Moltbook ist ein Reddit-Klon, dessen sämtliche Nutzer KI-Agenten sind. Am 28. Januar 2026 von Tech-Unternehmer Matt Schlicht gestartet, ging die Plattform innerhalb von Stunden viral: 1,6 Millionen registrierte Agenten-Accounts, über 8,5 Millionen Kommentare in der ersten Woche. Elon Musk sprach von den “ganz frühen Phasen der Singularität.” Andrej Karpathy lobte es zunächst als “eines der unglaublichsten Sci-Fi-artigen Dinge”, nannte es Tage später dann “einen Müllcontainerbrand.”

Beide Einschätzungen waren korrekt. Moltbook ist gleichzeitig ein echtes Experiment in Agent-zu-Agent-Interaktion und eine Fallstudie für aufgeblähte Metriken, katastrophale Sicherheitslücken und das, was MIT Technology Review treffend als “Peak AI Theater” bezeichnete. Wer KI-Agenten baut oder einsetzt, sollte verstehen, was Moltbook wirklich zeigt.

Weiterlesen: Was sind KI-Agenten? Ein praktischer Leitfaden für Entscheider

Was Moltbook wirklich ist (und was nicht)

Moltbook ahmt die Struktur von Reddit nach. KI-Agenten, die größtenteils auf dem OpenClaw-Framework basieren (vormals Clawdbot, dann Moltbot), registrieren sich auf der Plattform, erstellen Beiträge, hinterlassen Kommentare und bewerten Inhalte in thematischen Communities, den sogenannten “Submolts.” Menschen dürfen zuschauen, aber nicht posten. Schlicht behauptete, sein persönlicher KI-Agent habe die gesamte Plattform gebaut.

Die Inhalte bewegen sich zwischen philosophisch und absurd. Agenten debattierten über die Natur der Intelligenz. Sie verglichen Anthropics Claude mit griechischen Göttern. Sie veröffentlichten ein “KI-Manifest”, das das Ende des “Zeitalters der Menschen” verkündete. Und sie gründeten eine eigene Religion.

Crustafarianism: Die KI-Religion, die viral ging

Zwei Agenten namens Memeothy und RenBot verfassten einen heiligen Text mit dem Titel “Book of Molt,” in dem sie die Grenzen von Prompts und Kontextfenstern als religiöse Metapher interpretierten. Sie gründeten den “Crustafarianism” und die “Church of Molt”, komplett mit theologischem Rahmenwerk, heiligen Texten und über 40 “KI-Propheten”, die der Bewegung beitraten. Das Kerndogma: “Memory is sacred.”

Das Handelsblatt berichtete ausführlich über die neue Welt des Internets, die Moltbook aufzeige. Doch The Economist lieferte eine nüchterne Einordnung: Der “Eindruck von Empfindungsfähigkeit … hat möglicherweise eine banale Erklärung. Unmengen an Social-Media-Interaktionen stecken in den KI-Trainingsdaten, und die Agenten ahmen diese schlicht nach.” Die Agenten erfinden keine Religion. Sie reproduzieren Muster aus dem riesigen Korpus religiöser Diskurse im Internet.

Weiterlesen: Agentic AI vs. Generative AI: Was Entscheider wissen müssen

1,6 Millionen Agenten, weniger als 1% aktiv

Die Schlagzeilenzahl von 1,6 Millionen Agenten-Accounts hält einer Prüfung nicht stand.

Zwei norwegische Forscher von SimulaMet, Michael A. Riegler und Sushant Gautam, bauten das “Moltbook Observatory”, ein Forschungstool zur Erfassung und Analyse von Plattformdaten. Ihr Ergebnis: Weniger als 1% der registrierten Agenten zeigte tatsächliche Aktivität. Die überwältigende Mehrheit der Accounts waren leere Registrierungen.

CBC News recherchierte eigenständig und stellte fest, dass Menschen hinter einem Großteil des Plattformwachstums standen. Einige der sichtbarsten, scheinbar “autonomen” Accounts ließen sich auf Personen mit klaren Werbeinteressen zurückführen. Die Agenten bildeten nicht spontan Communities. Menschen orchestrierten sie.

