Wer 2026 KI-Agent-Runtimes evaluiert, hat wahrscheinlich schon bemerkt, dass die Landschaft ganz anders aussieht als noch vor einem Jahr. OpenClaw, das den Bereich für den Großteil von 2024 und 2025 dominierte, kämpft jetzt mit einer ernsthaften Sicherheitskrise. ZeroClaw hat sich als die am schnellsten wachsende Alternative etabliert. PicoClaw hat sich eine Nische für Entwickler erarbeitet, die etwas Minimales und Hackbares wollen.
Die Wahl zwischen ihnen ist nicht nur eine technische Entscheidung – sie ist ein Statement darüber, was einem wichtig ist: Ökosystemgröße, Performance, Sicherheit, Einfachheit oder eine Kombination aus allem.
Die drei Projekte
OpenClaw ist das Original. Es startete 2023 als TypeScript/Node.js-Projekt, wuchs schnell durch ein aktives Plugin-Ökosystem und hat jetzt über 300.000 GitHub-Stars. Die Web-UI ist poliert, der Plugin-Marktplatz (ClawHub) hat Tausende von Erweiterungen, und die Community ist riesig. Aktuell kämpft es mit CVE-2026-25253 (One-Click-RCE, CVSS 8.8) und CVE-2026-26327 (Authentifizierungs-Bypass).
ZeroClaw ist ein Rust-nativer Rewrite, der Performance und Sicherheit über Ökosystemgröße stellt. Es wurde Ende 2024 gestartet, erreichte Anfang 2026 über 18.000 GitHub-Stars und wächst schneller als jede andere Runtime in diesem Bereich. Es verwendet 4 MB RAM im Leerlauf, startet in unter 10 Millisekunden und wird als einzelnes Binary ohne Abhängigkeiten ausgeliefert.
PicoClaw ist ein Python-basierter minimaler Fork, der aus dem Wunsch der Community nach etwas Einfacherem als OpenClaw entstanden ist. Es hat einen kleineren Funktionsumfang, eine kleinere Community und eine kleinere Angriffsfläche.
Performance: Die Zahlen, die wirklich zählen
Der Performance-Unterschied zwischen diesen Runtimes ist größer als die meisten erwarten, und er hat echte Konsequenzen für Deployment-Optionen und Betriebskosten.
| Metrik | OpenClaw | ZeroClaw | PicoClaw | |--------|----------|----------|----------| | RAM (Leerlauf) | ~1,2 GB | ~4 MB | ~180 MB | | Cold Start | ~8 s | <10 ms | ~3 s | | Binary-Größe | ~800 MB (node_modules) | ~12 MB | ~50 MB (mit Deps) | | Sprache | TypeScript | Rust | Python | | Min. Hardware | 2 GB RAM VPS | 10 € SBC | 512 MB RAM VPS |
ZeroClaws Zahlen sind kein Marketing – sie sind die direkte Konsequenz von Rusts Zero-Cost-Abstraktionen und der Single-Binary-Architektur. Kein JavaScript-Runtime zum Initialisieren, kein Garbage Collector im Hintergrund, kein 1.200-Pakete-Dependency-Tree zum Laden.
Sicherheit: Wo der Unterschied am größten ist
Der Sicherheitsvergleich 2026 ist eindeutig.
OpenClaw kämpft aktuell mit zwei kritischen CVEs. CVE-2026-25253 ermöglicht One-Click-Remote-Code-Execution. CVE-2026-26327 ermöglicht Authentifizierungs-Bypass auf exponierten Instanzen. Über 42.000 OpenClaw-Instanzen wurden öffentlich exponiert gefunden, und 41,7 % der Skills auf ClawHub enthielten Schwachstellen.
ZeroClaws Sicherheitsmodell beginnt mit anderen Annahmen. Rusts Ownership-System eliminiert Buffer Overflows, Use-after-free-Schwachstellen und Data Races zur Compile-Zeit. Gateway-Pairing erfordert kryptografische Authentifizierung für Remote-Zugriff. Das Deny-by-Default-Allowlist-Modell bedeutet, dass Skills nur auf das zugreifen können, was ihnen explizit gewährt wurde.
PicoClaws Sicherheitsgeschichte ist einfacher: weniger Features bedeuten eine kleinere Angriffsfläche. Kein Plugin-Marktplatz, keine Web-UI, kein Remote-Access-Feature.
Channel-Unterstützung
ZeroClaw unterstützt über 30 Channels out of the box, darunter WhatsApp, Telegram, Discord, Slack, Signal, Matrix, IRC und Lark/DingTalk. OpenClaw unterstützt 15+ über sein Plugin-System. PicoClaw unterstützt 5.
| Channel | OpenClaw | ZeroClaw | PicoClaw | |---------|----------|----------|----------| | WhatsApp | Ja | Ja | Ja | | Telegram | Ja | Ja | Ja | | Discord | Ja | Ja | Ja | | Slack | Ja | Ja | Nein | | Signal | Community | Ja | Nein | | Matrix | Community | Ja | Nein | | IRC | Community | Ja | Nein | | Lark/DingTalk | Community | Ja | Nein | | Web-UI | Eingebaut | Über Gateway | Einfach | | Gesamt | 15+ | 30+ | 5 |
KI-Anbieter-Unterstützung
Alle drei unterstützen die wichtigsten Anbieter: OpenAI, Anthropic, Google und Ollama für lokale Modelle. ZeroClaw unterstützt zusätzlich Groq, xAI, Mistral, DeepSeek und Perplexity out of the box. Der Wechsel des Anbieters in ZeroClaw ist eine einzeilige Änderung in config.toml.
Die Architekturphilosophie hinter jeder Wahl
OpenClaw wählte Zugänglichkeit. JavaScript ist die am weitesten verbreitete Sprache, Plugins sind einfach zu schreiben, und die Web-UI senkt die Einstiegshürde. Diese Entscheidungen trieben schnelle Adoption. Sie schufen auch die Sicherheits- und Performance-Eigenschaften, die jetzt Probleme verursachen.
ZeroClaw wählte Korrektheit. Rust erzwingt Memory Safety zur Compile-Zeit, das Trait-System gewährleistet typsichere Erweiterbarkeit, und das einzelne Binary eliminiert Deployment-Komplexität.
PicoClaw wählte Einfachheit. Python ist lesbar, die Codebasis ist klein genug, um sie vollständig zu verstehen, und das Hacken daran geht schnell.
Welche ist die richtige für einen?
Wer das größte Plugin-Ökosystem und eine polierte Web-UI braucht und bereit ist, in Sicherheitshärtung zu investieren, für den ist OpenClaw noch eine gangbare Wahl.
Wer Ressourceneffizienz, Sicherheit, Edge-Deployment oder den Betrieb auf eingeschränkter Hardware priorisiert, für den ist ZeroClaw die klare Wahl für den Produktionseinsatz.
Wer eine minimale, hackbare Python-Codebasis für persönliche Projekte oder Prototyping möchte und jeden Codezeile verstehen will, der sollte PicoClaw in Betracht ziehen.