CorpClaw-Lite: Eine sichere Alternative zu OpenClaw für Unternehmensaufgaben
Beliebte LLM-Agenten wie OpenClaw machen Sicherheitsrisiken und die Single-User-Architektur deutlich. CorpClaw-Lite bietet eine Lösung für den Unternehmenseinsatz mit Fokus auf Datenschutz und Datensicherheit. Das Projekt ist Open-Source und legt Wert auf drei Schlüsselpunkte: Sicherheit, Multi-User-Modus und Unterstützung für lokale Modelle.
Fallstricke beliebter LLM-Agenten
OpenClaw und seine Forks, die Anfang 2026 an Popularität gewannen, haben gezeigt, dass Task-Automatisierung mit LLMs möglich ist, aber mit erheblichen Mängeln einhergeht. Hauptprobleme:
- Fehlende Benutzerisolierung: Agenten laufen lokal ohne Workspace-Trennung, was zu Datenlecks führt.
- Sicherheitslücken: Bekannte Fälle von Dateilöschungen und Daten, die an falsche Empfänger gesendet wurden.
- Begrenzte Unterstützung für lokale Modelle: Cloud-LLMs dominieren, aber lokale Modelle (4-8B Parameter) scheitern oft an komplexen Szenarien aufgrund von Kontextbeschränkungen.
Die Architektur von OpenClaw war von Anfang an nicht für mehrere Benutzer ausgelegt. Jeder Lauf ist eine separate Instanz für einen einzelnen Benutzer. Für den Unternehmenseinsatz ist das aufgrund von Datenschutz- und Zugriffsmanagement-Anforderungen inakzeptabel.
Sicherheitsarchitektur: Isolierung und Zugriffskontrolle
CorpClaw-Lite behebt diese Probleme auf Architekturebene. Wichtige Komponenten:
Strenge Container-Isolierung. Jeder Benutzer arbeitet in einem separaten Docker-Container mit network_mode: none – vollständiges Netzwerkzugriffsverbot. Benutzerdateien werden in einem isolierten Workspace gespeichert, der nur ihrem Container gemountet ist. Das verhindert Datenübertragungen zwischen Benutzern. Alle Netzwerkoperationen (z. B. Web-Anfragen) werden an den Host oder Remote-MCP-Server ausgelagert. Die Kommunikation ist durch HMAC-SHA256-Signaturen und Schutz vor Replay-Attacks gesichert.
Rollengestützte Zugriffskontrolle (RBAC). Das Projekt unterstützt 10 Abteilungen, jede mit eigenem Toolset und Limits (Iterationen, Tool-Aufrufe, Ausführungszeit). Beispielsweise kann ein Buchhalter das search_files-Tool nicht im Workspace eines anderen sehen, und eine HR-Sekretärin kann exec_script nicht ausführen.
ToolGuard — mehrstufige Tool-Validierung. Vor jedem Tool-Aufruf prüft das System gegen Regeln. Umgesetzt mit über 20 YAML-Regeln mit Regex-Mustern, kategorisiert nach Bedrohungsstufe:
CRITICAL: Automatisches Blocken (z. B.rm -rf)HIGH/MEDIUM: Bestätigungsaufforderung an den BenutzerINFO: Logging
Zusätzlich kommen Smart Approvals zum Einsatz: Ein LLM bewertet das Risiko des Befehls. Bei Sicherheit erfolgt automatische Ausführung. Bei unklaren Aktionen erhält der Benutzer eine Bestätigungsaufforderung in Telegram über Inline-Buttons.
Arbeit mit lokalen Modellen: Stabilität und Flexibilität
CorpClaw-Lite ist für lokale LLMs optimiert. Wichtige Lösungen:
XML Tool Calling. Für Modelle ohne nativen Function-Calling-Support werden Tool-Aufrufe über XML geparst:
<invoke><name>read_file</name><arguments>{"path": "report.xlsx"}</arguments></invoke>
Es wird eine zweistufige Parsing angewendet: Native SDK → XML-Fallback → JSON-Repair-Loop. Das gewährleistet stabile Betriebsweise auch bei schwächeren Modellen wie Qwen3.5 9B in Q4_K_M-Quantisierung.