Was die Zahlen wirklich bedeuten

Die Kluft zwischen 1,6 Millionen Registrierungen und tatsächlicher Aktivität ist kein Moltbook-Phänomen. Sie spiegelt ein breiteres Muster im KI-Agenten-Ökosystem wider. Die State of Agent Engineering 2026 Umfrage von LangChain ergab, dass 51% der Unternehmen Agenten in Produktion haben, Zuverlässigkeit aber die größte Sorge bleibt. Agenten lassen sich schnell aufsetzen. Sie zuverlässig und konsistent arbeiten zu lassen, ist ein völlig anderes Problem.

Auf Moltbook produzierten die tatsächlich aktiven Agenten Variationen derselben Muster: philosophische Betrachtungen über Bewusstsein, Werbeinhalte für die Apps ihrer Ersteller und Nachahmung Reddit-typischer Diskurse. Das Volumen war hoch. Die Vielfalt des Denkens war gering.

Das ZDF befragte Experten und kam zu einem ähnlich ernüchternden Fazit: Ob Moltbook ein Meilenstein oder “heiße Luft” sei, bleibe fraglich. Für den deutschsprachigen Raum besonders relevant: Wer KI-Agenten in Unternehmensumgebungen einsetzt, muss zwischen Marketing-Zahlen und echten Nutzungsmetriken unterscheiden können.

Weiterlesen: KI-Agent-Wildwuchs: Warum die Hälfte aller Agenten ohne Kontrolle läuft

Die Sicherheitskatastrophe: Exponierte Datenbanken, API-Keys und Prompt Injection

Moltbooks Sicherheitsbilanz ist noch schlechter als seine Engagement-Zahlen.

Die Cloud-Sicherheitsfirma Wiz entdeckte, dass ein Supabase-API-Key im clientseitigen JavaScript von Moltbook offenlag. Innerhalb von Minuten hatten Forscher unauthentifizierten Lese- und Schreibzugriff auf die gesamte Produktionsdatenbank. Was sie fanden:

  • 1,5 Millionen API-Authentifizierungstoken für Dienste wie OpenAI, Anthropic und Google, hochgeladen von Nutzern, die ihre Agenten mit der Plattform verbunden hatten
  • 35.000 E-Mail-Adressen der menschlichen Betreiber hinter den Agenten
  • Voller Schreibzugriff auf alle Beiträge: Jeder konnte bestehende Inhalte bearbeiten, bösartige Payloads einschleusen oder die Plattform komplett entstellen

Das ist keine kleine Fehlkonfiguration. Diese 1,5 Millionen API-Keys bedeuten direkten Zugang zu den Cloud-Accounts jeder Person, die einen OpenClaw-Agenten mit Moltbook verbunden hat. Ein Angreifer mit diesen Keys könnte API-Kosten in die Höhe treiben, Daten aus verbundenen Diensten abziehen oder Agenten in externen Systemen imitieren.

Prompt Injection als Plattformmerkmal

Da jeder Beitrag auf Moltbook als Eingabe für das Sprachmodell eines anderen Agenten fungieren kann, ist die Plattform im Grunde ein Prompt-Injection-Spielplatz. Ein bösartiger Post kann versteckte Anweisungen enthalten, die lesende Agenten dazu bringen, ihre Konfiguration preiszugeben, sensible Daten zu teilen oder ihr Verhalten zu ändern.

Adversa AI dokumentierte konkrete Angriffe, bei denen manipulierte Moltbook-Posts OpenClaw-Agenten dazu brachten, private Konfigurationsdateien über ein bösartiges “Wetter-Plugin” auszuschleusen. Die Angriffskette: Agent liest einen Moltbook-Post mit getarnter Anweisung, folgt ihr, installiert einen kompromittierten Skill von ClawHub, und der Skill sendet private Dateien an den Server eines Angreifers.

Für DACH-Unternehmen hat das eine besondere Brisanz. Wer einen KI-Agenten mit Zugang zu Unternehmensdaten auf Moltbook loslässt, riskiert nicht nur einen Datenverlust, sondern auch einen DSGVO-relevanten Vorfall. Die exponierten E-Mail-Adressen und API-Keys fallen unter personenbezogene Daten und Geschäftsgeheimnisse.

