Cybersecurityonderzoekers hebben dit ontdekt ongeveer 1.000 onbeschermde gateways naar OpenClaw, een open source en proactief AI agent die kan worden bestuurd via tekstgesprekken met apps als WhatsApp of Telegram. Er zijn gateways gevonden op het open internet, waardoor iedereen toegang heeft tot de persoonlijke gegevens van gebruikers. Naar verluidt ook een white hat-hacker speelde het vaardigheidssysteem van OpenClawwaarmee gebruikers plug-ins kunnen toevoegen voor taken zoals webautomatisering of systeemmonitoring om de top van de ranglijst te bereiken en door gebruikers over de hele wereld kunnen worden gedownload. De vaardigheid zelf was onschadelijk, maar er werd misbruik gemaakt van een beveiligingsprobleem dat door een snodere kwetsbaarheid had kunnen worden gebruikt om ernstige schade aan te richten.
Toegang tot deze gateways zou hackers in staat stellen dezelfde bestanden en inhoud te bereiken waartoe OpenClaw toegang heeft, wat betekent dat ze volledige lees- en schrijfcontrole hebben over de computer van een gebruiker en alle verbonden accounts, inclusief e-mailadressen en telefoonnummers. Er zijn al een aantal incidenten gemeld waarbij misbruik wordt gemaakt van deze kwetsbaarheden.
OpenClaw, oorspronkelijk Clawdbot genaamd, werd in november 2025 uitgebracht door Peter Steinberger, een in Oostenrijk geboren, in Londen gevestigde ontwikkelaar die vooral bekend staat om het maken van een tool waarmee apps native PDF’s kunnen bekijken en bewerken. De lancering volgde op een golf van vooruitgang in het vermogen van AI om met bestanden te communiceren die eind 2025 begon.
Eind vorig jaar begonnen veel mensen te experimenteren met Claude Code van Anthropic, een agent-AI die via de terminal of opdrachtregel verbinding maakt met het bestandssysteem van een computer en reageert op gespreksaanwijzingen om zelfstandig grote projecten te bouwen, met enig toezicht. De tool maakte veel gebruikers enthousiast, maar schrikte ook anderen af die zich niet op hun gemak voelden bij het werken in een niet-grafische interface.
Als reactie daarop liet Anthropic Claude Code onafhankelijk werken aan een zusterproduct, Claude Work, dat er een gebruiksvriendelijkere interface bovenop legde. Hoewel het enige grip heeft gekregen, is het een product van een derde partij, gebouwd door een ontwikkelaar buiten Anthropic, dat de meeste aandacht heeft getrokken.
Steinberger’s OpenClaw emuleert de beste eigenschappen van Claude Code, maar met meer functionaliteit en de mogelijkheid om proactief aan taken te werken zonder dat u daarom wordt gevraagd.
Deze proactiviteit is een belangrijk verschil tussen de tool, die vorige week gedwongen werd zichzelf Moltbot en vervolgens OpenClaw te hernoemen na een verzoek van Anthropic, en andere AI-systemen. Het potentieel ervan heeft de technologiesector een impuls gegeven, gezorgd voor een sterke stijging van de Mac Mini-verkopen als een populaire manier om de agent te hosten, en is bepaalde hoeken van X en Reddit gaan domineren.
Het probleem is dat juist datgene wat OpenClaw zo aantrekkelijk maakt, de mogelijkheid om toezicht te houden op een enthousiaste AI-assistent zonder speciale kennis van coderen en met een eenvoudige installatie, het ook zo verontrustend maakt. “Ik vind het geweldig, maar toch word ik meteen vervuld van angst”, zegt Jake Moore, een cybersecurity-expert bij Eset. Moore zegt dat gebruikers zo enthousiast zijn over het idee van OpenClaw als persoonlijke assistent dat ze het onbeperkte toegang geven tot hun digitale leven, soms terwijl ze hun instances hosten op verkeerd geconfigureerde virtuele privéservers. Dat maakt ze kwetsbaar voor hacking.
“Het openen van privéberichten en e-mails voor nieuwe technologie brengt een risico met zich mee, en als we die risico’s niet volledig begrijpen, betreden we mogelijk een nieuw tijdperk waarin efficiëntie boven veiligheid en privacy gaat”, waarschuwt Moore. Dezelfde toegang die OpenClaw krachtig maakt, maakt het ook gevaarlijk als het wordt gecompromitteerd. “Als een van de apparaten waarop Clawdbot draait, wordt aangetast, heeft een aanvaller toegang tot alles, inclusief de volledige geschiedenis en zeer gevoelige informatie”, zegt hij.
Steinberger reageerde niet op meerdere interviewverzoeken, maar hij heeft uitgebreide beveiligingsdocumentatie voor Moltbot online gepubliceerd, hoewel veel gebruikers deze misschien niet in hun instellingen opnemen. Dat baart cybersecurity-experts zorgen. “Ontwikkelingen als Clawdbot zijn zo verleidelijk, maar een geschenk voor de slechteriken”, zegt Alan Woodward, hoogleraar cyberveiligheid aan de Universiteit van Surrey in Groot-Brittannië. “Grote macht brengt grote verantwoordelijkheid met zich mee, en machines zijn niet verantwoordelijk”, zegt hij. “Uiteindelijk is de gebruiker.”
De manier waarop OpenClaw werkt, zonder toezicht en als assistent die altijd beschikbaar is, kan ervoor zorgen dat gebruikers deze verantwoordelijkheid vergeten totdat het te laat is. Sommigen hebben al aangetoond dat Moltbot kwetsbaar kan zijn voor snelle injectie-aanvallen, waarbij kwaadaardige instructies worden ingebed in websites of e-mails in de hoop dat AI-agenten deze zullen absorberen en volgen. “Ik vraag me af wie deze gebruikers denken dat de schuldige is als agent AI hun account verwijdert of haatdragende gedachten stuurt”, zegt Woodward.
