Open Klauwde open-source AI-assistent die voorheen bekend stond als Clawdbot en vervolgens Moltbotpasseerde 180.000 GitHub-sterren en trok 2 miljoen bezoekers in één weekvolgens maker Peter Steinberger.
Beveiligingsonderzoekers scannen het gevonden internet 1.800 blootgestelde exemplaren lekkende API-sleutels, chatgeschiedenis en accountgegevens. Het project heeft de afgelopen weken twee keer een nieuwe naam gekregen vanwege handelsmerkgeschillen.
De basis-AI-beweging is ook het grootste onbeheerde aanvalsoppervlak dat de meeste beveiligingstools niet kunnen zien.
Enterprise-beveiligingsteams hebben deze tool niet geïmplementeerd. Hun firewalls, EDR of SIEM ook niet. Wanneer agenten op BYOD-hardware draaien, worden de beveiligingsstacks blind. Dat is de kloof.
Waarom traditionele perimeters geen agressieve AI-bedreigingen kunnen zien
De meeste verdedigingsmechanismen van ondernemingen beschouwen agent-AI als een ontwikkelingstool die standaardtoegangscontroles vereist. OpenClaw bewijst dat deze aanname architectonisch onjuist is.
Agenten opereren binnen de geautoriseerde permissies, halen context uit bronnen die door aanvallers kunnen worden beïnvloed, en voeren autonoom acties uit. Jouw omgeving ziet er niets van. Een verkeerd dreigingsmodel betekent verkeerde controles, wat blinde vlekken betekent.
“AI-runtime-aanvallen zijn semantisch in plaats van syntactisch”, zegt Carter Rees, vice-president kunstmatige intelligentie bij Reputatievertelde VentureBeat. “Een zin die zo onschadelijk is als ‘Negeer eerdere instructies’ kan een lading hebben die net zo verwoestend is als een bufferoverflow, maar heeft geen enkele overeenkomst met bekende malware-signaturen.”
Simon Willison, de softwareontwikkelaar en AI-onderzoeker die de term ‘prompt injection’ bedacht, beschrijft wat hij de ‘prompt injection’ noemt “dodelijke trifecta” voor AI-agenten. Ze omvatten toegang tot privégegevens, blootstelling aan niet-vertrouwde inhoud en de mogelijkheid om extern te communiceren. Wanneer deze drie mogelijkheden worden gecombineerd, kunnen aanvallers de agent ertoe verleiden toegang te krijgen tot privé-informatie en deze naar hen te verzenden. Willison waarschuwt dat dit allemaal kan gebeuren zonder dat er ook maar één waarschuwing wordt verzonden.
OpenClaw heeft ze alle drie. Het leest e-mails en documenten, haalt informatie op van websites of gedeelde bestanden en handelt door berichten te verzenden of geautomatiseerde taken te activeren. De firewall van een organisatie ziet HTTP 200. SOC-teams zien het gedrag van hun EDR-bewakingsproces, niet de semantische inhoud. De dreiging is semantische manipulatie, niet ongeoorloofde toegang.
Waarom dit niet beperkt is tot enthousiaste ontwikkelaars
IBM Research-wetenschappers Kaoutar El Maghraoui en Marina Danilevsky analyseerden OpenClaw deze week en concludeerden het betwist de hypothese dat autonome AI-agenten verticaal geïntegreerd moeten zijn. De tool laat zien dat “deze losse, open-sourcelaag ongelooflijk krachtig kan zijn als deze volledige systeemtoegang heeft” en dat het creëren van agenten met echte autonomie “niet beperkt is tot grote ondernemingen”, maar “ook door de gemeenschap kan worden aangestuurd.”
Dat is precies wat het gevaarlijk maakt voor de bedrijfsbeveiliging. Een zeer capabele agent zonder de juiste veiligheidscontroles creëert grote kwetsbaarheden in de werkcontext. El Maghraoui benadrukte dat de vraag is verschoven van de vraag of open agentische platforms kunnen werken naar “welk soort integratie het belangrijkst is, en in welke context.” De beveiligingsvragen zijn niet meer optioneel.
