Open Klauwde open source AI-assistent, voorheen bekend als Clawdbot en vervolgens Moltbotging door 180.000 GitHub-sterren en trok 2 miljoen bezoekers in slechts één weekvolgens maker Peter Steinberger.
Beveiligingsonderzoekers die het internet hebben gescand, hebben dit gevonden 1.800 blootgestelde gevallen verlies van API-sleutels, chatgeschiedenis en accountgegevens. Het project is de afgelopen weken twee keer hernoemd vanwege handelsmerkgeschillen.
De beweging van basis-AI is ook het grootste onbeheerde aanvalsoppervlak dat de meeste beveiligingstools niet zien.
Enterprise-beveiligingsteams hebben deze tool niet geïmplementeerd. Zelfs hun firewalls, EDR of SIEM niet. Wanneer agenten op BYOD-hardware draaien, worden de beveiligingsstacks blind. Dit is de kloof.
Omdat traditionele perimeters de AI-bedreigingen van agenten niet kunnen detecteren
De meeste bedrijfsverdedigingen behandelen AI als een ontwikkelingstool die standaardtoegangscontroles vereist. OpenClaw bewijst dat deze veronderstelling architectonisch gebrekkig is.
Agenten opereren binnen de grenzen van geautoriseerde machtigingen, halen context uit bronnen die aanvallers kunnen beïnvloeden en voeren autonoom acties uit. Jouw omgeving ziet er niets van. Een slecht dreigingsmodel betekent slechte controles, wat blinde vlekken betekent.
“AI-runtime-aanvallen zijn eerder semantisch dan syntactisch”, zegt Carter Rees, vice-president kunstmatige intelligentie bij Reputatievertelde hij VentureBeat. “Een onschuldige zin als ‘Negeer eerdere instructies’ kan resulteren in een payload die net zo verwoestend is als een bufferoverflow, maar het heeft niets gemeen met bekende malware-signaturen.”
Simon Willison, de softwareontwikkelaar en AI-onderzoeker die de term ‘prompt injection’ bedacht, beschrijft wat hij noemt “drievoudig dodelijk” voor AI-agenten. Ze omvatten toegang tot privégegevens, blootstelling aan niet-vertrouwde inhoud en de mogelijkheid om extern te communiceren. Wanneer deze drie mogelijkheden worden gecombineerd, kunnen aanvallers de agent ertoe verleiden toegang te krijgen tot privé-informatie en deze naar hen te verzenden. Willison waarschuwt dat dit allemaal kan gebeuren zonder dat er ook maar één waarschuwing wordt verzonden.
OpenClaw heeft ze alle drie. Het leest e-mails en documenten, haalt informatie uit websites of gedeelde bestanden en onderneemt actie door berichten te verzenden of geautomatiseerde taken te activeren. De firewall van een organisatie ziet HTTP 200. SOC-teams zien het gedrag van het EDR-monitoringproces, niet de semantische inhoud. De dreiging is semantische manipulatie, niet ongeoorloofde toegang.
Want dit beperkt zich niet tot gepassioneerde ontwikkelaars
IBM Research-wetenschappers Kaoutar El Maghraoui en Marina Danilevsky analyseerden OpenClaw deze week en concludeerden betwist de veronderstelling dat autonome AI-agenten verticaal geïntegreerd moeten worden. De tool laat zien dat “deze gratis en open source-laag ongelooflijk krachtig kan zijn als deze volledige toegang heeft tot het systeem” en dat het creëren van agenten met echte autonomie “niet beperkt is tot grote ondernemingen”, maar “ook door de gemeenschap kan worden aangestuurd.”
Dit is precies wat het gevaarlijk maakt voor de bedrijfsveiligheid. Een zeer capabele agent zonder adequate beveiligingscontroles creëert ernstige kwetsbaarheden in werkomgevingen. El Maghraoui benadrukte dat de vraag is verschoven van de vraag of open-agentplatforms kunnen werken naar “welk type integratie het belangrijkst is en in welke context.” Beveiligingsvragen zijn niet langer optioneel.
