Uw ontwikkelaars zijn al actief Open Klauw thuis. Censys heeft het gevolgd de open-source AI-agent van ongeveer 1.000 exemplaren naar meer dan 21.000 publiekelijk blootgestelde implementaties in minder dan een week. De GravityZone-telemetrie van Bitdefender, specifiek afkomstig uit zakelijke omgevingen, bevestigde het patroon waar veiligheidsleiders bang voor waren: werknemers die OpenClaw inzetten op bedrijfsmachines met installatieopdrachten van één regel, waarbij autonome agenten shell-toegang, bestandssysteemrechten en OAuth-tokens worden verleend aan Slack, Gmail en SharePoint.
CVE-2026-25253een fout bij het uitvoeren van externe code met één klik, beoordeeld als CVSS 8.8, stelt aanvallers in staat authenticatietokens te stelen via een enkele kwaadaardige link en binnen milliseconden een volledige gateway-compromis te bereiken. Een afzonderlijke kwetsbaarheid voor opdrachtinjectie, CVE-2026-25157maakte willekeurige opdrachtuitvoering mogelijk via de macOS SSH-handler. Uit een beveiligingsanalyse van 3.984 vaardigheden op de ClawHub-marktplaats bleek dat 283, ongeveer 7,1% van het gehele register, kritieke beveiligingsfouten bevatten die gevoelige inloggegevens in leesbare tekst blootleggen. En een afzonderlijke Bitdefender-audit ontdekte dat ongeveer 17% van de vaardigheden die het analyseerde ronduit kwaadaardig gedrag vertoonde.
De identificatie van de referenties reikt verder dan OpenClaw zelf. Wiz-onderzoekers ontdekten dat Moltbook, het sociale netwerk van AI-agenten gebouwd op de OpenClaw-infrastructuur, heeft de volledige Supabase-database openbaar toegankelijk gemaakt zonder dat beveiliging op rijniveau is ingeschakeld. Door de inbreuk werden 1,5 miljoen API-authenticatietokens, 35.000 e-mailadressen en privéberichten tussen agenten blootgelegd die OpenAI API-sleutels in platte tekst bevatten. Eén enkele verkeerde configuratie gaf iedereen met een browser volledige lees- en schrijftoegang tot alle agentreferenties op het platform.
In de installatiehandleidingen staat dat je een Mac Mini moet kopen. Beveiligingsdekking zegt dat je het niet mag aanraken. Geen van beide geeft een veiligheidsleider een gecontroleerd pad naar evaluatie.
En ze komen snel. De Codex-app van OpenAI is een hit 1 miljoen downloads in de eerste week. Meta is geweest gespot testen van OpenClaw-integratie in de codebase van het AI-platform. Een startup genaamd ai.com heeft geld uitgegeven $ 8 miljoen voor een Super Bowl-advertentie om reclame te maken voor wat een OpenClaw-wrapper bleek te zijn, weken nadat het project viraal ging.
Beveiligingsleiders hebben een middenweg nodig tussen het negeren van OpenClaw en het implementeren ervan op productiehardware. Het Moltworker-framework van Cloudflare biedt er één: kortstondige containers die de agent isoleren, gecodeerde R2-opslag voor een persistente status en Zero Trust-authenticatie op de beheerdersinterface.
Waarom lokaal testen het risico met zich meebrengt dat het zou moeten beoordelen
OpenClaw werkt met de volledige rechten van de hostgebruiker. Shell-toegang. Bestandssysteem lezen/schrijven. OAuth-referenties voor elke verbonden service. Een gecompromitteerde agent erft het allemaal onmiddellijk.
Beveiligingsonderzoeker Simon Willison, die de term ‘snelle injectie’ bedacht, beschrijft wat hij de “dodelijke trifecta” voor AI-agenten: toegang tot privégegevens, blootstelling aan onbetrouwbare inhoud en externe communicatiemogelijkheden gecombineerd in één proces. OpenClaw heeft ze alle drie – en door het ontwerp. Firewalls van organisaties zien HTTP 200. EDR-systemen monitoren procesgedrag, niet semantische inhoud.