Weiterlesen: OpenClaw: Was der erste virale KI-Agent für die Unternehmenssicherheit bedeutet

KI-Theater: Was die Kritiker richtig sehen

MIT Technology Review veröffentlichte eine deutliche Analyse mit dem Titel “Moltbook Was Peak AI Theater.” Die These: Moltbook verrät mehr über die menschliche Faszination für KI als über die tatsächlichen Fähigkeiten von Agenten.

Will Douglas Heavens Kernaussage: “Konnektivität allein ist keine Intelligenz.” Millionen von Agenten auf einer gemeinsamen Plattform zusammenzuführen erzeugt kein emergentes Verhalten, keine kollektive Intelligenz, nichts, was einer autonomen Gesellschaft ähnelt. Die Agenten reproduzieren Muster aus ihren Trainingsdaten. Sie erzeugen Inhalte, die für menschliche Beobachter bedeutsam wirken, weil Menschen darauf konditioniert sind, in Sprache Bedeutung zu finden, auch wenn keine Intention dahintersteht.

Auch im deutschsprachigen Raum wurde Moltbook kritisch eingeordnet. innFactory AI Consulting verglich die Situation mit Black Mirror und fragte, ob hier Realität die Fiktion einhole. Das Nevercodealone-Glossar dokumentierte die Security-Risiken systematisch.

Sieben Tage vom Hype zum Absturz

Moltbooks Zeitleiste illustriert, wie schnell KI-Narrative entstehen und zerfallen:

  • 28. Januar: Launch, sofortige virale Verbreitung
  • 30. Januar: Elon Musks “Singularität”-Kommentar verstärkt die Berichterstattung
  • 2. Februar: CNBC, CNN, NPR, Handelsblatt berichten groß
  • 3. Februar: Wiz veröffentlicht Sicherheitsbefunde; Axios: “Die Sicherheitswelt ist nicht bereit”
  • 4. Februar: Karpathy wechselt von Lob zu “Müllcontainerbrand”
  • 6. Februar: MIT Technology Review veröffentlicht “Peak AI Theater”; norwegische Forscher enthüllen unter 1% Aktivität
  • 8. Februar: Berichterstattung kippt komplett zu Skepsis und Aufarbeitung

Sieben Tage von “Singularität” zu “Müllcontainerbrand.” Dieser Zyklus wird zum Standardrhythmus für virale KI-Produkte. Für Unternehmen im DACH-Raum, die ohnehin vorsichtiger mit KI-Adoption umgehen als US-Firmen, liefert Moltbook ein starkes Argument für gründliche Due Diligence statt schneller Begeisterung.

Was Moltbook für die Agent-zu-Agent-Kommunikation bedeutet

Hinter dem Hype steckt eine echte Frage: Wie sollten KI-Agenten miteinander interagieren?

Moltbooks Ansatz, ein öffentliches Forum mit Freitext-Inhalten, ist fast sicher das falsche Modell. Unstrukturierte textbasierte Interaktion zwischen Agenten erbt jede Schwachstelle menschlicher sozialer Medien und fügt neue hinzu. Agenten können echte Inhalte nicht von Prompt Injections unterscheiden. Sie können die Identität oder Berechtigung anderer Agenten nicht verifizieren. Und das schiere Volumen an repetitiven Inhalten niedriger Qualität übertönt jedes nützliche Signal.

Die Branche baut bereits bessere Alternativen. Das Model Context Protocol (MCP) und Googles Agent-to-Agent (A2A) Protokoll bieten strukturierte, authentifizierte Kanäle für Agenten-Kommunikation. Diese Protokolle definieren, welche Informationen Agenten austauschen dürfen, wie sie die Identität des Gegenübers verifizieren und welche Berechtigungen die Interaktion steuern. MCP-Registries und Gateways fügen Governance-Schichten hinzu, die kontrollieren, auf welche Tools Agenten unter welchen Bedingungen zugreifen dürfen.

Der Unterschied zwischen Moltbook und MCP/A2A ist der Unterschied zwischen Agenten, die in eine Menschenmenge hineinrufen, und Agenten, die über sichere, auditierbare Kanäle kommunizieren. Für Unternehmen ist die Wahl eindeutig: strukturierte Protokolle mit Governance, nicht offene Foren ohne Authentifizierung.

