“Jouw AI? Het is nu mijn AI.” De lijn kwam van Etay Maor, VP Threat Intelligence bij Cato-netwerkin een exclusief interview met VentureBeat op RSAC 2026 – en het beschrijft precies wat er met een Britse CEO gebeurde Open Klauw instance werd te koop aangeboden op BreachForums. Het argument van Maor is dat de industrie AI-agenten het soort autonomie heeft gegeven dat ze nooit aan een menselijke werknemer zou verlenen, waarbij het nulvertrouwen, de minste privileges en het schenden van aannames daarbij terzijde worden geschoven.
Het bewijs kwam InbreukForums drie weken voor het interview van Maor. Op 22 februari plaatste een bedreigingsacteur die de handle “fluffyduck” gebruikte een advertentie waarin hij rootshell-toegang tot de computer van de CEO adverteerde voor $ 25.000 in Monero of Litecoin. De schaal was niet het verkoopargument. De persoonlijke assistent OpenClaw AI van de CEO was dat wel. De koper zou elk gesprek krijgen dat de CEO had met de AI, de volledige productiedatabase van het bedrijf, Telegram-bottokens, Trading 212 API-sleutels en persoonlijke informatie die de CEO aan de assistent openbaarde over familie en financiën. De bedreigingsacteur merkte op dat de CEO in realtime actief met OpenClaw communiceerde, waardoor de lijst een live inlichtingenfeed werd in plaats van een statische datadump.
Cato CTRL senior beveiligingsonderzoeker Vitaly Simonovich documenteerde de vermelding op 25 februari. De OpenClaw-instantie van de CEO heeft alles opgeslagen in gewone Markdown-bestanden onder ~/.openclaw/workspace/ zonder codering in rust. De bedreigingsacteur hoefde niets te exfiltreren; de CEO had het al verzameld. Toen het beveiligingsteam de inbreuk ontdekte, was er geen ingebouwde noodschakelaar voor de onderneming, geen beheerconsole en geen manier om te tellen hoeveel andere instanties er in de organisatie actief waren.
OpenClaw draait lokaal met directe toegang tot het bestandssysteem van de hostmachine, netwerkverbindingen, browsersessies en geïnstalleerde applicaties. De dekking tot nu toe heeft de snelheid ervan gevolgd, maar wat niet in kaart is gebracht, is het bedreigingsoppervlak. De vier leveranciers die RSAC 2026 gebruikten om antwoorden te verzenden, hebben nog steeds niet de controle geproduceerd die bedrijven het meest nodig hebben: een ingebouwde kill-schakelaar.
De dreiging komt naar voren in de cijfers
|
Metrisch |
Nummer |
Bron |
|
Internetgerichte gevallen |
~500.000 (live check op 24 maart) |
Etay Maor, Cato Networks (exclusief RSAC 2026-interview) |
|
Blootgestelde gevallen met veiligheidsrisico’s |
30.000+ waargenomen tijdens het scanvenster |
|
|
Kan worden geëxploiteerd via bekende RCE |
15.200 gevallen |
|
|
CVE’s met hoge ernst |
3 (hoogste CVSS: 8,8) |
|
|
Schadelijke vaardigheden op ClawHub |
341 in Koi-revisie (335 van ClawHavoc); 824 medio februari |
|
|
ClawHub-vaardigheden met kritieke bugs |
13,4% van 3.984 geanalyseerd |
|
|
API-tokens onthuld (Moltbook) |
1,5 miljoen |
Maor voerde een live Censys-check uit tijdens een exclusief VentureBeat-interview op RSAC 2026. “De eerste week dat het uitkwam, waren er ongeveer 6.300 gevallen. Vorige week heb ik gecontroleerd: 230.000 gevallen. Laten we nu eens kijken… bijna een half miljoen. Bijna verdubbeld in een week”, zei Maor. Drie zeer ernstige CVE’s definiëren het aanvalsoppervlak: CVE-2026-24763 (CVSS 8.8, commando-injectie via Docker PATH-afhandeling), CVE-2026-25157 (CVSS 7.7, OS-opdrachtinjectie), en CVE-2026-25253 (CVSS 8.8, token-exfiltratie voor volledige gateway-compromis). Alle drie de CVE’s zijn gepatcht, maar OpenClaw heeft geen bedrijfsbeheerplan, geen gecentraliseerd patchmechanisme en geen kill switch voor de hele vloot. Individuele beheerders moeten elk exemplaar handmatig bijwerken, en de meeste doen dat niet.
