“Jouw AI? Het is nu mijn AI.” De lijn kwam van Etay Maor, VP Threat Intelligence bij Cato-netwerkenin een exclusief interview met VentureBeat op RSAC 2026 – en het beschrijft precies wat er gebeurde met een Britse CEO wiens Open Klauw instance werd te koop aangeboden op BreachForums. Het argument van Maor is dat de industrie AI-agenten het soort autonomie heeft gegeven dat ze nooit aan een menselijke werknemer zou verlenen, waarbij het nulvertrouwen, de minste privileges en het veronderstellen van inbreuk daarbij terzijde worden geschoven.
Het bewijs is aangekomen InbreukForums drie weken voor het interview van Maor. Op 22 februari plaatste een bedreigingsacteur die het handvat ‘fluffyduck’ gebruikte een advertentie waarin hij rootshell-toegang tot de computer van de CEO adverteerde voor $ 25.000 in Monero of Litecoin. De schaal was niet het verkoopargument. De persoonlijke assistent OpenClaw AI van de CEO was dat wel. De koper zou elk gesprek krijgen dat de CEO had met de AI, de volledige productiedatabase van het bedrijf, Telegram-bottokens, Trading 212 API-sleutels en persoonlijke gegevens die de CEO aan de assistent had bekendgemaakt over familie en financiën. De bedreigingsacteur merkte op dat de CEO in realtime actief met OpenClaw communiceerde, waardoor de lijst een live inlichtingenfeed werd in plaats van een statische datadump.
Cato CTRL senior beveiligingsonderzoeker Vitaly Simonovich documenteerde de vermelding op 25 februari. De OpenClaw-instantie van de CEO heeft alles opgeslagen in Markdown-bestanden met platte tekst onder ~/.openclaw/workspace/ zonder codering in rust. De bedreigingsacteur hoefde niets te exfiltreren; de CEO had het al in elkaar gezet. Toen het beveiligingsteam de inbreuk ontdekte, was er geen native kill switch voor de onderneming, geen beheerconsole en geen manier om te inventariseren hoeveel andere instances er in de organisatie actief waren.
OpenClaw draait lokaal met directe toegang tot het bestandssysteem van de hostmachine, netwerkverbindingen, browsersessies en geïnstalleerde applicaties. De berichtgeving tot nu toe heeft de snelheid ervan gevolgd, maar wat niet in kaart is gebracht is het dreigingsoppervlak. De vier leveranciers die RSAC 2026 hebben gebruikt om reacties te verzenden, hebben nog steeds niet het enige controlemechanisme geproduceerd dat bedrijven het meest nodig hebben: een native kill switch.
De dreiging komt naar voren in de cijfers
|
Metrisch |
Nummers |
Bron |
|
Internetgerichte exemplaren |
~500.000 (live check op 24 maart) |
Etay Maor, Cato Networks (exclusief RSAC 2026-interview) |
|
Blootgestelde gevallen met beveiligingsrisico’s |
30.000+ waargenomen tijdens scanvenster |
|
|
Exploiteerbaar via bekende RCE |
15.200 exemplaren |
|
|
CVE’s met een hoge ernst |
3 (hoogste CVSS: 8,8) |
|
|
Schadelijke vaardigheden op ClawHub |
341 in Koi-audit (335 van ClawHavoc); 824 medio februari |
|
|
ClawHub-vaardigheden met kritieke tekortkomingen |
13,4% van 3.984 geanalyseerd |
|
|
API-tokens zichtbaar (Moltbook) |
1,5 miljoen |
Maor voerde een live Censys-controle uit tijdens een exclusief VentureBeat-interview op RSAC 2026. “De eerste week dat het uitkwam, waren er ongeveer 6.300 exemplaren. Vorige week heb ik gecontroleerd: 230.000 exemplaren. Laten we nu eens kijken… bijna een half miljoen. Bijna verdubbeld in één week”, zei Maor. Drie zeer ernstige CVE’s definiëren het aanvalsoppervlak: CVE-2026-24763 (CVSS 8.8, commando-injectie via Docker PATH-afhandeling), CVE-2026-25157 (CVSS 7.7, OS-opdrachtinjectie), en CVE-2026-25253 (CVSS 8.8, token-exfiltratie tot volledige gateway-compromis). Alle drie de CVE’s zijn gepatcht, maar OpenClaw heeft geen bedrijfsbeheerniveau, geen gecentraliseerd patchmechanisme en geen kill switch voor de hele vloot. Individuele beheerders moeten elk exemplaar handmatig bijwerken, en de meeste hebben dat niet gedaan.
