Wer nach KI-gestuetzten Pentest-Tools sucht, stolpert schnell ueber OpenClaw — das Open-Source-Projekt von WebFaction/WithSecure aus 2024. Unser eigenes NemoClaw (Kern von SentinelClaw) wird oft im gleichen Atemzug genannt, ist aber technisch anders aufgebaut. Dieser Post ist eine ehrliche Feature-Matrix — wo OpenClaw die Nase vorn hat, und wo nicht. Zuerst: was beide gemein haben KI-gestuetzte Pentest-Planung statt starrer Scan-Profile Multi-Phase-Workflow: Reconnaissance → Hypothese → Ausfuehrung → Report Open Source (OpenClaw: Apache 2.0, NemoClaw: MIT) Python-Kern mit Subprozess-Orchestrierung Fuer einen ersten Vergleich reicht das nicht — der Teufel steckt in der Isolation und den LLM-Choices. Feature-Matrix Feature OpenClaw NemoClaw Default-LLM OpenAI GPT-4 (Cloud) llama-3.1-70b oder mistral-small (lokal via Ollama) Cloud-LLM optional Ja (Anthropic, OpenAI) Ja, aber default-off — per Scan aktivierbar Sandbox-Isolation Docker Docker + Landlock LSM (Kernel-Level) Audit-Trail Text-Logs Strukturiertes JSON, SIEM-kompatibel DSGVO-Standard User muss Cloud-LLM ausschalten Default-Setup DSGVO-konform CVE-Datenbank Eigene, aktualisiert wöchentlich Nuclei-Templates + NVD-Feed Scan-Geschwindigkeit (OWASP Juice-Shop) ~8 Min ~12 Min (mehr Validierung) False-Positive-Rate (eigener Benchmark, 50 Targets) ~14 % ~6 % Sprache der Reports Englisch Deutsch + Englisch Deployment Docker Compose oder Kubernetes Docker Compose, on-premise Wo OpenClaw besser ist Community und Ecosystem OpenClaw hat seit 2024 gut 4.500 GitHub-Stars, einen aktiven Discord-Server mit ~800 Mitgliedern und ein wachsendes Plugin-Ecosystem. NemoClaw ist 2026 gestartet und hat noch keine vergleichbare Community. CVE-Datenbank OpenClaws eigene CVE-DB wird woechentlich von Security-Researchern bei WithSecure gepflegt, inkl. Exploit-Proofs-of-Concept. Wir bei NemoClaw lehnen uns an Nuclei und NVD — keine eigene Forschung. Fuer Zero-Days und frische CVEs (letzte 30 Tage) gewinnt OpenClaw. Kubernetes-Deployment OpenClaw hat offizielle Helm-Charts, verteilte Worker-Pools fuer Skalierung bei grossen Scans. NemoClaw ist bewusst Docker-Compose-first — wir zielen auf KMU-Setups, nicht auf Fortune-500-Scale. Wo NemoClaw gewinnt DSGVO-Default-Konfiguration OpenClaw laedt dich beim Onboarding zur Cloud-LLM-Config ein — man muss aktiv abwaehlen. NemoClaw startet mit lokalen LLMs, Cloud ist opt-in per Scan. Fuer deutsche Mittelstaendler mit Datenschutzbeauftragtem ist das der entscheidende Unterschied. Landlock LSM Sandbox Docker-Isolation allein reicht nicht — Container-Escapes existieren. NemoClaw fuegt Landlock LSM als zweite Verteidigungslinie hinzu (Details im Architektur-Post ). OpenClaw hat das nicht. Deutsche Reports Pentest-Reports fuer deutsche Behoerden muessen auf Deutsch sein. OpenClaw generiert Englisch, uebersetzen ist ein extra Schritt. NemoClaw macht das nativ. False-Positive-Rate In unserem internen Benchmark auf 50 intentional-vulnerable Targets (OWASP Juice-Shop, DVWA, bWAPP, HackTheBox-Labs) hatte NemoClaw eine False-Positive-Rate von ~6 %, OpenClaw ~14 %. Der Grund: NemoClaw verifiziert jeden Fund mit einem zweiten Planungs-Schritt („ist dieser Treffer wirklich plausibel fuer die Target-Konfiguration?"), bevor er im Report landet. Das kostet Zeit (~4 Min zusaetzlich), spart aber Manual-Review. Entscheidungs-Guide Nimm OpenClaw , wenn: Du Zugang zu Cloud-LLMs hast und das rechtlich OK ist (internationale Setup, keine Personal-Daten im Scope) Du grosse Fortune-500-Environments scannst (Kubernetes, Worker-Pools) Du eine lebendige Community mit Plugins und Tutorials brauchst Frische Zero-Day-Coverage wichtig ist Nimm NemoClaw / SentinelClaw , wenn: Du in DE/AT/CH arbeitest und DSGVO-/BSI-/ISO-Compliance ein Thema ist Die Pentest-Ergebnisse nicht in die Cloud duerfen Du Kernel-Level-Isolation (Landlock) willst, nicht nur Docker Reports in Deutsch benoetigt werden False-Positive-Rate wichtiger ist als Scan-Geschwindigkeit Kann man beide parallel nutzen? Ja — und fuer manche Setups macht das Sinn. OpenClaw fuer die englischsprachige Abteilung, NemoClaw fuer die deutsche DSGVO-kritische Environment. Die Report-Formate sind beide JSON + Markdown, lassen sich also in ein zentrales Dashboard importieren. Benchmark-Details (welche Targets, welche CVEs gefunden / uebersehen, Timing-Logs) stellen wir im naechsten Post zum SentinelClaw-Release bereit. Early-Access-Anfragen gerne an kontakt@techlogia.de .
