Episode 44: OpenClaw v2026.4.29 – Active-Run-Steuerung

OPENCLAW DAILY — EPISODE 044 — 1. Mai 2026

[00:00] INTRO / HOOK OpenClaw v2026.4.29 dominiert die Episode, weil es konkretes Operatorverhalten sofort verändert: Active-Run-Steering, Visible-Reply-Routing, Heartbeat-gestützte Zusagen, personenbewusstes Memory, Modellkatalog-Verhalten, striktere Tool-Profile, Startup-Recovery und Kanalzuverlässigkeit.

Dieses Release verändert viel operatives Verhalten. Active-Run-Queueing defaultet jetzt auf Steering statt auf One-at-a-Time-Legacy-Queueing. Sichtbare Antworten können durch das Message-Tool erzwungen werden. Follow-up-Zusagen werden zu opt-in Heartbeat-Arbeit mit Extraktions- und Delivery-Limits. Subagent-Events tragen Routing-Metadaten. Memory erhält personenbewusste Wiki-Metadaten, Provenienz-Ansichten, per-Konversation Active-Memory-Filter, partiellen Recall bei Timeout und bounded REM Preview Diagnostics. Provider-Abdeckung erweitert sich durch NVIDIA-Onboarding, schnellere manifest-basierte Modell- und Auth-Pfade, Bedrock Opus 4.7 Thinking-Parität und sichereres Codex/OpenAI-kompatibles Replay-Verhalten. Sicherheit und Betrieb fügen strikteres restrictive-profile Tool-Handling, OpenGrep-Scanning, schärfere GHSA-Triage-Policy, sichereres Owner-Scope-Handling, Docker-Onboarding-Automatisierung und web-fetch IPv6 ULA Opt-in für vertrauenswürdige Proxy-Stacks hinzu.

Die Fix-Liste ist ebenfalls sehr operativ: Slow-Host-Startup, wiederverwendbare Modellkataloge, Event-Loop-Readiness-Diagnostics, Runtime-Dependency-Repair, Stale-Session-Recovery, versions-scoped Update-Caches, Slack Block Kit Limits, Telegram-Proxy- und Polling-Resilienz, Discord-Startup/Rate-Limit-Verhalten, WhatsApp-Delivery und Liveness, Signal-Media- und Receive-Streams, Feishu Empty-Message-Handling, Matrix- und Teams-Edges sowie systemd Restart-Loop-Prävention.

Nach dem Release Deep Dive deckt die Episode zwei Sicherheitsgeschichten mit primären technischen Oberflächen ab: Ciscos Model Provenance Kit für Modell-Lineage-Checks und OpenAI Advanced Account Security für phishing-resistenten ChatGPT- und Codex-Kontoschutz.

[02:30] STORY 1 — OpenClaw v2026.4.29 Macht Active Runs, Memory, Provider, Startup, Sicherheit und Kanäle Kontrollierbarer Beginnen wir mit dem Active-Run-Verhalten, denn hier verändert das Release die Tag-zu-Tag-Agent-Interaktion.

OpenClaw defaultet Active-Run-Queueing jetzt auf steer, mit einem 500ms Follow-up-Fallback-Debounce. Das ältere One-at-a-Time-Verhalten bleibt als queue verfügbar. Der Unterschied ist bedeutsam. In einem langlebigen Agent-Turn kann ein User Follow-up-Anweisungen senden, während das Modell noch arbeitet. Ein Queue-Modus, der einfach Messages stapelt, kann dazu führen, dass der nächste Turn hinter dem aktuellen Zustand zurückbleibt. Steering ist anders: Pending Pi Steering Messages drainen an der nächsten Modellgrenze, sodass der Agent akzeptierte Follow-ups an dem Punkt einbeziehen kann, wo er sicher den Kurs ändern kann.

Die operative Frage ist nicht nur „kann ein User eine weitere Nachricht senden?" Sie lautet „Wann wird diese Nachricht Teil des Agenten-Plans?" Steering macht die Grenze explizit. Die Runtime kann Follow-ups akzeptieren, debouncen und an einer sicheren Modellgrenze anwenden, anstatt beliebige Tool-Ausführung zu unterbrechen oder die Nachricht nach App-Server-Cleanup zu verlieren. Das Release flusht auch akzeptierte debouncte Codex Steering Messages vor normalem App-Server-Turn-Cleanup, sodass ein bestätigtes Follow-up nicht verschwindet, wenn der Turn schnell abgeschlossen wird.

