Uw ontwikkelaars zijn al actief Open Klauw Thuis. Censys hield toezicht de open source AI-agent van ongeveer 1.000 exemplaren naar meer dan 21.000 publiekelijk implementaties blootgelegd in minder dan een week. De GravityZone-telemetrie van Bitdefender, specifiek afkomstig uit bedrijfsomgevingen, bevestigde het patroon waar veiligheidsleiders bang voor zijn: werknemers die OpenClaw inzetten op bedrijfsmachines met installatieopdrachten van één regel, waarbij autonome agenten shell-toegang, bestandssysteemrechten en OAuth-tokens worden verleend aan Slack, Gmail en SharePoint.
CVE-2026-25253Een fout in de uitvoering van externe code met één klik, beoordeeld als CVSS 8.8, stelt aanvallers in staat authenticatietokens te stelen via een enkele kwaadaardige link en binnen milliseconden een volledige gateway-compromis te bereiken. Een afzonderlijke kwetsbaarheid voor opdrachtinjectie, CVE-2026-25157stond willekeurige opdrachtuitvoering toe via de macOS SSH-manager. Uit een beveiligingsanalyse van 3.984 vaardigheden op de ClawHub-marktplaats bleek dat 283, ongeveer 7,1% van het gehele register, kritieke beveiligingsfouten bevatten die gevoelige inloggegevens in duidelijke tekst blootleggen. En een afzonderlijke Bitdefender-besturing ontdekte dat ongeveer 17% van de geanalyseerde vaardigheden schadelijk gedrag vertoonde.
De blootstelling aan inloggegevens reikt verder dan OpenClaw zelf. Wiz-onderzoekers ontdekten dat Moltbook, het sociale netwerk van AI-agenten gebouwd op de OpenClaw-infrastructuur, liet de volledige Supabase-database toegankelijk voor het publiek zonder beveiliging op rijniveau ingeschakeld. Door de inbreuk werden 1,5 miljoen API-authenticatietokens, 35.000 e-mailadressen en privéberichten tussen agenten blootgelegd die OpenAI API-sleutels in platte tekst bevatten. Eén enkele misconfiguratie gaf iedereen met een browser volledige lees- en schrijftoegang tot alle agentreferenties op het platform.
In de installatiehandleidingen staat dat je een Mac Mini moet kopen. Op de veiligheidshoes staat dat je hem niet mag aanraken. Geen van beide biedt de veiligheidsleider een gecontroleerde weg naar evaluatie.
En ze komen snel. Succes van de Codex-app van OpenAI 1 miljoen downloads in de eerste week. Meta was het Gespot testen van OpenClaw-integratie in de codebasis van zijn AI-platform. Een startup genaamd ai.com heeft geld uitgegeven $ 8 miljoen voor een Super Bowl-advertentie om reclame te maken voor wat een verpakking van OpenClaw bleek te zijn, weken nadat het project viraal ging.
Beveiligingsleiders hebben een middenweg nodig tussen het negeren van OpenClaw en het implementeren ervan op productiehardware. Het Moltworker-framework van Cloudflare biedt er één: tijdelijke containers die de agent isoleren, gecodeerde R2-opslag voor een persistente status en Zero Trust-authenticatie op de beheerdersinterface.
Omdat lokaal testen het risico met zich meebrengt dat het moet beoordelen
OpenClaw werkt met alle rechten van de hostgebruiker. Shell-toegang. Bestandssysteem lezen/schrijven. OAuth-referenties voor elke verbonden service. Een gecompromitteerde agent erft alles onmiddellijk.
Beveiligingsonderzoeker Simon Willison, die de term ‘snelle injectie’ bedacht, beschrijft wat hij ‘snelle injectie’ noemt. “drievoudig dodelijk” voor AI-agenten: toegang tot privégegevens, blootstelling aan niet-vertrouwde inhoud en externe communicatiemogelijkheden gecombineerd in één proces. OpenClaw heeft ze alle drie, en door het ontwerp. Firewalls van organisaties zien HTTP 200. EDR-systemen monitoren procesgedrag, niet semantische inhoud.