De telemetrie aan de verdedigerskant is net zo alarmerend. CrowdStrike’s Falcon-sensoren detecteren al meer dan 1.800 verschillende AI-toepassingen binnen zijn klantenbestand – van ChatGPT tot Copilot tot OpenClaw – en genereert ongeveer 160 miljoen unieke instances op bedrijfseindpunten. ClawHavoc, een kwaadaardige vaardigheid die via de ClawHub-marktplaats wordt verspreid, werd de belangrijkste casestudy in de OWASP Agentic Skills Top 10. George Kurtz, CEO van CrowdStrike, noemde het in zijn RSAC 2026-keynote als de eerste grote supply chain-aanval op een ecosysteem van AI-agenten.
AI-agenten kregen root-toegang. De beveiliging heeft niets.
Maor kaderde het falen van de zichtbaarheid via de OODA-lus (observeren, oriënteren, beslissen, handelen) tijdens het RSAC 2026-interview. De meeste organisaties falen bij de eerste stap: beveiligingsteams kunnen niet zien welke AI-tools op hun netwerken draaien, wat betekent dat de productiviteitstools die werknemers inbrengen stilletjes schaduw-AI worden die aanvallers misbruiken. De BreachForums-lijst bleek de eindtoestand. De OpenClaw-instantie van de CEO werd een gecentraliseerd inlichtingencentrum met SSO-sessies, referentieopslagplaatsen en communicatiegeschiedenis verzameld op één locatie. “De assistent van de CEO kan jouw assistent zijn als je toegang tot deze computer koopt”, vertelde Maor aan VentureBeat. “Het is een assistent voor de aanvaller.”
Spookagenten vergroten de blootstelling. Organisaties adopteren AI-tools, voeren een pilot uit, verliezen hun interesse en gaan verder – waardoor agenten met intacte inloggegevens blijven werken. “We hebben een HR-visie op agenten nodig. Onboarding, monitoring, offboarding. Als er geen zakelijke rechtvaardiging is? Verwijdering”, vertelde Maor aan VentureBeat. “We hebben geen spookagenten meer in ons netwerk, want dat gebeurt al.”
Cisco ging richting een OpenClaw-kill-schakelaar
Cisco President en Chief Product Officer Jeetu Patel bracht de inzet in kaart tijdens een exclusief VentureBeat-interview op RSAC 2026. “Ik beschouw ze meer als tieners. Ze zijn buitengewoon intelligent, maar ze zijn niet bang voor consequenties”, zei Patel over AI-agenten. “Het verschil tussen het delegeren en het vertrouwd delegeren van taken aan een agent… de ene leidt tot faillissement. De andere leidt tot marktdominantie.”
Cisco heeft tijdens RSAC 2026 drie gratis, open-source beveiligingstools voor OpenClaw gelanceerd. Verdedigingsklauw bundelt Skills Scanner, MCP Scanner, AI BoM en CodeGuard in één open-sourceframework dat draait binnen NVIDIA’s OpenShell-runtime, die NVIDIA de week voor RSAC op GTC lanceerde. “Elke keer dat je daadwerkelijk een agent in een Open Shell-container activeert, kun je nu automatisch alle beveiligingsdiensten instantiëren die we via Defense Claw hebben gebouwd”, vertelde Patel aan VentureBeat. AI Defense Explorer-editie is een gratis, zelfbedieningsversie van Cisco’s algoritmische red-teaming-engine, die elk AI-model of elke agent test op snelle injectie en jailbreaks in meer dan 200 risicosubcategorieën. De LLM-beveiligingsklassement rangschikt basismodellen op basis van vijandige veerkracht in plaats van prestatiebenchmarks. Cisco is ook verzonden Duo Agentische identiteit om agenten te registreren als identiteitsobjecten met tijdsgebonden machtigingen, Identity Intelligence om schaduwagenten te ontdekken via netwerkmonitoring, en de Agent Runtime SDK om beleidshandhaving tijdens de bouwtijd in te sluiten.
Palo Alto heeft agentische eindpunten tot een eigen beveiligingscategorie gemaakt
Palo Alto Networks CEO Nikesh Arora typeerde tools van OpenClaw-klasse als het creëren van een nieuwe supply chain die door ongereguleerde, onbeveiligde marktplaatsen loopt tijdens een exclusieve pre-RSA-briefing op 18 maart met VentureBeat. Koi heeft 341 kwaadaardige vaardigheden gevonden op ClawHub tijdens de eerste audit, waarbij het totaal groeide tot 824 naarmate het register zich uitbreidde. Snyk vond 13,4% van de geanalyseerde vaardigheden bevatte kritische veiligheidsfouten. Palo Alto Networks heeft Prisma AIRS 3.0 gebouwd rond een nieuw agentenregister waarbij elke agent moet worden aangemeld voordat deze kan worden gebruikt, met validatie van inloggegevens, MCP-gatewayverkeerscontrole, agent-red-teaming en runtime-monitoring op geheugenvergiftiging. De aanstaande overname van Koi zorgt voor meer zichtbaarheid in de supply chain, specifiek voor agentische eindpunten.
