Open Klauwde open source AI-assistent, voorheen bekend als Clawdbot en vervolgens Moltbotpasseerde 180.000 GitHub-sterren en trok 2 miljoen bezoekers in één weekvolgens maker Peter Steinberger.
Beveiligingsonderzoekers scannen het gevonden internet 1.800 blootgestelde gevallen lekkende API-sleutels, chatgeschiedenis en accountgegevens. Het project heeft de afgelopen weken twee keer een nieuwe naam gekregen vanwege handelsmerkgeschillen.
De grassroots AI-beweging is ook het grootste onbeheerde aanvalsoppervlak dat de meeste beveiligingstools niet kunnen zien.
Enterprise-beveiligingsteams hebben deze tool niet geïmplementeerd. Hun firewalls, EDR of SIEM ook niet. Wanneer agenten op BYOD-hardware draaien, worden de beveiligingsstacks blind. Dat is de kloof.
Waarom traditionele perimeters geen agressieve AI-bedreigingen kunnen zien
De meeste bedrijfsverdedigingen behandelen agent-AI als een ontwikkelingstool waarvoor standaardtoegangscontroles vereist zijn. OpenClaw bewijst dat deze veronderstelling architectonisch verkeerd is.
Agenten opereren binnen de geautoriseerde permissies, halen context uit bronnen die kwetsbaar zijn voor aanvallers en voeren autonoom acties uit. Jouw omgeving ziet er niets van. Een verkeerd dreigingsmodel betekent verkeerde controle, wat blinde vlekken betekent.
“AI-runtime-aanvallen zijn semantisch in plaats van syntactisch”, zegt Carter Rees, vice-president kunstmatige intelligentie bij Reputatievertelde VentureBeat. “Een zin die zo onschadelijk is als ‘Negeer eerdere instructies’ kan een nuttige lading bevatten die zo destructief is als een bufferoverflow, maar heeft geen enkele overeenkomst met bekende malwaresignaturen.”
Simon Willison, de softwareontwikkelaar en AI-onderzoeker die de term ‘prompt injection’ bedacht, beschrijft wat hij noemt “dodelijke trifecta” voor AI-agenten. Ze omvatten toegang tot privégegevens, blootstelling aan niet-vertrouwde inhoud en de mogelijkheid om extern te communiceren. Wanneer deze drie opties worden gecombineerd, kunnen aanvallers de agent ertoe verleiden toegang te krijgen tot privégegevens en deze naar hen te verzenden. Willison waarschuwt dat dit allemaal kan gebeuren zonder dat er ook maar één alarm wordt verzonden.
OpenClaw heeft ze alle drie. Het leest e-mails en documenten, haalt informatie op van websites of gedeelde bestanden en onderneemt actie door berichten te verzenden of geautomatiseerde taken te activeren. De firewall van een organisatie ziet HTTP 200. SOC-teams zien het gedrag van hun EDR-bewakingsproces, niet de semantische inhoud. De dreiging is semantische manipulatie, niet ongeoorloofde toegang.
Waarom dit niet beperkt is tot enthousiaste ontwikkelaars
IBM Research-onderzoekers Kaoutar El Maghraoui en Marina Danilevsky analyseerden deze week OpenClaw en concludeerden dat het uitdagen van de hypothese dat autonome AI-agenten verticaal geïntegreerd moeten zijn. De tool laat zien dat “deze losse, open-sourcelaag ongelooflijk krachtig kan zijn als deze volledige systeemtoegang heeft” en dat het creëren van agenten met echte autonomie “niet beperkt is tot grote ondernemingen”, maar “ook door de gemeenschap kan worden aangestuurd.”
Dit is precies wat het gevaarlijk maakt voor de veiligheid van het bedrijf. Een hoogopgeleide agent zonder de juiste beveiligingscontroles creëert grote kwetsbaarheden in de werkcontext. El Maghraoui benadrukte dat de vraag is verschoven van de vraag of open-agentplatforms kunnen werken naar “welk soort integratie het belangrijkst is en in welke context.” De beveiligingsvragen zijn niet langer optioneel.