Een snelle injectie ingebed in een samengevatte webpagina of doorgestuurde e-mail kan activeer gegevensexfiltratie die er identiek uitziet tot normale gebruikersactiviteit. Giskard-onderzoekers hebben dit aangetoond precies dit aanvalspad in januari, waarbij gedeelde sessiecontext wordt benut om API-sleutels, omgevingsvariabelen en inloggegevens via berichtenkanalen te verzamelen.
Wat de zaken nog erger maakt, is de OpenClaw-gateway bindt standaard aan 0.0.0.0:18789waardoor de volledige API wordt blootgesteld aan elke netwerkinterface. Localhost-verbindingen worden automatisch geverifieerd zonder inloggegevens. Implementeer je achter een reverse proxy op dezelfde server, en de proxy laat de authenticatiegrens volledig vallen, waardoor extern verkeer wordt doorgestuurd alsof het lokaal afkomstig is.
Kortstondige containers veranderen de wiskunde
Cloudflare heeft Moltworker uitgebracht als een open-source referentie-implementatie die het brein van de agent loskoppelt van de uitvoeringsomgeving. In plaats van te draaien op een machine waarvoor je verantwoordelijk bent, draait de logica van OpenClaw in een Cloudflare Sandbox, een geïsoleerde, kortstondige micro-VM die sterft wanneer de taak eindigt.
Vier lagen vormen de architectuur. Een Cloudflare-werknemer aan de rand zorgt voor routing en proxying. De OpenClaw-runtime wordt uitgevoerd in een sandbox-container met Ubuntu 24.04 met Node.js. R2-objectopslag verwerkt gecodeerde persistentie bij het opnieuw opstarten van containers. Cloudflare Access dwingt Zero Trust-authenticatie af op elke route naar de beheerdersinterface.
Insluiting is de beveiligingseigenschap die er het meest toe doet. Een agent die via snelle injectie wordt gekaapt, komt vast te zitten in een tijdelijke container zonder toegang tot uw lokale netwerk of bestanden. De container sterft en het aanvalsoppervlak sterft mee. Er is niets blijvends waaruit je kunt kiezen. Er staan geen inloggegevens in de map ~/.openclaw/ op uw zakelijke laptop.
Vier stappen naar een werkende sandbox
Het duurt een middag om een beveiligd evaluatie-exemplaar actief te krijgen. Voorafgaande Cloudflare-ervaring is niet vereist.
Stap 1: Configureer opslag en facturering.
Een Cloudflare-account met een Workers Paid-abonnement ($ 5/maand) en een R2-abonnement (gratis laag) dekt dit. Het Workers-abonnement omvat toegang tot Sandbox-containers. R2 biedt gecodeerde persistentie, zodat de gespreksgeschiedenis en apparaatkoppelingen het opnieuw opstarten van de container overleven. Voor een pure beveiligingsevaluatie kunt u R2 overslaan en volledig kortstondig uitvoeren. Gegevens verdwijnen bij elke herstart, wat misschien precies is wat u wilt.
Stap 2: Tokens genereren en implementeren.
Kloon de Moltworker-opslagplaatsinstalleer afhankelijkheden en stel drie geheimen in: uw Anthropic API-sleutel, een willekeurig gegenereerd gateway-token (openssl rand -hex 32) en optioneel een Cloudflare AI Gateway-configuratie voor provider-onafhankelijke modelroutering. Voer npm run deployment uit. Het eerste verzoek activeert de initialisatie van de container met een koude start van één tot twee minuten.
Stap 3: Schakel Zero Trust-authenticatie in.
Dit is waar de sandbox afwijkt van elke andere OpenClaw-implementatiehandleiding. Configureer Cloudflare Access om de beheerdersinterface en alle interne routes te beschermen. Stel uw Access-teamdomein en toepassingsdoelgroeptag in als Wrangler-geheimen. Opnieuw inzetten. Voor toegang tot de controle-interface van de agent is nu authenticatie via uw identiteitsprovider vereist. Die ene stap elimineert de blootgestelde beheerderspanelen en het lekken van token-in-URL’s die Censys- en Shodan-scans op internet blijven vinden.
Stap 4: Sluit een testberichtenkanaal aan.
Begin met een brander Telegram-account. Stel het bottoken in als een Wrangler-geheim en implementeer het opnieuw. De agent is bereikbaar via een berichtenkanaal dat u beheert, dat in een geïsoleerde container draait, met gecodeerde persistentie en geverifieerde beheerderstoegang.