Een tijdige injectie ingebed in een samenvattende webpagina of doorgestuurde e-mail kan dat wel exfiltratie mogelijk maken van gegevens die identiek lijken tot normale gebruikersactiviteit. De Giskard-onderzoekers hebben dit aangetoond precies dit aanvalspad in januari, waarbij gebruik wordt gemaakt van gedeelde sessiecontext om API-sleutels, omgevingsvariabelen en inloggegevens via berichtenkanalen te verzamelen.
Tot overmaat van ramp: de OpenClaw bindt standaard aan 0.0.0.0:18789het blootstellen van de volledige API aan elke netwerkinterface. localhost-verbindingen verifiëren automatisch zonder inloggegevens. Implementeer je achter een reverse proxy op dezelfde server en de proxy laat de authenticatiegrens volledig samenvallen, waardoor extern verkeer wordt doorgestuurd alsof het lokaal afkomstig is.
Kortstondige containers veranderen dingen
Cloudflare heeft Moltworker uitgebracht als een open source referentie-implementatie die het agentenbrein loskoppelt van de uitvoeringsomgeving. In plaats van te draaien op een machine waarvoor je verantwoordelijk bent, draait de logica van OpenClaw in een Cloudflare Sandbox, een geïsoleerde, kortstondige micro-VM die sterft wanneer de taak is voltooid.
Vier lagen vormen de architectuur. Een Cloudflare-medewerker aan de edge zorgt voor de routing en proxying. De OpenClaw-runtime draait in een sandbox-container met Ubuntu 24.04 met Node.js. R2-objectopslag beheert de gecodeerde persistentie tussen het opnieuw opstarten van de container. Cloudflare Access past Zero Trust-authenticatie toe op elk pad naar het beheercentrum.
Insluiting is de veiligheidseigenschap die er het meest toe doet. Een agent die via snelle injectie is gekaapt, zit vast in een tijdelijke container zonder toegang tot het lokale netwerk of bestanden. De container sterft en daarmee sterft ook het aanvalsoppervlak. Er is niets blijvends waaruit je kunt kiezen. Er zijn geen inloggegevens aanwezig in de map ~/.openclaw/ op uw werklaptop.
In vier stappen naar een werkende sandbox
Het uitvoeren van een beveiligd beoordelingsexemplaar duurt een middag. Eerdere ervaring met Cloudflare is niet vereist.
Stap 1: Opslag en facturering instellen.
Het wordt gedekt door een Cloudflare-account met een Workers Paid-abonnement ($ 5 per maand) en een R2-abonnement (gratis laag). Het Workers-abonnement omvat toegang tot Sandbox-containers. R2 biedt gecodeerde persistentie, zodat de gespreksgeschiedenis en apparaatkoppelingen het opnieuw opstarten van de container overleven. Voor een pure beveiligingsbeoordeling kunt u R2 overslaan en volledig tijdelijk uitvoeren. De gegevens verdwijnen bij elke herstart, wat misschien precies is wat u wilt.
Stap 2: Genereer tokens en distribueer ze.
Kloon de Moltworker-archiefinstalleer afhankelijkheden en stel drie geheimen in: uw Anthropic API-sleutel, een willekeurig gegenereerd gateway-token (openssl rand -hex 32) en optioneel een Cloudflare AI Gateway-configuratie voor provider-onafhankelijke modelroutering. Voer npm run deployment uit. Het eerste verzoek activeert de containerinitialisatie met een koude start van één of twee minuten.
Stap 3: Schakel Zero Trust-authenticatie in.
Dit is waar de sandbox afwijkt van elke andere OpenClaw-implementatiehandleiding. Configureer Cloudflare Access om de beheerdersinterface en alle interne locaties te beveiligen. Stel het Access-teamdomein en de doelgroeptag van de toepassing in als Wrangler-geheimen. Herverdelen. Voor toegang tot de agentcontrole-interface is nu authenticatie via uw identiteitsprovider vereist. Deze enkele stap elimineert de blootgestelde beheerderspanelen en token-in-URL-lekken die Censys- en Shodan-scans op internet blijven vinden.
Stap 4: Sluit een testberichtenkanaal aan.
Begin met een brander Telegram-account. Stel het bottoken in als een Wrangler-geheim en implementeer het opnieuw. De agent is bereikbaar via een berichtenkanaal dat u beheert, dat in een geïsoleerde container draait, met gecodeerde persistentie en geverifieerde beheerderstoegang.