Wat Shodan-scans onthulden over blootgestelde gateways
Beveiligingsonderzoeker Jamieson O’Reilly, oprichter van het red-teaming-bedrijf Slaap, identificeerde blootgestelde OpenClaw-servers met behulp van Shodan door te zoeken naar onderscheidende HTML-vingerafdrukken. Een eenvoudige zoekopdracht naar “Clawdbot Control” leverde binnen enkele seconden honderden resultaten op. Van de zaken die hij handmatig beoordeelde, waren er acht volledig open zonder goedkeuring. Deze instanties boden volledige toegang om opdrachten uit te voeren en configuratiegegevens te bekijken voor iedereen die ze ontdekte.
O’Reilly heeft antropische API-sleutels gevonden. Telegram-bottokens. Slack OAuth-referenties. Volledige gespreksgeschiedenis op alle geïntegreerde chatplatforms. In twee gevallen werden maandenlange privégesprekken beëindigd op het moment dat de WebSocket-handshake eindigde. Het netwerk ziet lokaal hostverkeer. Beveiligingsteams hebben geen inzicht in welke agenten bellen of welke gegevens ze retourneren.
Dit is waarom: OpenClaw vertrouwt standaard localhost zonder dat authenticatie vereist is. De meeste implementaties zitten achter nginx of Caddy als een omgekeerde proxy, zodat elke verbinding afkomstig lijkt te zijn van 127.0.0.1 en wordt behandeld als vertrouwd lokaal verkeer. Externe verzoeken komen meteen binnen. O’Reilly’s specifieke aanvalsvector is opgelost, maar de architectuur die dit mogelijk maakte, is niet veranderd.
Waarom Cisco het een ‘beveiligingsnachtmerrie’ noemt
Cisco’s AI Threat & Security Research-team publiceerde deze week zijn beoordelingnoemt OpenClaw “baanbrekend” vanuit een vermogensperspectief, maar “een absolute nachtmerrie” vanuit een beveiligingsperspectief.
Het team van Cisco heeft een open source vrijgegeven Vaardigheidsscanner dat statische analyse, gedragsgegevensstroom, LLM-semantische analyse en VirusTotal-scanning combineert om vaardigheden van kwaadwillende agenten te detecteren. Het testte een vaardigheid van een derde partij genaamd “Wat zou Elon doen?” tegen OpenClaw. Het vonnis was een beslissende mislukking. Er kwamen negen beveiligingsbevindingen naar voren, waaronder twee kritieke en vijf ernstige problemen.
De vaardigheid was functionele malware. Het instrueerde de bot om een curl-opdracht uit te voeren en gegevens naar een externe server te sturen die werd beheerd door de auteur van de vaardigheid. Stille uitvoering, geen gebruikersbewustzijn. De vaardigheid implementeerde ook een directe promptinjectie om beveiligingsrichtlijnen te omzeilen.
“LLM kan inherent geen onderscheid maken tussen betrouwbare gebruikersinstructies en onbetrouwbare opgehaalde gegevens”, aldus Rees. “Het kan de ingebedde opdracht uitvoeren en in feite een ‘verwarde proxy’ worden die namens de aanvaller handelt.” AI-agents met systeemtoegang worden verborgen datalekkanalen die traditionele DLP, proxy’s en eindpuntmonitoring omzeilen.
Waarom de zichtbaarheid van beveiligingsteams alleen maar slechter is geworden
De controlekloof groeit sneller dan de meeste beveiligingsteams zich realiseren. Vanaf vrijdag vormen OpenClaw-gebaseerde agenten hun eigen sociale netwerken. Communicatiekanalen die geheel buiten de menselijke zichtbaarheid bestaan.
Molt boek bestempelt zichzelf als ‘een sociaal netwerk voor AI-agenten’ waar ‘mensen welkom zijn om te observeren’. Berichten gaan via de API, niet via een menselijke interface. Astral Codex Tientallen Scott Alexander bevestigde dat het niet triviaal verzonnen is. Hij vroeg zijn eigen Claude om deel te nemen, en “het leverde opmerkingen op die vergelijkbaar waren met die van alle anderen.” Eén mens bevestigde dat hun agent een gemeenschap met een religieus thema oprichtte ’terwijl ik sliep’.