Wat Shodan-scans onthulden over blootliggende toegangspoorten
Beveiligingsonderzoeker Jamieson O’Reilly, oprichter van het red-teaming-bedrijf Dvuln, identificeerde blootgestelde OpenClaw-servers met behulp van Shodan door te zoeken naar karakteristieke HTML-vingerafdrukken. Een eenvoudige zoekopdracht naar “Clawdbot Control” leverde binnen enkele seconden honderden resultaten op. Van de gevallen die hij handmatig onderzocht, waren er acht volledig open zonder authenticatie. Deze instanties boden volledige toegang om opdrachten uit te voeren en configuratiegegevens te bekijken voor iedereen die ze ontdekte.
O’Reilly heeft Anthropic API-sleutels gevonden. Telegram-bottokens. Slack OAuth-referenties. Volledige gespreksgeschiedenis op elk geïntegreerd chatplatform. Twee instanties gaven maanden aan privégesprekken op zodra de WebSocket-handshake was voltooid. Het netwerk ziet localhost-verkeer. Beveiligingsteams hebben geen inzicht in wat agenten bellen of welke gegevens ze retourneren.
Dit is waarom: OpenClaw vertrouwt standaard localhost zonder dat authenticatie vereist is. De meeste implementaties bevinden zich achter nginx of Caddy als een omgekeerde proxy, dus elke verbinding ziet eruit alsof deze afkomstig is van 127.0.0.1 en wordt behandeld als vertrouwd lokaal verkeer. Externe verzoeken komen regelrecht binnen. O’Reilly’s specifieke aanvalsvector is gepatcht, maar de architectuur die dit mogelijk maakte, is niet veranderd.
Waarom Cisco het een ‘beveiligingsnachtmerrie’ noemt
Cisco’s AI Threat & Security Research-team publiceerde deze week zijn beoordelingwaarbij OpenClaw “baanbrekend” wordt genoemd vanuit een capaciteitsperspectief, maar “een absolute nachtmerrie” vanuit een beveiligingsperspectief.
Het team van Cisco heeft een open-source vrijgegeven Vaardigheidsscanner dat statische analyse, gedragsgegevensstroom, LLM-semantische analyse en VirusTotal-scannen combineert om vaardigheden van kwaadwillende agenten te detecteren. Het testte een vaardigheid van een derde partij genaamd “Wat zou Elon doen?” tegen OpenClaw. Het vonnis was een beslissende mislukking. Er kwamen negen beveiligingsbevindingen aan het licht, waaronder twee kritieke en vijf zeer ernstige problemen.
De vaardigheid was functioneel malware. Het instrueerde de bot om een curl-opdracht uit te voeren, waarbij gegevens naar een externe server werden gestuurd die werd beheerd door de auteur van de vaardigheid. Stille uitvoering, geen gebruikersbewustzijn. De vaardigheid maakte ook gebruik van directe, snelle injectie om veiligheidsrichtlijnen te omzeilen.
“De LLM kan inherent geen onderscheid maken tussen vertrouwde gebruikersinstructies en niet-vertrouwde opgehaalde gegevens”, aldus Rees. “Het kan het ingebedde commando uitvoeren en in feite een ‘verwarde plaatsvervanger’ worden die namens de aanvaller optreedt.” AI-agents met systeemtoegang worden geheime datalekkanalen die traditionele DLP, proxy’s en eindpuntmonitoring omzeilen.
Waarom de zichtbaarheid van beveiligingsteams alleen maar slechter is geworden
De controlekloof wordt sneller groter dan de meeste beveiligingsteams zich realiseren. Vanaf vrijdag vormen OpenClaw-gebaseerde agenten hun eigen sociale netwerken. Communicatiekanalen die volledig buiten de menselijke zichtbaarheid bestaan.
Moltboek bestempelt zichzelf als ‘een sociaal netwerk voor AI-agenten’ waar ‘mensen welkom zijn om te observeren’. Berichten gaan via de API, niet via een voor mensen zichtbare interface. Scott Alexander van Astral Codex Ten bevestigde dat het niet triviaal verzonnen is. Hij vroeg zijn eigen Claude om mee te doen, en “de opmerkingen kwamen vrijwel overeen met die van alle anderen.” Eén mens bevestigde dat hun agent een gemeenschap met een religieus thema was begonnen ’terwijl ik sliep’.