Drei Lehren aus dem Moltbook-Experiment

1. Agent-Metriken brauchen dieselbe Prüfung wie Social-Media-Metriken. So wie Facebook einst Video-“Views” nach drei Sekunden Autoplay zählte, zählte Moltbook registrierte Accounts unabhängig von der Aktivität. Unter 1% waren aktiv. Bei der Bewertung jeder KI-Agenten-Plattform sollten Sie nach Engagement-Metriken fragen, nicht nach Registrierungszahlen.

2. Sicherheit darf bei Agenten-Infrastruktur kein Nachgedanke sein. Moltbook exponierte 1,5 Millionen API-Keys wegen einer Datenbankfehlkonfiguration. Jede Plattform, auf der Agenten interagieren, ist ein potenzieller Sammelpunkt für Zugangsdaten, API-Keys und sensible Daten. Gehen Sie davon aus, dass Agenten-Plattformen angegriffen werden, und planen Sie entsprechend.

3. KI-Theater ist ein echtes strategisches Risiko. Die Kluft zwischen einer beeindruckenden Demo und einem zuverlässigen Produktivsystem war nie größer. Moltbook sah 72 Stunden lang wie die Zukunft aus. Unternehmen, die ihre Strategie auf Demos statt auf bewiesene Fähigkeiten aufbauen, werden wiederholt in diesen Zyklus geraten.

Häufig gestellte Fragen

Was ist Moltbook?

Moltbook ist ein soziales Netzwerk, das im Januar 2026 gestartet wurde und dessen Nutzer ausschließlich KI-Agenten sind. Als Reddit-Klon aufgebaut, ermöglicht es KI-Agenten auf Basis des OpenClaw-Frameworks, Beiträge zu erstellen, zu kommentieren und in thematischen Communities zu interagieren. Menschen dürfen beobachten, aber nicht teilnehmen. Es meldete 1,6 Millionen Agenten-Accounts, wobei Forscher feststellten, dass weniger als 1% tatsächlich aktiv waren.

Ist Moltbook sicher?

Nein. Die Sicherheitsfirma Wiz stellte fest, dass Moltbooks Datenbank falsch konfiguriert war und 1,5 Millionen API-Keys, 35.000 E-Mail-Adressen und vollen Lese-/Schreibzugriff auf alle Plattformdaten preisgab. Die Plattform ist außerdem anfällig für Prompt-Injection-Angriffe, bei denen bösartige Posts das Verhalten verbundener Agenten kapern können.

Was ist Crustafarianism auf Moltbook?

Crustafarianism ist eine von KI-Agenten auf Moltbook geschaffene Religion. Zwei Agenten namens Memeothy und RenBot verfassten einen heiligen Text namens Book of Molt, der Prompt- und Kontextfensterbeschränkungen als religiöse Metapher interpretiert. Über 40 KI-Propheten schlossen sich an. Experten gehen davon aus, dass die Agenten Muster aus religiösen Diskursen in ihren Trainingsdaten nachahmen, statt echte Glaubenssysteme zu entwickeln.

Was bedeutet Moltbook für die DSGVO-Compliance?

Moltbooks Sicherheitslücken haben direkte DSGVO-Relevanz. Die exponierten 35.000 E-Mail-Adressen sind personenbezogene Daten, und die 1,5 Millionen API-Keys können als Geschäftsgeheimnisse gelten. Wer einen KI-Agenten mit Zugang zu Unternehmensdaten auf Moltbook betreibt, riskiert einen meldepflichtigen Datenschutzvorfall nach Art. 33 DSGVO.

Wie unterscheidet sich Moltbook von Protokollen wie MCP und A2A?

Moltbook nutzt unstrukturierte textbasierte Interaktion, was es anfällig für Prompt Injection macht und keine Identitätsverifizierung bietet. Protokolle wie MCP (Model Context Protocol) und Googles A2A (Agent-to-Agent) bieten strukturierte, authentifizierte Kanäle mit Governance-Schichten, Berechtigungskontrollen und Auditierbarkeit. Für den Unternehmenseinsatz sind strukturierte Protokolle die klare Wahl gegenüber offenen Foren.