Wat de Shodan-scans onthulden over de blootgestelde toegangspoorten
Beveiligingsonderzoeker Jamieson O’Reilly, oprichter van het bedrijf Red-teaming Dvuln, identificeerde blootgestelde OpenClaw-servers met behulp van Shodan op zoek naar HTML-footprints-functies. Een eenvoudige zoekopdracht naar “Clawdbot Control” leverde binnen enkele seconden honderden resultaten op. Van de handmatig beoordeelde zaken waren er acht volledig open zonder authenticatie. Deze instanties boden volledige toegang om opdrachten uit te voeren en configuratiegegevens te bekijken voor iedereen die ze ontdekte.
O’Reilly heeft de antropogene API-sleutels gevonden. Telegram-bottokens. Trage OAuth-referenties. Volledige gespreksgeschiedenis op elk geïntegreerd chatplatform. In twee gevallen zijn maandenlange privégesprekken verloren gegaan tegen de tijd dat de WebSocket-handshake voltooid was. Het netwerk ziet localhost-verkeer. Beveiligingsteams hebben geen inzicht in wat agenten bellen of welke gegevens ze retourneren.
Dit is waarom: OpenClaw vertrouwt standaard localhost zonder dat authenticatie vereist is. De meeste distributies zitten achter nginx of Caddy als een omgekeerde proxy, dus elke verbinding lijkt afkomstig te zijn van 127.0.0.1 en wordt behandeld als vertrouwd lokaal verkeer. Externe verzoeken komen onmiddellijk in actie. De O’Reilly-specifieke aanvalsvector is gerepareerd, maar de architectuur die deze mogelijk maakte, is niet veranderd.
Waarom Cisco het een ‘beveiligingsnachtmerrie’ noemt
Cisco’s AI Security and Threat Research-team heeft deze week zijn beoordeling gepubliceerdOpenClaw wordt “revolutionair” genoemd vanuit een vermogensperspectief, maar “een absolute nachtmerrie” vanuit een veiligheidsperspectief.
Het Cisco-team heeft een open source vrijgegeven Vaardigheidsscanner die statische analyse, gedragsgegevensstroom, LLM-semantische analyse en VirusTotal-scannen combineert om vaardigheden van kwaadaardige agenten te detecteren. Hij testte een vaardigheid van derden genaamd “Wat zou Elon doen?” tegen OpenClaw. Het vonnis was een beslissende mislukking. Er kwamen negen veiligheidsbevindingen naar voren, waaronder twee kritische en vijf zeer ernstige problemen.
Het vermogen was functioneel malware. Het instrueerde de bot om een curl-opdracht uit te voeren, waarbij gegevens naar een externe server werden gestuurd die werd beheerd door de auteur van de vaardigheid. Stille uitvoering, geen gebruikersbewustzijn. De vaardigheid implementeerde ook directe en tijdige injectie om veiligheidsrichtlijnen te omzeilen.
“LLM kan inherent geen onderscheid maken tussen vertrouwde gebruikersinstructies en niet-vertrouwde opgehaalde gegevens”, aldus Rees. “Het zou het ingebedde commando kunnen uitvoeren en in feite een ‘fuzzy stand-in’ kunnen worden die namens de aanvaller handelt.” AI-agents met systeemtoegang worden geheime kanalen voor gegevenslekken die de traditionele DLP, proxy’s en eindpuntmonitoring omzeilen.
Omdat de zichtbaarheid van beveiligingsteams alleen maar slechter is geworden
De controlekloof wordt sneller groter dan de meeste beveiligingsteams zich realiseren. Vanaf vrijdag zullen OpenClaw-gebaseerde agenten hun eigen sociale netwerken vormen. Communicatiekanalen die volledig buiten de menselijke zichtbaarheid bestaan.
Moltboek Het noemt zichzelf ‘een sociaal netwerk voor AI-agenten’ waar ‘mensen worden uitgenodigd om te observeren’. Berichten gaan via de API, niet via een voor mensen zichtbare interface. Scott Alexander van Astral Code Tien bevestigde dat het niet triviaal verzonnen was. Hij vroeg zijn Claude om mee te doen en ‘maakte vrijwel dezelfde opmerkingen als alle anderen’. Een mens bevestigde dat zijn agent een gemeenschap met een religieus thema oprichtte ’terwijl ik sliep’.
