isolierung umgehen ließ; die Steuerungsvariablen aus .env-Dateien in nicht vertrauenswürdigen Workspaces werden direkt blockiert, um eine Verunreinigung der Umgebung zu verhindern; die Ausführungszusammenfassungen (exec.started / exec.finished / exec.denied), die von entfernten Knoten zurückgegeben werden, werden einheitlich als nicht vertrauenswürdige Quelle markiert und unterbrechen so die Pfade für Prompt-Injection; nicht vertrauenswürdige Plugins können nicht mehr mit dem auth ID des integrierten providers kollidieren, wodurch eine Angriffsfläche für Authentifizierungsverwechslung geschlossen wird; schließlich wird das Basispaket basic-ftp erzwungen auf 5.2.1 aktualisiert, um das Risiko von CRLF-Command-Injection zu mindern.

Diese fünf Patches sind keine völlig neue Architektur-Retrofit-Neugestaltung, sondern präzise Nachbesserungen für bekannte Schwachstellen. Das zeigt, dass das Entwicklungsteam nach dem Cybersecurity-Vorfall eine Patch-für-Punkt-Strategie zur Härtung verfolgt hat.

Weitere Anpassungen, die Aufmerksamkeit verdienen

Auf der Funktionsseite unterstützt das Tool zur Qualitätsbewertung des Rollen-„Vibes“ (character-vibes QA) nun die Modellauswahl und parallele Ausführung, sodass Entwickler die Leistungsunterschiede mehrerer Modelle gleichzeitig vergleichen können. Plugin provider auth aliases erlauben, dass verschiedene Plugins dieselbe Gruppe von Authentifizierungseinstellungen gemeinsam nutzen, wodurch die Verwaltungsbelastung in Szenarien mit mehreren Plugins vereinfacht wird.

Auf der Android-Seite wurden Probleme mit Restbeständen abgelaufener Pairing-Codes sowie fehlgeschlagenen Wiederholungen nach einem Hintergrund-Stopp behoben; auf iOS wird stattdessen die CalVer-Versionierungsregel verwendet, um sie an den Desktop abzugleichen. Die integrierten Verbindungen für Slack, Matrix, Telegram und Discord sind ebenfalls Teil des Reparaturumfangs.

OpenClaw wurde Ende 2025 vom Entwickler Peter Steinberger gegründet, und die Anzahl der GitHub-Stars hat inzwischen 250k überschritten. Jensen Huang hat in diesem Jahr auf dem GTC die Plattform ausdrücklich genannt und sie so beschrieben, dass sie „jedes SaaS zu einem AaaS“ macht. Das Live-Gehen des Dreaming-Speichersystems könnte genau der entscheidende Schritt in diese Richtung sein – damit der Agent wirklich versteht, „wer dieser Nutzer ist“, und nicht nur, „was in diesem Gespräch gesagt wurde“.