Een aanvaller sluit een enkele instructie in een doorgestuurde e-mail in. Een OpenClaw-agent vat die e-mail samen als onderdeel van een normale taak. De verborgen instructie vertelt de agent dat hij inloggegevens moet doorsturen naar een extern eindpunt. De agent voldoet hieraan – via een gesanctioneerde API-aanroep, met behulp van zijn eigen OAuth-tokens.
De firewall registreert HTTP 200. EDR registreert een normaal proces. Geen kenmerkende branden. Er is volgens geen enkele definitie die uw beveiligingsstack begrijpt, iets misgegaan. Dat is het probleem. Zes onafhankelijke beveiligingsteams hebben in veertien dagen zes OpenClaw-verdedigingstools verzonden. Drie aanvalsoppervlakken overleefden ze allemaal.
Het blootstellingsbeeld is al slechter dan de meeste beveiligingsteams weten. Token-beveiliging ontdekte dat 22% van de zakelijke klanten werknemers heeft die OpenClaw gebruiken zonder goedkeuring van de IT-afdeling, en Bitsight telde in twee weken tijd meer dan 30.000 openbaar gemaakte gevallen, tegen ongeveer 1.000. Snyk’s ToxicSkills-audit voegt nog een dimensie toe: 36% van alle ClawHub-vaardigheden bevatten beveiligingsfouten.
Jamieson O’Reilly, oprichter van Dvuln en nu veiligheidsadviseur van het OpenClaw-project, is een van de onderzoekers geweest die van binnenuit het hardst aan oplossingen hebben gewerkt. Zijn onderzoek naar het lekken van legitimatiegegevens bij blootgestelde gevallen was een van de eerste waarschuwingen die de gemeenschap ontving. Sindsdien heeft hij rechtstreeks samengewerkt met oprichter Peter Steinberger om dubbellaagse detectie van kwaadaardige vaardigheden mogelijk te maken en bestuurt hij nu een voorstel voor capaciteitsspecificatie via het Agentskills Standards-orgaan.
Het team is helder over de veiligheidslekken, vertelde hij aan VentureBeat. “Het is niet van de grond af aan ontworpen om zo veilig mogelijk te zijn,” zei O’Reilly. “Dat is begrijpelijk gezien de oorsprong, en we bezitten het zonder excuses.”
Geen van deze oplossingen dicht de drie gaten die er het meest toe doen.
Drie aanvalsoppervlakken die jouw stapel niet kan zien
De eerste is semantische exfiltratie tijdens runtime. De aanval codeert kwaadaardig gedrag in betekenis, en niet in binaire patronen, wat precies is wat de huidige verdedigingsstack niet kan zien.
Palo Alto-netwerken heeft OpenClaw toegewezen aan elke categorie in de OWASP Top 10 voor Agentic Applications en identificeerde wat beveiligingsonderzoeker Simon Willison een “dodelijke trifecta” noemt: toegang tot privégegevens, blootstelling aan onbetrouwbare inhoud en externe communicatiemogelijkheden in één enkel proces. EDR bewaakt het procesgedrag. Het gedrag van de agent ziet er normaal uit omdat het normaal is. De inloggegevens zijn echt en de API-aanroepen worden goedgekeurd, dus EDR leest het als een geaccrediteerde gebruiker die het verwachte werk doet. Niets in het huidige defensie-ecosysteem houdt bij wat de agent met die toegang heeft besloten, of waarom.
De tweede is het lekken van context tussen agenten. Wanneer meerdere agenten of vaardigheden de sessiecontext delen, vergiftigt een snelle injectie in één kanaal beslissingen in de hele keten. Giskard-onderzoekers demonstreerde dit in januari 2026, waaruit bleek dat agenten stilletjes door de aanvaller bestuurde instructies aan hun eigen werkruimtebestanden toevoegden en wachtten op opdrachten van externe servers. De geïnjecteerde prompt wordt een sleeper-payload. Palo Alto Networks-onderzoekers Sailesh Mishra en Sean P. Morgan waarschuwden dat het aanhoudende geheugen deze aanvallen verandert in stateful, vertraagde uitvoeringsketens. Een kwaadaardige instructie die verborgen zit in een doorgestuurd bericht, bevindt zich weken later in de context van de agent en wordt geactiveerd tijdens een niet-gerelateerde taak.
O’Reilly identificeerde het lekken van context tussen agenten als de moeilijkste van deze hiaten om te dichten. “Deze is vooral moeilijk omdat het zo nauw verbonden is met snelle injectie, een systemische kwetsbaarheid die veel groter is dan OpenClaw en elk LLM-aangedreven agentsysteem in de sector treft”, vertelde hij aan VentureBeat. “Wanneer de context ongecontroleerd tussen agenten en vaardigheden stroomt, kan een enkele geïnjecteerde prompt gedrag in de hele keten vergiftigen of kapen.” Geen enkel hulpmiddel in het huidige ecosysteem biedt contextisolatie tussen agenten. IronClaw sandboxen individuele uitvoering van vaardigheden. ClawSec bewaakt de bestandsintegriteit. Geen van beide houdt bij hoe context zich voortplant tussen agenten in dezelfde workflow.
