Onderzoekers op het gebied van cyberbeveiliging hebben dit ontdekt ongeveer 1.000 onbeschermde gateways naar OpenClaw, een open source en proactief AI agent die kan worden bestuurd via tekstgesprekken met apps als WhatsApp of Telegram. De gateways zijn gevonden op het open internet, waardoor iedereen toegang heeft tot de persoonlijke gegevens van gebruikers. Er zou ook een white hat-hacker zijn speelde het vaardigheidssysteem van OpenClawwaarmee gebruikers plug-ins kunnen toevoegen voor taken als webautomatisering of systeembeheer, om de top van de ranglijst te bereiken en door gebruikers over de hele wereld te worden gedownload. De vaardigheid op zichzelf was onschadelijk, maar er werd misbruik gemaakt van een beveiligingsprobleem dat iemand die nog snoderder was, had kunnen gebruiken om ernstige schade aan te richten.
Toegang tot die gateways zou hackers in staat stellen dezelfde bestanden en inhoud te bereiken waartoe OpenClaw toegang heeft, wat betekent dat volledige lees- en schrijfcontrole over de computer van een gebruiker en eventuele verbonden accounts, inclusief e-mailadressen en telefoonnummers, plaatsvindt. Er zijn al een aantal incidenten gemeld waarbij misbruik wordt gemaakt van deze kwetsbaarheden.
OpenClaw, oorspronkelijk Clawdbot genaamd, werd in november 2025 uitgebracht door Peter Steinberger, een in Oostenrijk geboren, in Londen gevestigde ontwikkelaar die vooral bekend staat om het maken van een tool waarmee apps native PDF’s kunnen weergeven en bewerken. De lancering volgde op een golf van vooruitgang in het vermogen van AI om met bestanden te communiceren die eind 2025 begon.
Eind vorig jaar begonnen veel mensen te experimenteren met Claude Code van Anthropic, een agentische AI die via de terminal of opdrachtregel verbinding maakt met het bestandssysteem van een computer en reageert op gespreksaanwijzingen om zelfstandig grote projecten te bouwen, met enig toezicht. De tool maakte veel gebruikers enthousiast, maar ontmoedigde ook anderen die zich niet op hun gemak voelden bij het werken in een niet-grafische interface.
Als reactie hierop heeft Anthropic Claude Code zo ingesteld dat het autonoom werkt aan een zusterproduct, Claude Work, dat een gebruiksvriendelijkere interface erbovenop legt. Hoewel het enige grip heeft gekregen, is het een product van een derde partij, gebouwd door een ontwikkelaar buiten Anthropic, dat de meeste aandacht heeft getrokken.
Steinberger’s OpenClaw bootst de beste eigenschappen van Claude Code na, maar met meer functionaliteit en de mogelijkheid om proactief aan taken te werken zonder dat u daarom wordt gevraagd.
Die proactiviteit is een belangrijk onderscheid tussen de tool, die vorige week gedwongen werd zichzelf Moltbot en vervolgens OpenClaw te hernoemen na een verzoek van Anthropic, en andere AI-systemen. Het potentieel ervan heeft de technologiesector een impuls gegeven, een piek in de Mac Mini-verkopen veroorzaakt als een populaire manier om de agent te hosten, en bepaalde hoeken van X en Reddit gaan domineren.
Het probleem is dat juist datgene wat OpenClaw zo aantrekkelijk maakt, het vermogen om toezicht te houden op een enthousiaste AI-assistent zonder specialistische codeerkennis en met een eenvoudige installatie, het ook zo zorgwekkend maakt. “Ik vind het geweldig, maar toch word ik meteen vervuld van angst”, zegt Jake Moore, een cybersecurity-expert bij Eset. Moore zegt dat gebruikers zo enthousiast zijn over het idee van OpenClaw als persoonlijke assistent dat ze het onbeperkte toegang verlenen tot hun digitale leven, soms terwijl ze hun instances hosten op verkeerd geconfigureerde virtuele privéservers. Dat maakt ze kwetsbaar voor hacking.
“Het openen van privéberichten en e-mails voor nieuwe technologie brengt een risico met zich mee en als we die risico’s niet volledig begrijpen, kunnen we een nieuw tijdperk binnengaan waarin efficiëntie boven veiligheid en privacy wordt gesteld”, waarschuwt Moore. Dezelfde toegang die OpenClaw krachtig maakt, maakt het ook gevaarlijk als het wordt gecompromitteerd. “Als een van de apparaten waarop Clawdbot draait, wordt gecompromitteerd, krijgt een aanvaller toegang tot alles, inclusief de volledige geschiedenis en zeer gevoelige informatie”, zegt hij.
Steinberger reageerde niet op meerdere interviewverzoeken, maar hij heeft uitgebreide beveiligingsdocumentatie voor Moltbot online gepubliceerd, zelfs als veel gebruikers deze misschien niet in hun instellingen opnemen. Dat betreft cybersecurity-experts. “Ontwikkelingen als Clawdbot zijn zo verleidelijk, maar een geschenk voor de slechteriken”, zegt Alan Woodward, hoogleraar cybersecurity aan de Universiteit van Surrey in Groot-Brittannië. “Met grote macht komt een grote verantwoordelijkheid en machines zijn niet verantwoordelijk”, zegt hij. “Uiteindelijk is dat de gebruiker.”
De manier waarop OpenClaw werkt, zonder toezicht en als een altijd beschikbare assistent, kan ervoor zorgen dat gebruikers die verantwoordelijkheid vergeten totdat het te laat is. Sommigen hebben al aangetoond dat Moltbot kwetsbaar kan zijn voor snelle injectie-aanvallen, waarbij schadelijke instructies worden ingebed in websites of e-mails in de hoop dat AI-agenten deze zullen absorberen en volgen. “Ik vraag me af wie deze gebruikers denken dat de schuld krijgt als agent AI hun account leegmaakt of haatdragende gedachten post”, zegt Woodward.
