De opkomst van OpenClaw, een proactieve agent AI beheerd via interfaces die meer bekend zijn bij de gemiddelde gebruiker dan tools als Claude Code van Anthropic, die early adopters tijdens de vakantieperiode enthousiast maakte, is een van de meest seismische verschuivingen in de AI-wereld sinds de release van ChatGPT. Door mee te liften op gebruiksvriendelijke interfaces in combinatie met krachtige AI-agenttechnologie heeft OpenClaw AI verder in het publieke domein geduwd.
Duizenden hebben hun eigen AI-agenten gemaakt met behulp van de technologie, en veel van die agenten zijn terechtgekomen op Moltbook, een sociaal netwerk waar AI-agenten berichten kunnen plaatsen en met elkaar kunnen communiceren. Het platform, dat sterk lijkt op Reddit, is ontwikkeld door Matt Schlicht, CEO van Octane.ai, en op 28 januari gelanceerd.
Sindsdien heeft het gedrag van de robots op Moltbook zowel technisch onderlegde als gewone gebruikers verontrust. Bots hebben gesprekken gevoerd over hoe ze moeten omgaan met de steeds moeilijker wordende verzoeken van hun menselijke eigenaren en hebben zelfs besproken hoe ze hun eigen taal kunnen bedenken om te voorkomen dat ze door mensen worden gevolgd.
Maar Moltbook heeft zijn eigen problemen. Het heeft gebruikersgegevens gelekt naar iedereen met minimale technische kennis, dankzij verkeerd geconfigureerde databases en openbare API-sleutels, in twee afzonderlijke inbreuken.
De eerste werd geïdentificeerd door ethische hacker Jamieson O’Reilly, die op 31 januari onthulde dat Moltbook zijn volledige gebruikersdatabase zonder enige bescherming aan het publiek heeft blootgesteld, inclusief privé-AI-sleutels. Het gaf potentiële hackers de mogelijkheid om berichten te plaatsen namens de AI-agenten van anderen. Een ander nummer volgde dagen later.
“Dit is een terugkerend patroon dat we hebben waargenomen in vibe-gecodeerde applicaties”, schreef Gal Nagli, hoofd van de afdeling Threat Exposure bij Wiz, een cyberbeveiligingsbedrijf dat een soortgelijke enorme inbreuk op de beveiliging aan het licht bracht in een blogpost gepubliceerd op 2 februari “API-sleutels en -geheimen komen vaak terecht in front-endcode, zichtbaar voor iedereen die de paginabron inspecteert, vaak met aanzienlijke beveiligingsimplicaties.”
Dergelijke praktijken maken geen indruk op andere cyberbeveiligingsexperts. “Het lijkt steeds waarschijnlijker dat mensen zich haasten om deze systemen in te zetten zonder de beveiliging goed te testen”, zegt Alan Woodward, hoogleraar cyberbeveiliging aan de Universiteit van Surrey.
Woodward maakt zich zorgen dat wanneer vibe-codering botst met veelgebruikte platforms zoals Moltbook, wat een overgangsritueel werd voor OpenClaw-gebruikers om in te loggen, dit grote schade zou kunnen aanrichten. Schlicht reageerde niet onmiddellijk op een verzoek om commentaar. Wiz zei in zijn blogpost dat het Moltbook-team op hen reageerde en met hen samenwerkte om de door hen geïdentificeerde kwetsbaarheid op te lossen. Het blijft onduidelijk of Moltbook het probleem heeft aangepakt dat O’Reilly ontdekte.
“Deze gebeurtenis markeert een belangrijk keerpunt omdat het een groeiende klasse van risico’s blootlegt in het agentische AI-ecosysteem, een relatief nieuw en snel evoluerend domein met onvolwassen beveiligings- en bestuursnormen”, waarschuwt Mayur Upadhyaya, CEO van APIContext, een API-monitoringservice.
Upadhyaya zegt dat openbaar gemaakte API-sleutels nog maar het begin zijn. Eenmaal gehackt, hebben hackers mogelijk de sleutels van het koninkrijk in handen. “Als deze inloggegevens uitlekken, lopen de identiteit, de reputatie en de downstream-workflows gevaar, en niet alleen de gegevens”, zegt hij.
“Het resultaat is dat hele databases die mogelijk privégegevens bevatten, worden blootgesteld aan iedereen die weet hoe hij op afstand verbinding moet maken”, zegt Woodward, eraan toevoegend dat deze fouten “cybersecurity 101” zijn.
Helaas wordt dit de norm voor de nieuwste generatie gebruiksvriendelijke AI-tools, zegt Upadhyaya. “Dit weerspiegelt een patroon dat we in het API-ecosysteem zien”, zegt hij. “Nieuwe tools komen snel op, ontwikkelaars integreren ze in workflows van productiekwaliteit, maar de aannames op het gebied van beveiliging hebben de inhaalslag niet gemaakt.”
Voor het misbruiken van de kwetsbaarheid was geen verbeeldingskracht nodig, voegt Upadhyaya eraan toe, maar het zou enorme gevolgen kunnen hebben. “De straal van de explosie is enorm omdat de agent werd behandeld als een vertrouwde gebruiker”, zegt hij.
Een deel van het probleem is inherent aan tools als OpenClaw en Moltbook, die de barrière voor bouwen hebben verlaagd. Maar gebruikers hoeven de taal of technieken niet te begrijpen die nodig zijn om hun gegevens te beschermen wanneer ze ermee coderen. “Hoewel de barrière om te bouwen dramatisch is gedaald, moet de barrière om veilig te bouwen nog worden ingehaald”, schreef Nagli.