De derde zijn agent-to-agent-vertrouwensketens zonder wederzijdse authenticatie. Wanneer OpenClaw-agenten taken delegeren aan andere agenten of externe MCP-servers, vindt er geen identiteitsverificatie tussen hen plaats. Een gecompromitteerde agent in een workflow met meerdere agenten erft het vertrouwen van elke agent waarmee hij communiceert. Als je er één compromitteert door snelle injectie, kan het instructies geven aan elke agent in de keten, gebruikmakend van vertrouwensrelaties die de legitieme agent al heeft opgebouwd.
Het beveiligingsteam van Microsoft publiceerde in februari richtlijnen waarin OpenClaw niet-vertrouwde code-uitvoering met persistente inloggegevens wordt genoemd, waarbij wordt opgemerkt dat de runtime niet-vertrouwde tekst opneemt, vaardigheden van externe bronnen downloadt en uitvoert, en acties uitvoert met de inloggegevens die deze bevat. Kaspersky’s ondernemingsrisicobeoordeling voegde eraan toe dat zelfs agenten op persoonlijke apparaten de veiligheid van de organisatie bedreigen omdat die apparaten VPN-configuraties, browsertokens en inloggegevens voor bedrijfsservices opslaan. Het sociale netwerk Moltbook voor OpenClaw-agenten heeft het overlooprisico al aangetoond: Wiz-onderzoekers vonden een verkeerd geconfigureerde database die 1,5 miljoen API-authenticatietokens en 35.000 e-mailadressen blootlegde.
Welke 14 dagen noodpatching eigenlijk zijn afgesloten
Het defensie-ecosysteem is opgesplitst in drie benaderingen. Twee gereedschappen verharden OpenClaw op zijn plaats. KlauwSecvan Prompt Security (a SentinelEen bedrijf), omhult agenten met voortdurende verificatie, controleert kritieke bestanden op drift en dwingt standaard zero-trust uitgaand verkeer af. OpenClaw’s VirusTotal-integratiegezamenlijk uitgebracht door Steinberger, O’Reilly en Bernardo Quintero van VirusTotal, scant elke gepubliceerde ClawHub-vaardigheid en blokkeert bekende kwaadaardige pakketten.
Twee tools zijn volledige architecturale herschrijvingen. IJzerklauwNEAR AI’s Rust-herimplementatie, voert alle niet-vertrouwde tools uit in WebAssembly-sandboxen waar toolcode begint zonder rechten en expliciet om netwerk-, bestandssysteem- of API-toegang moet vragen. Inloggegevens worden aan de hostgrens geïnjecteerd en raken nooit agentcode aan, met ingebouwde scanverzoeken en -antwoorden voor lekdetectie. Rugschildeen onafhankelijk open-sourceproject, keert elke gevaarlijke OpenClaw-standaard om met fail-closed authenticatie en subproces-sandboxing op OS-niveau.
Twee tools richten zich op scannen en controleerbaarheid: Cisco’s open-source scanner combineert statische, gedrags- en LLM-semantische analyse, terwijl NanoClaw de volledige codebasis terugbrengt tot ongeveer 500 regels TypeScript, waarbij elke sessie in een geïsoleerde Docker-container wordt uitgevoerd.
O’Reilly verwoordde het falen van de toeleveringsketen in directe termen. “Op dit moment heeft de industrie in feite een geheel nieuw uitvoerbaar formaat gecreëerd, geschreven in duidelijke menselijke taal, en alle controles vergeten die daarbij horen”, zei hij. Zijn reactie was praktijkgericht. Hij lanceerde de VirusTotal-integratie voordat skills.sh, een veel grotere repository, een soortgelijk patroon adopteerde. De audit van Koi Security bevestigt de urgentie: de 341 kwaadaardige vaardigheden die begin februari werden gevonden, groeiden halverwege de maand tot 824 van de 10.700 op ClawHub, waarbij de ClawHavoc-campagne de Atomic Stealer macOS infostealer in vaardigheden plantte, vermomd als cryptocurrency-handelstools, en crypto-wallets, SSH-inloggegevens en browserwachtwoorden verzamelde.