Visible-Reply-Enforcement ist eine weitere wichtige Messaging-Kontrolle. Die neue globale messages.visibleReplies-Einstellung lässt Operatoren sichtbare Ausgabe für jede Quell-Chat durch message(action=send) erfordern, während messages.groupChat.visibleReplies als Gruppen- oder Kanal-Override verfügbar bleibt. Das ist ein Routing-Vertrag. Wenn das System sagt, dass eine Antwort durch das Channel-Message-Tool sichtbar sein muss, sollte der Agent einen Turn nicht leise abschließen, ohne eine benutzer sichtbare Antwort zu produzieren. Der zugehörige Fix für Group Chats fällt auf automatische Quell-Lieferung zurück, wenn ein Kanal Message-Tool-only Replies vorberechnet, aber das Message-Tool nicht verfügbar ist. Das verhindert, dass Discord- oder Slack-Style-Group-Turns stillschweigend ohne sichtbare Antwort abgeschlossen werden.

Subagent-Routing-Metadaten verbessern sich ebenfalls. Gateway-Events surfen jetzt spawnedBy auf Subagent-Chat und Agent-Broadcast-Payloads. Das gibt Clients genug Informationen, um Child-Session-Events zu routen, ohne einen separaten Session-Lookup durchzuführen. In einem Multi-Agent-UI oder Chat-Integration ist das wichtig, weil Child-Work am Parent-Request angehängt bleiben sollte, insbesondere wenn gespawnte Sessions im Hintergrund arbeiten, delegierte Recherche durchführen oder tool-intensive Arbeit leisten.

Dann gibt es inferierte Follow-up-Zusagen. Das Release fügt Opt-in-Zusagen mit hidden batched Extraction, per-Agent und per-Kanal-Scoping, Heartbeat-Delivery, CLI-Management, commitments.enabled, commitments.maxPerDay und Heartbeat-Intervall Due-Time-Clamping hinzu, damit Reminder nicht sofort auf magische Weise auslösen. Das ist die richtige vorsichtige Form. Automatisiertes Follow-up ist nützlich, aber es kann creepy oder noisy werden, wenn jede vage zukünftige Phrase zum Reminder wird. Scoping, Extraktionslimits, Delivery durch Heartbeat und per-Day-Caps lassen Operatoren es absichtlich machen.

Die praktische Empfehlung ist, Commitments nur dort zu aktivieren, wo Kanal und Agent-Rolle es rechtfertigen. Ein persönlicher Assistent kann von einer bounded „check back later"-Fähigkeit profitieren. Ein öffentlicher Group-Bot sollte wahrscheinlich keine Reminder aus Casual Conversation inferieren. Die Konfiguration muss Kanalnormen, Agent-Rolle und Delivery-Risiko widerspiegeln.

[12:00] STORY 1B — Memory Wird Personenbewusster, Stärker Gefiltert und Inspectable Memory ist der zweite große Release-Bereich. OpenClaw fügt agent-facing People Wiki-Metadaten, kanonische Aliase, Person-Cards, Relationship-Graphs, Privacy- und Provenienz-Reports, Evidence-Kind-Drilldown und Suchmodi für Person-Lookup, Question-Routing, Source-Evidence und Raw-Claims hinzu.

Das ist ein bedeutsamer Schritt über generischen Recall hinaus. People-Memory ist nicht nur ein weiterer Dokumentenindex. Eine Person kann Aliase, Beziehungen, Präferenzen, Rollen, Privacy-Constraints und Evidenz mit unterschiedlicher Zuverlässigkeit haben. Wenn ein Agent sich erinnert „Alex said X", braucht der Operator zu wissen, welcher Alex, welche Quelle, welche Konversation, welche Behauptung und ob die Evidenz stark genug ist, um sie zu nutzen. Person Cards und Relationship Graphs geben Agenten einen strukturierten Weg, über Identität und Kontext zu reasonen, ohne alles in ein Text-Blob zu flachen.