LLM Router. Leitet Aufgaben über YAML-Konfig an verschiedene Modelle:
- Vision-Aufgaben — an ein Vision-fähiges Modell
- Datenkonsolidierung — an ein kleineres lokales Modell
- Komplexe Agenten-Ketten — an ein leistungsstarkes Modell
Kalibrierungssystem. Ein Cloud-Modell analysiert, wie das lokale Modell typische Szenarien bewältigt, und passt System-Prompts, Tool-Beschreibungen und Few-Shot-Beispiele automatisch an. Nach der Kalibrierung wird kein Cloud-Modell mehr benötigt — die gesamte Last verlagert sich auf lokal. Die Kalibrierung bearbeitet nur YAML/Markdown-Konfigs, ohne Python-Code zu ändern.
Kontext- und Speicherverwaltung
Um die Leistung bei langen Sessions zu erhalten, sind folgende Mechanismen implementiert:
- Kontext-Konsolidierung. Alle 50 Nachrichten erzeugt das LLM eine Zusammenfassung, um den akkumulierten Kontext zu verkleinern. Der Prozess hat eine Abklingzeit und löst sich nicht während aktiver Workflows aus.
- Kontext-Kompression. Bei 80 % des maximalen Kontexts wird dreistufige Kompression angewendet:
1. Abschneiden alter Tool-Ergebnisse
2. Datensanierung
3. LLM-Zusammenfassung des Mittelteils unter Erhalt von Anfang und Ende
- Fact Base. Langfristige Daten werden in SQLite gespeichert. Der Agent kann benutzerspezifische Fakten schreiben und lesen, um persönliche Anweisungen zu erweitern.
Subagenten: Stabilitätsboost für lokale LLMs
Das Hauptproblem lokaler Modelle ist der Leistungsabfall bei wachsendem Kontext und Tool-Anzahl. CorpClaw-Lite nutzt Subagenten zur Aufgabenverteilung:
Der Hauptagent delegiert Aufgaben an einen Subagenten mit:
- Isoliertem Kontext
- Begrenztem Toolset
- Spezifischen Anweisungen und verbundenen Fähigkeiten
Nach Abschluss gibt der Subagent das Ergebnis an den Hauptagenten zurück. Das spart 60-80 % des Kontextfensters und verbessert die Stabilität.
Implementiert sind 5 Subagenten:
| Subagent | Tools | Zweck |
|----------------------|--------------------------------------------------------------------------|--------------------------------|
| filesystem-agent | read_file, list_files, search_files, write_file, edit_file | Dateioperationen und Suche |
| document-agent | read/write/edit_file, normalize_excel, list_files | Dokumentenbearbeitung |
| execution-agent | exec_script, write_file, read_file | Skriptausführung |
| research-agent | web_fetch, read_file, search_files, memory | Web-Recherche |
| data-agent | table_query, chart_generate, convert_format, pdf_reader, diff_text | Datenanalyse, SQL, Diagramme |
Vorteile: Schnellere Leistung lokaler Modelle, reduzierter Kontext. Nachteil: Potenziell unzureichende Eingabeanweisungen, kompensiert durch Fähigkeiten und Isolierung.
Praktischer Einsatz über Telegram
Die Interaktion mit CorpClaw-Lite erfolgt über einen Telegram-Bot:
- Admin registriert Benutzer per Telegram-ID und weist Rolle zu.
- Beim ersten Start absolviert der Benutzer Onboarding (6 Fragen zu Vorlieben), das eine personalisierte Anweisungsdatei erzeugt.
- Agenten-Interaktion über Bot-Befehle:
/start — Registrierung und Begrüßung
/delete — Interaktiver Dateimanager (Löschung nur mit Bestätigung)
/setup — Onboarding wiederholen
/new — Gesprächsverlauf zurücksetzen
Wichtige UX-Entscheidung: Dateilöschung nur über interaktive UI mit Bestätigung. Der Agent kann Dateien auf LLM-Befehl physisch nicht löschen — Schutz vor Halluzinationen. Während Aufgaben zeigt der Bot Fortschritt (z. B. 📂 Lese Datei...), damit Benutzer Aktivität sehen.
Wichtige Erkenntnisse
- Container-Isolierung stellt sicher, dass Benutzer keine Daten oder Netzwerkzugriffe teilen.
- ToolGuard mit Smart Approvals blockt gefährliche Befehle vor der Ausführung und minimiert Risiken.
- Lokale LLM-Optimierung über XML Tool Calling und Subagenten macht es nutzbar ohne Cloud-APIs.
- Flexibles RBAC mit 10 Abteilungen skaliert leicht auf Geschäftsprozesse.
- Kontextkontrolle verhindert Leistungsabfall bei langen Sessions.
— Editorial Team
Noch keine Kommentare.