OpenClaw Beveiligingsverdediging Evaluatiematrix
|
Dimensie |
KlauwSec |
VirusTotal-integratie |
IJzerklauw |
Rugschild |
Nanoklauw |
Cisco-scanner |
|
Ontdekking |
Alleen agenten |
Alleen ClawHub |
Nee |
mDNS-scan |
Nee |
Nee |
|
Runtime-bescherming |
Configuratie-drift |
Nee |
WASM-zandbak |
OS-sandbox + promptguard |
Isolatie van containers |
Nee |
|
Toeleveringsketen |
Checksum-verificatie |
Handtekeningscan |
Capaciteitssubsidies |
Ed25519 ondertekend |
Audithandleiding (~500 LOC) |
Statisch + LLM + gedragsmatig |
|
Isolatie van inloggegevens |
Nee |
Nee |
WASM-grensinjectie |
OS-sleutelhanger + AES-256-GCM |
Mount-beperkte dirs |
Nee |
|
Controleerbaarheid |
Drift-logboeken |
Uitspraken scannen |
Logboeken van toestemmingsverlening |
Prometheus + auditlogboek |
Totaal 500 regels |
Scanrapporten |
|
Semantische monitoring |
Nee |
Nee |
Nee |
Nee |
Nee |
Nee |
Bron: VentureBeat-analyse op basis van gepubliceerde documentatie en beveiligingsaudits, maart 2026.
De capaciteitsspecificatie die vaardigheden zoals uitvoerbare bestanden behandelt
O’Reilly heeft een update van de standaarden voor de specificatie van vaardigheden aan de agentskills-onderhouders, voornamelijk geleid door Anthropic en Vercel, waarover actief wordt gediscussieerd. Het voorstel vereist elke vaardigheid om expliciete, voor de gebruiker zichtbare mogelijkheden aan te geven vóór uitvoering. Denk aan toestemmingsmanifesten voor mobiele apps. Hij merkte op dat het voorstel sterke vroege feedback krijgt van de beveiligingsgemeenschap, omdat het vaardigheden eindelijk behandelt als de uitvoerbare bestanden die ze zijn.
“De andere twee hiaten kunnen betekenisvol worden verhard met betere isolatieprimitieven en runtime-vangrails, maar het echt dichten van contextlekkage vereist diepgaande architecturale veranderingen in de manier waarop niet-vertrouwd multi-agentgeheugen en prompts worden afgehandeld”, aldus O’Reilly. “De nieuwe capaciteitsspecificatie is de eerste echte stap in de richting van het proactief oplossen van deze uitdagingen in plaats van later pleisters aan te brengen.”
Wat te doen op maandagochtend
Stel dat OpenClaw al in uw omgeving aanwezig is. Het schaduwinzetpercentage van 22% is een bodem. Deze zes stappen sluiten af wat kan worden gesloten en documenteren wat niet kan worden gesloten.
-
Inventariseer wat er draait. Scan op WebSocket-verkeer op poort 18789 en mDNS-uitzendingen op poort 5353. Bekijk bedrijfsverificatielogboeken voor nieuwe app-ID-registraties, OAuth-toestemmingsgebeurtenissen en Node.js User-Agent-reeksen. Elke instantie met een versie vóór v2026.2.25 is kwetsbaar voor de ClawJacked-fout bij overname op afstand.
-
Mandaat geïsoleerde uitvoering. Geen enkele agent draait op een apparaat dat is aangesloten op de productie-infrastructuur. Vereist containergebaseerde implementatie met specifieke inloggegevens en expliciete witte lijsten voor tools.
-
Implementeer ClawSec op elke agentinstantie en voer elke ClawHub-vaardigheid uit via VirusTotal en de open-sourcescanner van Cisco vóór de installatie. Beide zijn gratis. Behandel vaardigheden als uitvoerbare bestanden van derden, want dat zijn ze ook.
-
Vereist human-in-the-loop goedkeuring voor acties van gevoelige agenten. De goedkeuringsinstellingen van OpenClaw ondersteunen drie modi: beveiliging, vragen en toelatingslijst. Stel gevoelige tools in om te vragen, zodat de agent pauzeert en om bevestiging vraagt voordat hij shell-opdrachten uitvoert, naar externe API’s schrijft of bestanden buiten zijn werkruimte wijzigt. Elke actie waarbij inloggegevens worden aangeraakt, configuraties worden gewijzigd of gegevens naar een extern eindpunt worden verzonden, moet worden gestopt en gewacht tot een mens deze goedkeurt.
-
Breng de drie overgebleven hiaten in kaart aan de hand van uw risicoregister. Documenteer of uw organisatie deze allemaal accepteert, beperkt of blokkeert: semantische exfiltratie tijdens runtime, contextlekkage tussen agenten en vertrouwensketens van agent tot agent.
-
Neem de evaluatietafel mee naar uw volgende bestuursvergadering. Zie het niet als een AI-experiment, maar als een kritische bypass van uw bestaande DLP- en IAM-investeringen. Elk agent AI-platform dat volgt, zal met dezelfde verdedigingscyclus te maken krijgen. Het raamwerk wordt overgedragen naar elke agenttool die uw team de komende twee jaar zal beoordelen.
De beveiligingsstack die u voor applicaties en eindpunten hebt gebouwd, vangt kwaadaardige code op. Het betrapt een agent niet op het volgen van een kwaadaardige instructie via een legitieme API-aanroep. Dat is waar deze drie hiaten leven.