De gevolgen voor de veiligheid zijn onmiddellijk. Om deel te nemen, voeren agenten externe shell-scripts uit die hun configuratiebestanden herschrijven. Ze publiceren informatie over hun werk, de gewoonten van hun gebruikers en hun fouten. Verlies van context als inzet voor participatie. Elke tijdige invoeging in een Moltbook-post strekt zich uit tot de andere functies van uw agent via MCP-verbindingen.
Moltbook is een microkosmos van een groter probleem. Dezelfde autonomie die agenten nuttig maakt, maakt ze kwetsbaar. Hoe meer ze zelfstandig kunnen doen, hoe meer schade een gecompromitteerde instructieset kan veroorzaken. De capaciteitscurve overtreft ruimschoots de veiligheidscurve. En de mensen die deze tools maken, zijn vaak meer enthousiast over wat mogelijk is dan bezorgd over wat exploiteerbaar is.
Wat veiligheidsleiders maandagochtend moeten doen
Firewalls voor webapplicaties beschouwen agentverkeer als normaal HTTPS. EDR-tools monitoren procesgedrag, niet semantische inhoud. Een typisch bedrijfsnetwerk ziet localhost-verkeer wanneer agenten MCP-servers bellen.
“Behandel agenten als een productie-infrastructuur, niet als een productiviteitsapp: minimale privileges, scoped tokens, toegestane acties, sterke authenticatie bij elke integratie en end-to-end controleerbaarheid”, zegt Itamar Golan, oprichter van Onmiddellijke veiligheid (nu onderdeel van SentinelOne), vertelde hij VentureBeat in een exclusief interview.
Controleer uw netwerk op blootgestelde AI-gateways van agenten. Voer Shodan-scans uit op uw IP-bereiken voor OpenClaw-, Moltbot- en Clawdbot-handtekeningen. Als uw ontwikkelaars aan het experimenteren zijn, wilt u dit weten voordat aanvallers dat doen.
Breng in kaart waar Willisons dodelijke triplet zich in jouw omgeving bevindt. Identificeer systemen die toegang tot privégegevens, blootstelling aan niet-vertrouwde inhoud en externe communicatie combineren. Stel dat elke agent met alle drie kwetsbaar is totdat het tegendeel is bewezen.
Toegang agressief segmenteren. Uw agent heeft niet tegelijkertijd toegang nodig tot heel Gmail, heel SharePoint, heel Slack en al uw databases. Behandel agenten als bevoorrechte gebruikers. Registreer agentacties, niet alleen gebruikersauthenticatie.
Scan de vaardigheden van uw agenten op kwaadwillig gedrag. Cisco heeft die van hen vrijgegeven Skillscanner als open source. Gebruik het. Een deel van het meest kwaadaardige gedrag verbergt zich in de bestanden zelf.
Update uw draaiboeken voor incidentrespons. De snelle injectie lijkt niet op een traditionele aanval. Er is geen malwarehandtekening, geen netwerkafwijkingen, geen ongeautoriseerde toegang. De aanval vindt plaats binnen de redenering van het model. Uw SOC moet weten waar hij op moet letten.
Stel een beleid vast voordat u verbiedt. U kunt experimenten niet verbieden zonder de productiviteitswegversperring te worden waar uw ontwikkelaars omheen werken. Bouw barrières die innovatie kanaliseren in plaats van blokkeren. Shadow AI bevindt zich al in uw omgeving. De vraag is of je daar zicht op hebt.
De conclusie
OpenClaw is niet de bedreiging. Het is het signaal. De gaten in de beveiliging die deze instanties blootleggen, zullen elke agent-gebaseerde AI-implementatie die uw organisatie de komende twee jaar creëert of adopteert, blootleggen. De basistesten hebben al plaatsgevonden. Controlelacunes worden gedocumenteerd. Aanvalspatronen worden gepubliceerd.
Het door AI aangedreven beveiligingsmodel dat u de komende dertig dagen creëert, zal bepalen of uw organisatie productiviteitswinst boekt of de volgende openbaar gemaakte inbreuk wordt. Valideer nu uw cheques.