De telemetrie aan de defensiekant is even alarmerend. CrowdStrike’s Falcon-sensoren registreert al ruim 1.800 verschillende AI-toepassingen binnen zijn klantenbestand (van ChatGPT tot Copilot tot OpenClaw) genereert het ongeveer 160 miljoen unieke instances op bedrijfseindpunten. ClawHavoc, een kwaadaardige vaardigheid die via de ClawHub-marktplaats wordt verspreid, werd de belangrijkste casestudy in de OWASP Agentic Skills Top 10. George Kurtz, CEO van CrowdStrike, noemde het in zijn RSAC 2026-keynote als de eerste grote supply chain-aanval op een ecosysteem van AI-agenten.
AI-agenten kregen root-toegang. De beveiliging heeft niets.
Maor kaderde het gebrek aan zichtbaarheid via de OODA-lus (Observe, Orient, Decide, Act) tijdens het RSAC 2026-interview. De meeste organisaties falen bij de eerste stap: beveiligingsteams kunnen niet zien welke AI-tools op hun netwerken draaien, wat betekent dat de productiviteitstools die werknemers stilletjes meebrengen, schaduw-AI worden die aanvallers misbruiken. De BreachForums-lijst bleek de eindtoestand. De OpenClaw-instantie van de CEO werd een gecentraliseerde inlichtingenhub met SSO-sessies, referentieopslagplaatsen en communicatiegeschiedenis allemaal op één plek. “De assistent van de CEO kan jouw assistent zijn als je toegang tot deze computer koopt”, vertelde Maor aan VentureBeat. “Het is een assistent voor de spits.”
Ghosting-agenten vergroten de blootstelling. Organisaties zetten AI-tools in, voeren een pilot uit, verliezen hun interesse en gaan verder, waardoor agenten met de inloggegevens intact blijven. “We hebben een HR-visie op agenten nodig. Onboarding, monitoring, offboarding. Als er geen business case is? Verwijdering”, vertelde Maor aan VentureBeat. “We hebben geen spookagenten meer op ons netwerk, omdat dit al gebeurt.”
Cisco ging richting een OpenClaw-kill-schakelaar
Cisco President en Chief Product Officer Jeetu Patel vatte de inspanning samen tijdens een exclusief VentureBeat-interview op RSAC 2026. “Ik beschouw ze meer als tieners. Ze zijn zeer intelligent, maar ze zijn niet bang voor de gevolgen”, zei Patel over AI-agenten. “Het verschil tussen delegatie en fiduciaire delegatie van taken aan een agent… het ene leidt tot faillissement. Het andere leidt tot marktdominantie.”
Cisco heeft tijdens RSAC 2026 drie gratis, open source beveiligingstools voor OpenClaw gelanceerd. Verdedigingsklauw bundelt Skills Scanner, MCP Scanner, AI BoM en CodeGuard in één open source-framework dat draait binnen NVIDIA’s OpenShell-runtime, die NVIDIA de week voor RSAC op GTC lanceerde. “Elke keer dat je daadwerkelijk een agent in een Open Shell-container activeert, kun je nu automatisch alle beveiligingsdiensten instantiëren die we via Defense Claw hebben gebouwd”, vertelde Patel aan VentureBeat. AI Defense Explorer-editie is een gratis, zelfbedieningsversie van Cisco’s algoritmische red-teaming-engine die elk AI-model of elke agent test op snelle injectie en jailbreaks in meer dan 200 risicosubcategorieën. De LLM-beveiligingsklassement rangschikt basismodellen op basis van veerkracht in plaats van prestatiebenchmarks. Cisco heeft ook gestuurd Duo-agentidentiteit om agenten te registreren als identiteitsobjecten met getimede machtigingen, Identity Intelligence om schaduwagenten te detecteren via netwerkmonitoring, en de Agent Runtime SDK om beleidshandhaving tijdens de bouwtijd te integreren.
Palo Alto heeft agent-eindpunten tot hun eigen beveiligingscategorie gemaakt
Palo Alto Networks CEO Nikesh Arora typeerde tools van OpenClaw-klasse als het creëren van een nieuwe toeleveringsketen die door ongereguleerde, onbeveiligde marktplaatsen loopt tijdens een exclusieve pre-RSA-briefing op 18 maart met VentureBeat. Koi heeft 341 kwaadaardige vaardigheden gevonden op ClawHub tijdens de eerste audit, waarbij het totaal groeide tot 824 naarmate het register zich uitbreidde. Snyk vond 13,4% van de geanalyseerde vaardigheden bevatte kritische veiligheidsfouten. Palo Alto Networks heeft Prisma AIRS 3.0 gebouwd rond een nieuw agentenregister waarbij alle agenten moeten worden aangemeld voordat ze kunnen worden gebruikt, met validatie van inloggegevens, MCP-gatewayverkeerscontrole, agent red-teaming en runtime-monitoring op geheugenvergiftiging. De aanstaande overname van Koi zorgt voor meer zichtbaarheid in de supply chain, specifiek voor agent-eindpunten.