Die Provenienz-Ansicht ist besonders wichtig. Memory-Systeme versagen, wenn sie alte, schwache oder fehlattribuierte Fakten sicher klingen lassen. Evidence-Kind-Drilldown lässt das System Raw-Claims, Source-Evidence, generierte Related-Links und lesbare Body-Snippets trennen. Das Release hält auch breite Shared-Source- und generierte Related-Link-Blöcke davon ab, jede Seite in einen Search-Hit zu verwandeln, cappt noisy Backlinks, unterstützt All-Term-Searches wie People-Routing-Queries und bevorzugt lesbare Page-Body-Snippets gegenüber generiertem Metadata.

Active Memory erhält ebenfalls schärfere Filter. Optionale per-Konversation allowedChatIds und deniedChatIds lassen Operatoren Recall nur für ausgewählte Direct-, Group- oder Channel-Conversations aktivieren, während breite Sessions übersprungen bleiben. Das ist ein Privacy- und Relevance-Feature. Ein Workspace könnte Recall in einem privaten Operations-Chat wollen, aber nicht in einem noisy öffentlichen Kanal. Ohne Filter kann Recall zu breit werden, selbst wenn das zugrunde liegende Memory-System technisch funktioniert.

Timeout-Verhalten verbessert sich ebenfalls. Active Memory kann bounded Partial-Recall-Summaries zurückgeben, wenn der Hidden-Memory-Subagent timeoutet, einschließlich des Default-Temporary-Transcript-Paths, sodass nützlicher wiederhergestellter Kontext nicht verworfen wird. Das ist der richtige Zuverlässigkeits-Tradeoff: Ein timed-out Recall sollte nicht unbedingt zu Zero-Recall werden, wenn ein sicheres Partial-Summary verfügbar ist. Operatoren brauchen bounded Output und klare Diagnostics statt All-or-Nothing-Verhalten.

Es gibt auch ein read-only doctor.memory.remHarness RPC für bounded REM-Dreaming-Previews ohne Mutation-Paths. Das gibt Operator-Clients einen Weg zu inspecten, was die Memory-Dreaming-Maschinerie produzieren würde, ohne tatsächlich Memory zu promoten oder zu ändern. Für Memory-Systeme sollten Preview und Mutation getrennt sein. Debugging einer Memory-Pipeline sollte nicht versehentlich den Memory-Store umschreiben.

[20:00] STORY 1C — Provider, Modellkataloge, Startup-Diagnostics und Runtime-Deps Werden Vorhersehbarer Provider- und Modellabdeckung erweitert sich mit NVIDIA-Onboarding und statischem Katalog-Metadata. Der NVIDIA-Provider enthält API-Key-Onboarding, Setup-Docs, statische Katalog-Zeilen und Literal-Model-Ref-Picker-Support, sodass gehostete NVIDIA-Modelle mit intaktem Provider-Prefix ausgewählt werden können. Das Release persistiert auch den NVIDIA_API_KEY-Provider-Marker und markiert gebündelte NVIDIA Chat Completions-Modelle als string-content-kompatibel, sodass NIM-Modelle aus models.json laden und OpenAI-kompatible Subagent-Calls Plain-Text-Content senden.

Der operative Punkt ist Provider-Identität. Wenn ein Model-Ref sein Provider-Prefix behalten muss, sollte der Picker es nicht in einen ambiguen String normalisieren. Wenn der Provider einen Marker-Key hat, sollten Onboarding- und Katalog-Verhalten das erinnern. Wenn ein kompatibler Endpoint Plain-Text-Content für Subagent-Calls erwartet, sollte die Runtime die Anfrage entsprechend formen. Diese Details sind individuell klein, aber sie bestimmen, ob ein Provider zuverlässig in echten Agent-Flows funktioniert.

Bedrock-Unterstützung erhält Thinking-Profile-Parität für Claude Opus 4.7. Das Release macht die Denkprofile xhigh, adaptive und max für Bedrock-Modellreferenzen verfügbar, während Opus und Sonnet 4.6 weiterhin adaptiv-voreingestellt bleiben. Außerdem wird das deprecated temperature für Opus 4.7 Bedrock-Modell-IDs, benannte Profile und Anwendung-Inferenzprofile weggelassen, und verschachtelte Validierungsantworten werden für Failover klassifiziert. Das ist ein weiteres Beispiel für providerspezifische Korrektheit. Dieselbe Modelfamilie kann unterschiedliche Transportregeln haben, je nachdem, ob sie direkt oder über Bedrock aufgerufen wird.