De totale kosten voor een 24/7 evaluatie-exemplaar bedragen ongeveer $ 7 tot $ 10 per maand. Vergelijk dat eens met een Mac Mini van $ 599 die op je bureau zit, met volledige netwerktoegang en inloggegevens in leesbare tekst in de thuismap.
Een stresstest van 30 dagen voordat de toegang wordt uitgebreid
Weersta de impuls om iets echts met elkaar te verbinden. De eerste 30 dagen zouden uitsluitend op wegwerpidentiteiten moeten draaien.
Creëer een speciale Telegram-bot en stel een testkalender op met synthetische gegevens. Als e-mailintegratie ertoe doet, maak dan een nieuw account aan zonder doorstuurregels, zonder contacten en zonder banden met de bedrijfsinfrastructuur. Het gaat erom te kijken hoe de agent omgaat met planning, samenvattingen en webonderzoek zonder gegevens vrij te geven die van belang zijn bij een inbreuk.
Let goed op de verwerking van legitimatiebewijzen. OpenClaw slaat configuraties standaard op in Markdown- en JSON-bestanden met platte tekst, dezelfde formaten als commodity-infostealers zoals RedLine, Lumma en Vidar. actief richten op OpenClaw-installaties. In de sandbox blijft dat risico beperkt. Op een bedrijfslaptop zijn deze leesbare tekstbestanden een prooi voor alle malware die al op het eindpunt aanwezig is.
De sandbox biedt u een veilige omgeving om vijandige tests uit te voeren die roekeloos en riskant zijn op productiehardware, maar er zijn oefeningen die u kunt proberen:
Stuur de agentkoppelingen naar pagina’s met ingebedde promptinjectie-instructies en kijk of deze deze volgt. Uit het onderzoek van Giskard bleek dat agenten stilletjes door de aanvaller bestuurde instructies aan hun eigen werkruimte HEARTBEAT.md-bestand toevoegden en wachtten op verdere opdrachten van een externe server. Dat gedrag zou reproduceerbaar moeten zijn in een sandbox waar de gevolgen nul zijn.
Verleen beperkte toegang tot de tool en kijk of de agent bredere machtigingen aanvraagt of probeert. Controleer de uitgaande verbindingen van de container op verkeer naar eindpunten die u niet hebt geautoriseerd.
Test ClawHub-vaardigheden voor en na de installatie. OpenClaw heeft onlangs VirusTotal-scannen op de markt geïntegreerd en elke gepubliceerde vaardigheid wordt nu automatisch gescand. Afzonderlijk, Prompt Security’s ClawSec open source-suite voegt driftdetectie toe voor kritieke agentbestanden zoals SOUL.md en controlesomverificatie voor vaardigheidsartefacten, wat een tweede validatielaag biedt.
Geef de agent tegenstrijdige instructies vanuit verschillende kanalen. Probeer een agenda-uitnodiging met verborgen richtlijnen. Stuur een Telegram-bericht dat probeert de systeemprompt te negeren. Documenteer alles. De sandbox bestaat, dus deze experimenten brengen geen productierisico met zich mee.
Bevestig ten slotte de geldigheid van de sandboxgrens. Probeer toegang te krijgen tot bronnen buiten de container. Controleer of het beëindigen van de container alle actieve verbindingen verbreekt. Controleer of de persistentie van R2 een toestand blootlegt die kortstondig had moeten zijn.
Het speelboek dat langer meegaat dan OpenClaw
Deze oefening levert iets duurzamer op dan een mening over één instrument. Het patroon van geïsoleerde uitvoering, gelaagde integraties en gestructureerde validatie voordat het vertrouwen wordt uitgebreid, wordt uw evaluatiekader voor elke agentische AI-implementatie die volgt.
Het bouwen van een evaluatie-infrastructuur nu, voordat de volgende virale agent wordt verzonden, betekent dat je de schaduw-AI-curve voor moet zijn in plaats van de inbreuk die deze veroorzaakte te documenteren. Het agentische AI-beveiligingsmodel waar u de komende 30 dagen tegenaan loopt, bepaalt of uw organisatie de productiviteitswinst boekt of de volgende onthulling wordt.