Cato CTRL heeft het tegendeel bewezen
Cato Networks’ dreigingsinformatieafdeling Cato CTRL presenteerde twee sessies op RSAC 2026. Cato CTRL-dreigingsrapport uit 2026afzonderlijk uitgebracht, bevat een proof-of-concept “Living Off AI”-aanval gericht op Atlassian’s MCP en Jira Service Management. Het onderzoek van Maor biedt de onafhankelijke, tegenstrijdige validatie die productaankondigingen van leveranciers op zichzelf niet kunnen bieden. De platformaanbieders bouwen governance op voor gesanctioneerde agenten. Cato CTRL documenteerde wat er gebeurt als de ongeautoriseerde agent op de laptop van de CEO op het dark web wordt verkocht.
Actielijst maandagochtend
Ongeacht de leveranciersstapel zijn vier controles onmiddellijk van toepassing: OpenClaw alleen binden aan localhost en externe poortblootstelling blokkeren, de lijst met applicatiemachtigingen afdwingen via MDM om ongeautoriseerde installaties te voorkomen, alle inloggegevens roteren op machines waarop OpenClaw draait, en toegang met de minst bevoorrechte rechten toepassen op elk account dat door een AI-agent wordt aangeraakt.
-
Ontdek de installatiebasis. CrowdStrike’s Falcon-sensor, Cato’s SASE-platform en Cisco Identity Intelligence detecteren allemaal schaduw-AI. Voor teams zonder premium tools kunt u eindpunten voor de map ~/.openclaw/ opvragen met behulp van het ingebouwde EDR- of MDM-bestandsdetectiebeleid. Als de onderneming helemaal geen zicht heeft op het eindpunt, voer dan Shodan- en Censys-query’s uit op de IP-bereiken van de onderneming.
-
Patchen of isoleren. Controleer elk gedetecteerd exemplaar aan de hand van CVE-2026-24763, CVE-2026-25157 en CVE-2026-25253. Instances die niet kunnen worden gepatcht, moeten netwerkgeïsoleerd zijn. Er is geen patchmechanisme voor de hele vloot.
-
Audit vaardigheidsinstallaties. Controleer geïnstalleerde vaardigheden met behulp van Cisco’s Skills Scanner of Sluip En Koi onderzoek. Elke vaardigheid van een niet-geverifieerde bron moet onmiddellijk worden verwijderd.
-
DLP- en ZTNA-controles afdwingen. Cato’s ZTNA-controles beperken niet-goedgekeurde AI-toepassingen. Cisco Secure Access SSE handhaaft beleid voor MCP-hulpoproepen. Palo Alto’s Prisma Access Browser regelt de gegevensstroom in de browserlaag.
-
Dood spookagenten. Bouw een register op van elke actieve AI-agent. Documenteer de bedrijfsredenen, menselijk eigendom, legitimatie en toegang tot systemen. Agentreferenties zonder reden intrekken. Herhaal wekelijks.
-
Implementeer DefenseClaw voor gesanctioneerd gebruik. Voer OpenClaw uit binnen NVIDIA’s OpenShell-runtime met die van Cisco Verdedigingsklauw voor het scannen van vaardigheden, het verifiëren van MCP-servers en het automatisch laten draaien van instrumenten.
-
Rode team vóór inzet. Gebruik Cisco AI Defense Explorer-editie (gratis) of Red-teaming van Palo Alto Networks’ agent in Prisma AIRS 3.0. Test de workflow, niet alleen het model.
De OWASP Agentische vaardigheden Top 10gepubliceerd met ClawHavoc als primaire casestudy, biedt een standaardraamwerk voor het evalueren van deze risico’s. Vier leveranciers hebben reacties ingediend op RSAC 2026. Geen van hen heeft een ingebouwde kill switch voor niet-goedgekeurde OpenClaw-implementaties. Zolang er nog geen bestaat, komt de Monday Morning Action List er het dichtst bij.