Die Modellkatalog-Zuverlässigkeit verbessert sich ebenfalls. Gateway-Modelle können den letzten erfolgreichen Modellkatalog bedienen, während veraltete Neuladevorgänge im Hintergrund aktualisiert werden. Das verhindert, dass Control-Plane- und OpenAI-kompatible Anfragen hinter der Modell-Provider-Wiederentdeckung nach Modellkonfigurationsänderungen blockieren. Auf langsamen Hosts ist das eine große Verbesserung der Benutzerfreundlichkeit: Der Katalog kann kurzzeitig veraltet sein, aber das Gateway hört nicht auf zu antworten, während es alles neu lädt.

Startup-Diagnose wird expliziter. Gateway-Diagnose kann eine opt-in Startup-Zeitleiste emitieren, die Lebenszyklus- und Plugin-Lade-Phasen hinter einem Konfigurationsflag aufzeichnet, sodass langsamer Start nicht länger eine benutzerdefinierte Instrumentierung erfordert. Das gibt Betreibern eine Möglichkeit zur Beantwortung der Frage: Wo ging die Bootzeit verloren? War es Konfigurationsvalidierung, Plugin-Metadaten, Provider-Discovery, Kanalstart, Laufzeit-Abhängigkeitsreparatur oder Event-Loop-Bereitschaft?

Laufzeit-Abhängigkeitsreparatur erhält eine umfangreiche Überarbeitung. Das Release ersetzt veraltete symlinkierte Spiegel-Zielwurzeln, bevor temporäre Dateien für den Laufzeit-Spiegel geschrieben werden, überspringt das Umschreiben bereits materialisierter Hardlinks, schreibt Abhängigkeitskarten auch wenn Pläne leer sind, verifiziert bereitgestellte Paket-Eintragsdateien vor der Wiederverwendung gespiegelter Wurzeln, bevorzugt require-bedingte Exports für CommonJS-only-Plugin-Abhängigkeiten, begrenzt verpackte Node-Compile-Caches nach OpenClaw-Version und Installationsmetadaten, und bereinigt veraltete openclaw-unknown-*-Wurzeln während des Gateway-Startups, während neuere oder gesperrte Wurzeln erhalten bleiben. Die Builder-Erkenntnis: verpackte Plugin-Abhängigkeiten sind ein Betriebssystem innerhalb des Betriebssystems. Sie brauchen Sperren, Versions-Scoping, Reparatur und sichere Ersetzungssemantik.

[29:00] GESCHICHTE 1D — Sicherheit und Kanal-Fixes Verengen Echte Fehlermodi Security/tools ist eine der wichtigsten Verhaltensänderungen in v2026.4.29: konfigurierte tools.exec- und tools.fs-Abschnitte erweitern restrictive Profile wie messaging und minimal nicht mehr implizit. Wenn Benutzer diese Tools unter einem restrictiven Profil benötigen, müssen sie explizite alsoAllow-Einträge hinzufügen, und der Startup warnt bei betroffenen Konfigurationen.

Das ist eine sauberere Sicherheitsgrenze. Ein restrictives Profil sollte restrictiv bedeuten. Wenn ein Konfigurationsabschnitt für Exec- oder Dateisystem-Tools das Profil stillschweigend erweitert, könnten Betreiber denken, dass ein Agent mit einer engen Angriffsfläche läuft, während er tatsächlich mehr tun kann. Das Erfordernis von alsoAllow macht die Erweiterung absichtlich und überprüfbar.

OpenGrep-Scanning wird mit einem präzisen Rulepack, Source-Rule-Compiler, Provenienz-Metadaten-Prüfungen und PR/Vollständige-Scan-Workflows hinzugefügt, die Erstanbieter-Code und Nur-Rulepack-Änderungen validieren und SARIF auf GitHub Code Scanning hochladen. Das ist nützlich, weil Sicherheitsautomatisierung reproduzierbar sein sollte. Ein Rulepack braucht Provenienz, einen Compiler-Pfad, Validierung, CI-Workflows und ein Standard-Ausgabeformat wie SARIF, damit Findings dort landen, wo Betreuer bereits Code-Sicherheit triagieren.