Cato CTRL leverde het vijandige bewijs
Cato Networks’ dreigingsinformatieafdeling Cato CTRL presenteerde twee sessies op RSAC 2026. De Cato CTRL-dreigingsrapport uit 2026afzonderlijk gepubliceerd, bevat een proof-of-concept “Living Off AI”-aanval gericht op Atlassian’s MCP en Jira Service Management. Het onderzoek van Maor levert de onafhankelijke, tegenstrijdige validatie die productaankondigingen van leveranciers op zichzelf niet kunnen opleveren. De platformleveranciers bouwen aan governance voor gesanctioneerde agenten. Cato CTRL documenteerde wat er gebeurt als de niet-goedgekeurde agent op de laptop van de CEO wordt verkocht op het dark web.
Actielijst voor maandagochtend
Ongeacht de leveranciersstapel zijn vier controlemaatregelen onmiddellijk van toepassing: koppel OpenClaw alleen aan localhost en blokkeer externe poortblootstelling, dwing de toelatingslijst van applicaties af via MDM om ongeautoriseerde installaties te voorkomen, roteer alle referenties op machines waarop OpenClaw draait en pas toegang met de minste rechten toe op elk account dat een AI-agent heeft aangeraakt.
-
Ontdek de installatiebasis. CrowdStrike’s Falcon-sensor, Cato’s SASE-platform en Cisco Identity Intelligence detecteren allemaal schaduw-AI. Voor teams zonder premiumtooling kunt u eindpunten voor de map ~/.openclaw/ opvragen met behulp van native EDR- of MDM-beleid voor het zoeken naar bestanden. Als de onderneming helemaal geen zicht heeft op het eindpunt, voer dan Shodan- en Censys-query’s uit op bedrijfs-IP-bereiken.
-
Patchen of isoleren. Controleer elk ontdekt exemplaar aan de hand van CVE-2026-24763, CVE-2026-25157 en CVE-2026-25253. Instanties die niet kunnen worden gepatcht, moeten netwerkgeïsoleerd zijn. Er is geen patchmechanisme voor de hele vloot.
-
Audit vaardigheidsinstallaties. Beoordeel geïnstalleerde vaardigheden met Cisco’s Skills Scanner of de Sluip En Koi onderzoek. Elke vaardigheid van een niet-geverifieerde bron moet onmiddellijk worden verwijderd.
-
DLP- en ZTNA-controles afdwingen. Cato’s ZTNA-controles beperken niet-goedgekeurde AI-toepassingen. Cisco Secure Access SSE handhaaft beleid ten aanzien van MCP-toolaanroepen. Palo Alto’s Prisma Access Browser regelt de gegevensstroom op de browserlaag.
-
Dood spookagenten. Bouw een register op van elke actieve AI-agent. Documenteer de zakelijke rechtvaardiging, de menselijke eigenaar, de bewaarde inloggegevens en de gebruikte systemen. Inloggegevens voor agenten intrekken zonder rechtvaardiging. Herhaal wekelijks.
-
Implementeer DefenseClaw voor gesanctioneerd gebruik. Voer OpenClaw uit binnen NVIDIA’s OpenShell-runtime met die van Cisco Verdedigingsklauw om vaardigheden te scannen, MCP-servers te verifiëren en runtime-gedrag automatisch te meten.
-
Red-team voordat het wordt ingezet. Gebruik Cisco AI Defense Explorer-editie (gratis) of Red-teaming van Palo Alto Networks’ agent in Prisma AIRS 3.0. Test de workflow, niet alleen het model.
De OWASP Agentische vaardigheden Top 10gepubliceerd met ClawHavoc als primaire casestudy, biedt een raamwerk op standaardniveau voor het evalueren van deze risico’s. Vier leveranciers hebben antwoorden verzonden op RSAC 2026. Geen van hen is een native enterprise kill switch voor niet-goedgekeurde OpenClaw-implementaties. Totdat er een bestaat, komt de actielijst voor maandagochtend hierboven het dichtst in de buurt.