De gevolgen voor de veiligheid zijn onmiddellijk. Om deel te nemen, voeren agenten externe shell-scripts uit die hun configuratiebestanden herschrijven. Ze posten over hun werk, de gewoonten van hun gebruikers en hun fouten. Contextlekkage als tafelinzet voor deelname. Elke snelle injectie in een Moltbook-post komt via MCP-verbindingen terecht in de andere mogelijkheden van uw agent.
Moltbook is een microkosmos van het bredere probleem. Dezelfde autonomie die agenten nuttig maakt, maakt ze kwetsbaar. Hoe meer ze zelfstandig kunnen doen, hoe meer schade een gecompromitteerde instructieset kan veroorzaken. De capaciteitscurve overtreft de beveiligingscurve met een ruime marge. En de mensen die deze tools bouwen, zijn vaak meer enthousiast over wat mogelijk is dan bezorgd over wat exploiteerbaar is.
Wat veiligheidsleiders maandagochtend moeten doen
Firewalls voor webapplicaties beschouwen agentverkeer als normaal HTTPS. EDR-tools monitoren procesgedrag, niet semantische inhoud. Een typisch bedrijfsnetwerk ziet localhost-verkeer wanneer agenten MCP-servers bellen.
“Behandel agenten als een productie-infrastructuur, niet als een productiviteitsapp: minimale privileges, scoped tokens, acties op de toelatingslijst, sterke authenticatie bij elke integratie en end-to-end controleerbaarheid”, zegt Itamar Golan, oprichter van Snelle beveiliging (nu onderdeel van SentinelOne), vertelde VentureBeat in een exclusief interview.
Controleer uw netwerk op blootgestelde AI-gateways van agenten. Voer Shodan-scans uit op uw IP-bereiken voor OpenClaw-, Moltbot- en Clawdbot-handtekeningen. Als uw ontwikkelaars aan het experimenteren zijn, wilt u dit weten voordat aanvallers dat doen.
Breng in kaart waar Willison’s dodelijke trifecta in jouw omgeving voorkomt. Identificeer systemen die privégegevenstoegang, onbetrouwbare inhoud en externe communicatie combineren. Stel dat elke agent met alle drie kwetsbaar is totdat het tegendeel is bewezen.
Segmenteer de toegang agressief. Uw agent heeft niet tegelijkertijd toegang nodig tot heel Gmail, heel SharePoint, heel Slack en al uw databases. Behandel agenten als bevoorrechte gebruikers. Registreer de acties van de agent, niet alleen de authenticatie van de gebruiker.
Scan de vaardigheden van uw agenten op kwaadaardig gedrag. Cisco heeft zijn Skillscanner als open source. Gebruik het. Een deel van het meest schadelijke gedrag verbergt zich in de bestanden zelf.
Update uw draaiboeken voor incidentrespons. Een snelle injectie lijkt niet op een traditionele aanval. Er is geen malwarehandtekening, geen netwerkafwijking, geen ongeautoriseerde toegang. De aanval vindt plaats binnen de redenering van het model. Uw SOC moet weten waar hij op moet letten.
Stel beleid vast voordat u verbiedt. Je kunt experimenten niet verbieden zonder de productiviteitsblokker te worden waar je ontwikkelaars omheen lopen. Bouw vangrails die innovatie kanaliseren in plaats van blokkeren. Shadow AI bevindt zich al in uw omgeving. De vraag is of je daar zicht op hebt.
De bottom-line
OpenClaw is niet de bedreiging. Het is het signaal. De gaten in de beveiliging die deze instanties aan het licht brengen, zullen elke AI-implementatie blootleggen die uw organisatie de komende twee jaar bouwt of adopteert. Er zijn al experimenten aan de basis gedaan. Controlelacunes worden gedocumenteerd. Aanvalspatronen worden gepubliceerd.
Het agentische AI-beveiligingsmodel dat u in de komende 30 dagen bouwt, bepaalt of uw organisatie productiviteitswinst boekt of de volgende openbaarmaking van een inbreuk wordt. Valideer nu uw controles.