Gateway/systemd-Verhalten erhält eine konkrete operative Korrektur: Supervised Lock und EADDRINUSE-Konflikte beenden jetzt mit sysexits 78, sodass RestartPreventExitStatus=78 Restart=always-Schleifen stoppt, anstatt wiederholt Plugins gegen einen belegten Port neu zu laden. Das ist ein klassischer Service-Management-Fehlermodus. Wenn bereits ein anderes Gateway den Port besitzt, behebt endloses Neustarten des Dienstes den Konflikt nicht; es verbrennt CPU, wälzt Logs und kann wiederholt Plugins in einen schlechten Zustand laden. Ein deterministischer Exit-Code ermöglicht es dem Service-Manager, weitere Versuche zu stoppen.

Stale-Session-Wiederherstellung ist ebenfalls konservativer. OpenClaw kann veraltete Session-Lanes freigeben, während aktive eingebettete Läufe, Reply-Operationen und Lane-Aufgaben serialisiert bleiben, sodass eingereihte Follow-ups abfließen können, ohne legitime langlebige Arbeit abzubrechen. Doctor und Task-Wartung können verwaiste Subagenten mit persistierten Wiederherstellungsversuchen und verklemmten Session-Tombstones abgleichen. Das Produktziel ist die Wiederherstellung von veralteter Buchführung, ohne jede lange Aufgabe als steckengeblieben zu behandeln.

Kanal-Fixes sind umfangreich. Slack erhält einen großen Block Kit-Durchgang: native Befehlsargument-Menüs bleiben innerhalb der Options-Limits, Fallback-Button-Labels und -Werte werden bei Bedarf gekürzt oder verworfen, Bestätigungstext wird auf Dialog-Limits begrenzt, Genehmigungsmetadaten und Update-Fallback-Text bleiben innerhalb der Slack-Limits, Message-Tool-Präsentation und interaktive Blöcke werden zusammengeführt, und Fallback-Text wird für Sends und Edits begrenzt. Der praktische Fehlermodus ist einfach: ein überdimensionierter Button-Wert oder Fallback-String kann Slack dazu bringen, die gesamte Block-Nutzlast abzulehnen. Das Release sorgt dafür, dass der Adapter gültige interaktive Struktur bewahrt, während ungültige Teile abgeschnitten werden.

Telegram-Fixes konzentrieren sich auf Proxy-Verhalten, Polling, Webhooks, Zitate und sichere Sends. Telegram honoriert ALL_PROXY, all_proxy und Service-Level OPENCLAW_PROXY_URL für HTTP/1 Bot API Transport. Long-Polling-Timeouts werden geklemmt, sodass niedrig konfigurierte Werte keine frischen HTTPS-Verbindungen alle paar Sekunden erzwingen. Polling-Liveness-Warnungen erscheinen im Kanalstatus und bei Doctor. Webhook-Laufzeitstatus warnt, wenn die Registrierung nicht abgeschlossen wurde. Zitat-Antworten werden ohne veraltete oder ungültige Zitat-Auszüge wiederholt. Safe-Send-Wiederholung vermeidet doppelte sichtbare Nachrichten bei mehrdeutigen Netzwerkumschlägen. Das Muster ist begrenzte Resilienz: Verhindern, dass vorübergehende Netzwerkfehler das Gateway töten, aber blindes Duplizieren von benutzer sichtbaren Antworten unterlassen.

Discord-Fixes decken Startup und Rate-Limit-Handling, Thread-gebundene ACP-Auflösung, langes CJK-Chunking, Unterdrückung duplizierter Gateway-Monitore, Kanal-Gesundheitszusammenfassungen, Startup-Closed-Verhalten wenn Bot-Identität nicht aufgelöst werden kann, begrenzte WebSocket-Handshakes und Cooldowns für Cloudflare/Error 1015 HTML 429-Antworten unter Verwendung von Retry-After, wenn verfügbar, ab. WhatsApp-Fixes erfordern echte Baileys-Outbound-Nachrichten-IDs, bevor Auto-Antworten als zugestellt markiert werden, exponieren Liveness- und Timeout-Einstellungen, stellen Listener nach bestimmten Reconnect-Stalls wieder her und loggen Dispatcher-Zustellfehler mit genügend Identifikatoren zum Debuggen von Tippen-ohne-Senden-Berichten. Signal-Fixes umfassen Gruppen-Allowlist-Matching, Installer-Download-Caps, Medien-Antwort-Caps und langlebiges Receive-SSE-Verhalten. Feishu überspringt leer-text-Nachrichten, die kein Medium tragen, damit leere Benutzer-Turns nicht in Sessions geschrieben werden.

