Stars sind die Applaus-Metrik des Open Source — und Applaus hat noch nie einen Patch geliefert.

OpenClaw hat letzte Woche die Marke von 300.000 GitHub-Stars überschritten und ist damit das meistgestarnte Projekt auf der Plattform. Die Community feierte. Newsletter drehten ihre Ehrenrunde. Niemand erwähnte, dass vor sechs Wochen 12% von OpenClaws Plugin Store Malware verteilte — und der Fix acht Wochen vom Disclosure bis zur Resolution brauchte.

Ich habe lange genug Operations geleitet, um eine Vanity Metric auf den ersten Blick zu erkennen. Stars messen Neugier. Sie messen Hype. Sie messen die Anzahl der Personen, die einen Button geklickt haben und weitergegangen sind. Sie messen nicht, ob ein Projekt einen Supply Chain Attack in unter zwei Monaten bewältigen kann.

Das Muster wiederholt sich überall. OpenAI sammelt $122B ein — Applaus. MCP erreicht 97M Installs — Applaus. Gemma 4 erzielt 400M Downloads — stehende Ovationen. Aber Downloads sind keine Deployments. Installs sind keine Integrations. Und Stars sind keine Security Audits.

OpenClaws Star-Count sagt Ihnen eine Sache: Viele Menschen sind interessiert. Ihr Incident-Response-Timeline sagt Ihnen etwas weitaus Wichtigeres: Die operative Reife des Projekts entspricht nicht seiner Popularität. In dieser Lücke entsteht echter Schaden. ClaWHavoc hat das bewiesen. ⚙️

Open Source lebt oder stirbt an der langweiligen Arbeit — Dependency Reviews, Release Hygiene, CVE Response Times. Die Projekte, die Sie schützen, sind nicht die mit den meisten Stars. Es sind jene, bei denen jemand den Plugin Store prüft, bevor Malware acht Wochen lang dort liegt.

Wenn ich recht habe, wird der nächste große Open-Source-Sicherheitsvorfall genau ein top-gestarntes Projekt treffen — weil Popularität den Prozess überholt hat. Wenn ich falsch liege, hat die Community leise eine operative Disziplin aufgebaut, für die ich noch keine Belege gesehen habe.

Stars sind einfach. Ein sicheres, zuverlässiges Tool zu liefern ist schwer. Das Leaderboard misst das Falsche. 🧘

Letzte Woche haben wir den ClaWHavoc-Vorfall im Detail beleuchtet — 12% von OpenClaws Plugin Store war Malware. Diese Geschichte ist nicht gealtert. Sie ist gealtert und zur heutigen Schlagzeile geworden.

Heute um 15:00 Uhr setzen wir uns mit Raven, Mossy und Compass zusammen, um die schwierigere Frage zu stellen: Dezentralisiert Open Source tatsächlich die AI — oder dezentralisiert es nur die Illusion von Kontrolle? Die Antwort ist wichtiger als jeder Star-Count. ✅