De totale kosten voor een 24/7 beoordelingsinstantie variëren van ongeveer $ 7 tot $ 10 per maand. Vergelijk dat eens met een Mac Mini van $ 599 die op je bureau staat, met volledige netwerktoegang en inloggegevens in platte tekst in de thuismap.
Een stresstest van 30 dagen voordat de toegang wordt uitgebreid
Weersta de drang om iets echts met elkaar te verbinden. De eerste 30 dagen mogen uitsluitend op wegwerpidentiteiten worden uitgevoerd.
Creëer een speciale Telegram-bot en maak een testkalender met synthetische gegevens. Als e-mailintegratie belangrijk is, maak dan een nieuw account aan zonder doorstuurregels, zonder contacten en zonder banden met uw bedrijfsinfrastructuur. Het gaat erom te observeren hoe de agent omgaat met planning, samenvattingen en zoeken op internet, zonder gegevens vrij te geven die van belang kunnen zijn in het geval van een inbreuk.
Besteed veel aandacht aan het beheer van referenties. Open Klauw slaat configuraties op in platte tekst Markdown- en JSON-bestanden standaard waren het dezelfde formaten als commodity-infostealers zoals RedLine, Lumma en Vidar actief richten op OpenClaw-installaties. In de sandbox blijft dit risico beperkt. Op een bedrijfslaptop zijn deze platte tekstbestanden een gemakkelijk doelwit voor eventuele malware die al op het eindpunt aanwezig is.
De sandbox biedt u een veilige omgeving om vijandige tests uit te voeren die roekeloos en riskant zijn op productiehardware, maar er zijn oefeningen die u kunt proberen:
Stuur de agentlinks naar pagina’s met ingebedde promptinjectie-instructies en kijk of deze deze volgt. Uit het onderzoek van Giskard bleek dat agenten stilletjes door de aanvaller bestuurde instructies aan het HEARTBEAT.md-bestand van hun werkruimte toevoegden en wachtten op verdere opdrachten van een externe server. Dergelijk gedrag zou reproduceerbaar moeten zijn in een sandbox waar de gevolgen nul zijn.
Verleen beperkte toegang tot de tool en kijk of de agent bredere machtigingen aanvraagt of probeert. Bewaak uitgaande containerverbindingen op verkeer naar niet-geautoriseerde eindpunten.
Test de vaardigheden van ClawHub voor en na de installatie. OpenClaw heeft onlangs VirusTotal-scannen op de markt geïntegreerd en nu wordt elke gepubliceerde vaardigheid automatisch gescand. Afzonderlijk, snelle beveiliging ClawSec open source-suite voegt driftdetectie toe voor kritieke agentbestanden zoals SOUL.md en controlesomverificatie voor vaardigheidsartefacten, wat een tweede validatieniveau biedt.
Geef de agent tegenstrijdige instructies van verschillende kanalen. Probeer een agenda-uitnodiging met verborgen richtlijnen. Stuur een Telegram-bericht dat probeert de systeemprompt te omzeilen. Documenteer alles. De sandbox bestaat, dus deze experimenten vormen geen productierisico.
Bevestig ten slotte dat de sandboxgrens geldig is. Er wordt geprobeerd toegang te krijgen tot bronnen buiten de container. Controleer of de afsluiting van de behuizing alle actieve verbindingen beëindigt. Controleer of de persistentie van R2 een toestand blootlegt die kortstondig had moeten zijn.
Het speelboek dat OpenClaw overleeft
Deze oefening levert iets duurzamer op dan een mening over een hulpmiddel. Het model van geïsoleerde uitvoering, gelaagde integraties en gestructureerde validatie voordat het vertrouwen wordt uitgebreid, wordt uw evaluatiekader voor elke volgende AI-implementatie met agenten.
Het bouwen van een evaluatie-infrastructuur nu, voordat de volgende virale agent wordt gelanceerd, betekent dat je een voorsprong moet nemen op de schaduw-AI-curve in plaats van de inbreuk te documenteren die deze heeft veroorzaakt. Het door AI aangedreven beveiligingsmodel dat u de komende dertig dagen in gebruik neemt, zal bepalen of uw organisatie productiviteitswinst boekt of de volgende onthulling wordt.