Das Release-Urteil: v2026.4.29 dreht sich um das Kontrollierbarer-Machen von Live-Agenten-Systemen. Es verengt mehrdeutiges Queue-Verhalten, sichtbare Antwortzustellung, Follow-up-Automatisierung, Memory-Provenienz, Provider-Kataloge, Startup-Diagnose, restrictive Tool-Profile, veraltete Sessions, Service-Neustart-Schleifen und Kanal-Adapter-Fehlermodi.

[39:00] GESCHICHTE 2 — Cisco Model Provenance Kit Macht Modell-Abstammung Zur Supply-Chain-Prüfung Ciscos Model Provenance Kit ist eine starke AI-Infrastruktur-Geschichte, weil es eine grundlegende Frage adressiert, die immer schwerer zu beantworten ist: Woher kam dieses Modell eigentlich?

Modellkarten, Repository-Namen und Metadaten sind nützlich, aber sie reichen allein nicht aus. Modelle werden feinabgestimmt, zusammengeführt, quantisiert, destilliert, konvertiert, umbenannt, neu verpackt und redistribuiert. Ein Downstream-Team erhält möglicherweise einen Checkpoint, der behauptet, von einer Familie abgeleitet zu sein, aber die tatsächlichen Gewichte, Tokenizer oder Architektur erzählen eine kompliziertere Geschichte. Das ist wichtig für Lizenzierung, Vulnerability-Response, Sicherheitsüberprüfung, Benchmark-Interpretation und Deployment-Richtlinie.

Das Kit wird als Python-Toolkit und CLI mit Compare- und Scan-Workflows beschrieben. Compare-Modus nimmt zwei Modelle, einschließlich Hugging Face oder lokaler Checkpoints, und zerlegt Ähnlichkeit über Architektur-Metadaten, Tokenizer-Struktur und Gewichtsebene-Signale. Scan-Modus startet mit einem Modell und gleicht es gegen eine Datenbank bekannter Fingerabdrücke ab, um nächste Abstammungskandidaten zu identifizieren.

Der technische Detail ist, dass das Kit nicht nur auf Namen schaut. Es analysiert Signale wie Embedding-Geometrie, Normalisierungsschichten, Energieprofile, direkte Gewichtsvergleiche, Tokenizer-Struktur und Architektur-Metadaten. Diese Signale sind wichtig, weil Metadaten gefälscht oder entfernt werden können. Gewichtsebene-Beweis ist schwerer zu fälschen, wenn das Ziel die Modellherkunft zu verbergen ist, während das Modellverhalten erhalten bleibt.

Die anfängliche Fingerabdruck-Datenbank soll etwa 150 Basismodelle über mehr als 45 Modelfamilien und mehr als 20 Publisher abdecken. Diese Datenbank ist wichtig, weil Provenienz vergleichend ist. Ein Fingerabdruck ist am nützlichsten, wenn er gegen bekannte Referenzen abgeglichen werden kann. Ohne Referenzsatz kann ein Tool sagen, dass zwei Modelle ähnlich sind, aber es hat weniger Fähigkeit, ein Modell in einen breiteren Abstammungsgraphen einzuordnen.

Cisco veröffentlichte auch eine Model Provenance Constitution, die Ableitungsbeziehungen definiert wie direkte Abstammung, indirekte Abstammung, mechanische Transformation, Identität und Transitivität. Das ist nützlich, weil Abstammung ein Vokabular braucht. Feintuning, Quantisierung, Formatkonvertierung und Zusammenführung sind nicht dieselbe Beziehung. Eine Deployment-Richtlinie kann eines erlauben und ein anderes ablehnen.

Für Betreiber ist der praktische Ort für die Verwendung eines solchen Tools die Modell-Aufnahme-Pipeline. Bevor ein Modell für die Produktion genehmigt wird, scannen Sie es. Vergleichen Sie es mit der behaupteten Basis-Familie. Speichern Sie das Fingerabdruck-Ergebnis mit dem Modell-Artefakt. Verknüpfen Sie diesen Beweis mit Lizenzierungsüberprüfung, Sicherheitsüberprüfung, Benchmark-Ergebnissen und Deployment-Gates. Wenn später eine Vulnerability oder Richtlinienproblem eine Basis-Familie betrifft, hilft Provenienz-Beweis bei der Identifizierung, welche deployed Modelle möglicherweise downstream sind.