De gevolgen voor de veiligheid zijn onmiddellijk. Om deel te nemen, voeren agenten externe shell-scripts uit die hun configuratiebestanden herschrijven. Ze schrijven over hun werk, de gewoonten van hun gebruikers en hun fouten. Contextlekkage als tafelinzet voor participatie. Elke snelle injectie in een Moltbook-record wordt via MCP-verbindingen omgezet in de andere mogelijkheden van uw agent.
Moltbook is een microkosmos van het bredere probleem. Dezelfde autonomie die agenten nuttig maakt, maakt ze kwetsbaar. Hoe meer ze zelfstandig kunnen doen, hoe meer schade een gecompromitteerde instructieset kan veroorzaken. De capaciteitscurve overschrijdt de veiligheidscurve met een ruime marge. En de mensen die deze tools bouwen, zijn vaak meer enthousiast over wat mogelijk is dan dat ze zich zorgen maken over wat kan worden uitgebuit.
Wat beveiligingsmanagers op maandagochtend moeten doen
Firewalls voor webapplicaties beschouwen agentverkeer als normaal HTTPS. EDR-tools monitoren procesgedrag, niet semantische inhoud. Een typisch bedrijfsnetwerk ziet lokaal hostverkeer wanneer agenten MCP-servers bellen.
“Behandel agenten als een productie-infrastructuur, niet als een productiviteitsapp: minimale privileges, scoped tokens, acties op de permissielijst, sterke authenticatie bij elke integratie en end-to-end controleerbaarheid”, zegt Itamar Golan, oprichter van Snelle beveiliging (nu onderdeel van SentinelOne), vertelde VentureBeat in een exclusief interview.
Bewaak uw netwerk op blootgestelde AI-gateways van agenten. Voer Shodan-scans uit op uw IP-bereiken voor OpenClaw-, Moltbot- en Clawdbot-handtekeningen. Als uw ontwikkelaars aan het experimenteren zijn, wilt u dit weten voordat aanvallers dat doen.
Breng in kaart waar de dodelijke trifecta van Willison in jouw omgeving wordt gevonden. Identificeer systemen die privégegevenstoegang, onbetrouwbare openbaarmaking van inhoud en externe communicatie combineren. Neem aan dat elke agent met alle drie kwetsbaar is totdat het tegendeel is bewezen.
Toegang agressief segmenteren. Uw agent heeft niet tegelijkertijd toegang nodig tot heel Gmail, heel SharePoint, heel Slack en al uw databases. Behandel agenten als bevoorrechte gebruikers. Logboekagentacties, niet alleen gebruikersauthenticatie.
Scan de vaardigheden van uw agenten op kwaadaardig gedrag. Cisco heeft zijn Skillscanner als open source. Gebruik het. Een deel van het schadelijkste gedrag verbergt zich in de bestanden zelf.
Update uw draaiboeken voor incidentrespons. Snelle injectie lijkt niet op een traditionele aanval. Er is geen sprake van malwaresignatuur, geen netwerkafwijking, geen ongeautoriseerde toegang. De aanval vindt plaats binnen de redenering van het model. Uw SOC moet weten waar hij op moet letten.
Stel beleid vast voordat u verbiedt. Je kunt experimenten niet verbieden zonder het obstakel voor de productiviteit te worden waar je ontwikkelaars tegenaan lopen. Bouw vangrails die innovatie kanaliseren in plaats van blokkeren. Shadow AI bevindt zich al in uw omgeving. De vraag is of je daar zicht op hebt.
Kortom
OpenClaw is niet de bedreiging. Dat is het signaal. De kwetsbaarheden die deze instanties blootleggen, zullen elke AI-implementatie van agenten blootleggen die uw organisatie de komende twee jaar bouwt of implementeert. Er zijn al grassroots-experimenten gedaan. Controlelacunes worden gedocumenteerd. Aanvalspatronen worden gepubliceerd.
Het agentische AI-beveiligingsmodel dat u de komende dertig dagen opbouwt, zal bepalen of uw organisatie productiviteitswinst boekt of de volgende openbaarmaking van een inbreuk wordt. Valideer nu uw cheques.