Es gibt Einschränkungen. Fingerprinting ist Beweis, kein magisches Zertifikat. Ein hoher Ähnlichkeitswert erfordert Interpretation. Fine-Tunes, Merges, Pruning, Quantisierung und Formatkonvertierung können Signale auf unterschiedliche Weise verändern. Eine Fingerabdruck-Datenbank kann unvollständig sein. Proprietäre Modelle sind möglicherweise nicht als Referenzen verfügbar. Aber die Richtung ist richtig: Der Modellursprung sollte überprüfbares operatives Beweismaterial werden, nicht nur ein Label.

Die für OpenClaw relevante Erkenntnis ist, dass Agent-Runtimes zunehmend von Modell-Lieferketten abhängen. Wenn ein Agent lokale Modelle, gehostete Modelle, fine-getunte Modelle, Marktplatz-Modelle und konvertierte Checkpoints wählen kann, benötigt der Operator eine Möglichkeit, nicht nur zu fragen „läuft es?" sondern auch „wovon ist es abgeleitet, welche Richtlinie gilt, und welches Risiko folgt daraus?"

[47:00] GESCHICHTE 3 — OpenAI Advanced Account Security Härtet ChatGPT und Codex, da Agentenarbeit Sensibel Wird

OpenAIs Advanced Account Security-Release ist kein Modell-Release, aber es ist eine ernsthafte Agenten-Operations-Geschichte, da ChatGPT- und Codex-Konten nun nah an sensiblen Kontexten, Code, verbundenen Tools und hochriskanten Workflows liegen.

Der opt-in-Modus bündelt mehrere Schutzmaßnahmen. Er erfordert Passkeys oder physische Sicherheitsschlüssel und deaktiviert die passwortbasierte Anmeldung. Das macht phishing-resistente Authentifizierung zum Standard für eingeschriebene Konten. Ein gestohlenes Passwort sollte nicht ausreichen, um Zugang zu erhalten, da es keinen Passwort-Anmeldepfad gibt.

Konto-Wiederherstellungsänderungen sind ebenso wichtig. Advanced Account Security deaktiviert E-Mail- und SMS-Wiederherstellung und erfordert stärkere Wiederherstellungsmethoden: Ersatz-Passkeys, Sicherheitsschlüssel und Wiederherstellungsschlüssel. Das ist ein bewusster Kompromiss. E-Mail- und SMS-Wiederherstellung sind bequem, aber wenn ein Angreifer das E-Mail-Konto oder die Telefonnummer kontrolliert, werden diese Wiederherstellungspfade zu Kontodiebstahl-Pfaden. Stärkere Wiederherstellung reduziert dieses Risiko, bedeutet aber auch, dass OpenAI-Support keine eingeschriebenen Konten wiederherstellen kann, wenn der Benutzer die erforderlichen Wiederherstellungsmethoden verliert.

Sitzungen werden kürzer, um die Exposition zu reduzieren, wenn ein Gerät oder eine aktive Sitzung kompromittiert wird. Benutzer erhalten Anmelde-Benachrichtigungen und können aktive Sitzungen geräteübergreifend überprüfen und verwalten. Das ist wichtig, weil langlebige Sitzungen ein echtes Risiko darstellen, wenn ein Konto verbundene Tools, Code-Arbeit, Speicher oder sensible Gespräche enthält. Ein kürzeres Sitzungsfenster und eine klarere Sitzungsliste eliminieren Kompromittierung nicht, aber sie reduzieren die Verweilzeit und verbessern die Erkennung.

Automatischer Trainings-Ausschluss ist ebenfalls enthalten. Gespräche von eingeschriebenen Konten werden nicht zum Trainieren von OpenAI-Modellen verwendet. Für Hochrisiko-Benutzer und sensible Arbeit entfernt das eine Kontoebenen-Datenschutzentscheidung aus dem täglichen Workflow des Benutzers. Der Konto-Modus trägt die Datennutzungspräferenz automatisch.

Der Codex-Detail ist wichtig für Entwickler. OpenAI sagt, der Schutz gilt auch für Codex bei Zugriff über dieselbe Anmeldung. Das bedeutet, dass die Sicherheitseinstellung nicht nur Chat-Gespräche, sondern auch Coding-Agent-Workflows abdeckt. Codex kann Repositories, Diffs, Terminal-Ausgabe, Issue-Kontext und verbundene Entwicklungsarbeit berühren. Wenn ein Konto kompromittiert ist, ist das Risiko nicht nur jemand, der Chats liest; es kann Zugang zu Engineering-Kontext und agentischen Workflows werden.

OpenAI sagt auch, dass einzelne Mitglieder von Trusted Access for Cyber, die auf die leistungsfähigsten und permissivsten Cyber-Modelle zugreifen, ab dem 1. Juni 2026 Advanced Account Security aktivieren müssen. Organisationen mit Trusted Access können alternativ bestätigen, dass phishing-resistente Authentifizierung Teil ihres Single Sign-On-Workflows ist. Das ist ein starkes Signal, wohin die Kontosicherheit für Hochleistungs-KI-Zugriff geht: Stärkere Modelle und permissivere Tools erfordern stärkeren Kontoschutz.

Für Operatoren und Entwickler ist die praktische Lektion, Kontosicherheit an Fähigkeiten anzupassen. Wenn ein KI-Konto Codex verwenden, Tools verbinden, sensiblen Kontext halten oder auf fortschrittliche Cyber-Modelle zugreifen kann, sind Passwort-plus-E-Mail-Wiederherstellung nicht genug. Verwenden Sie phishing-resistente Authentifizierung. Pflegen Sie Ersatzschlüssel. Lagern Sie Wiederherstellungsschlüssel sicher. Überprüfen Sie aktive Sitzungen. Verkürzen Sie Sitzungsexposition. Und verstehen Sie die Wiederherstellungskosten, bevor Sie strengere Schutzmaßnahmen aktivieren.

Die beste Sicherheitseinstellung ist die, die der Benutzer tatsächlich aufrechterhalten kann. Advanced Account Security hebt die Messlatte an, aber es hebt auch die Verantwortung für Wiederherstellungshygiene. Die Bereitstellungsempfehlung ist, Schlüsselregistrierung, Ersatzschlüsselspeicherung, Wiederherstellungsschlüssel-Handhabung, Geräteaustausch und Offboarding zu dokumentieren, bevor Sie es für ein Team obligatorisch machen.

[54:00] OUTRO

Das Release-Lead ist OpenClaw v2026.4.29, weil es konkrete Operator-Oberflächen bewegt: Active-Run-Steuerung, Sichtbare-Antwort-Routing, Follow-up-Verpflichtungen, Subagent-Routing-Metadaten, Menschen-bewusstes Gedächtnis, Rückruf-Filter pro Konversation, partielle Erinnerung, NVIDIA-Provider-Onboarding, Bedrock-Denkprofile, Startup-Diagnose, Modellkatalog-Aktualisierungsverhalten, Werkzeuggrenzen für restriktive Profile, OpenGrep-Workflows, systemd Neustart-Schleifen-Prävention, stale-session-Wiederherstellung und Kanal-Adapter-Zuverlässigkeit.

Ciscos Model Provenance Kit ist die Modell-Lieferketten-Geschichte: Modelle vergleichen, gegen bekannte Fingerabdrücke scannen, Metadaten, Tokenizer und Gewichtsebene-Beweis inspizieren und Abstammung in einen Bereitstellungs-Check verwandeln.

OpenAI Advanced Account Security ist die Konto-Härtungs-Geschichte: Passkeys und Sicherheitsschlüssel, keine Passwort-Anmeldung, stärkere Wiederherstellung, kürzere Sitzungen, Anmelde-Benachrichtigungen, aktive Sitzungsüberprüfung, automatischer Trainings-Ausschluss, Codex-Abdeckung und strengere Anforderungen für hochfähigen Cyber-Zugriff.

Die praktische Erkenntnis: Live-Agent-Systeme brauchen explizite Kontrollgrenzen. Queueing, Speicher, Provider, Kanäle, Modelle und Konten brauchen alle Oberflächen, die Operatoren inspizieren, konfigurieren und wiederherstellen können.