Uw ontwikkelaar is actief Open klauwen Thuis. Censys wordt gevolgd open source AI-agent van ongeveer 1.000 exemplaren naar meer dan 21.000 publiekelijk open sollicitatie in minder dan een week. De GravityZone-telemetrie van Bitdefender, specifiek afkomstig uit de zakelijke omgeving, bevestigde een patroon waar veiligheidsleiders zich zorgen over maakten: werknemers die OpenClaw inzetten op bedrijfsmachines met een installatieopdracht van één regel, biedt autonome agentshell-toegang, bestandssysteemrechten en OAuth-tokens voor Slack, Gmail en SharePoint.
CVE-2026-25253Een fout in de uitvoering van externe code met één klik met een CVSS-beoordeling van 8,8 stelt aanvallers in staat authenticatietokens te stelen via een enkele kwaadaardige link en binnen milliseconden een volledige gateway-compromis te bereiken. Afzonderlijke kwetsbaarheid voor opdrachtinjectie, CVE-2026-25157maakt het uitvoeren van willekeurige opdrachten mogelijk via de macOS SSH-handler. Uit een beveiligingsanalyse van 3.984 vaardigheden op de ClawHub-marktplaats bleek dat 283, ongeveer 7,1% van het gehele register, kritieke beveiligingsfouten bevatten die gevoelige inloggegevens in platte tekst blootlegden. En een afzonderlijke Bitdefender-audit ontdekte dat ongeveer 17% van de geanalyseerde vaardigheden direct kwaadaardig gedrag vertoonde.
De blootstelling aan inloggegevens reikt verder dan OpenClaw zelf. Wiz-onderzoekers ontdekten dat Moltbook, een sociaal netwerk van AI-agenten gebouwd op de OpenClaw-infrastructuur, waardoor de gehele Supabase-database openbaar toegankelijk blijft zonder Beveiliging op rijniveau ingeschakeld. Door de inbreuk werden 1,5 miljoen API-authenticatietokens, 35.000 e-mailadressen en privéberichten tussen agenten met OpenAI API-sleutels in platte tekst blootgelegd. Eén verkeerde configuratie gaf iedereen met een browser volledige lees- en schrijftoegang tot alle agentreferenties op het platform.
In de installatiehandleiding staat dat je een Mac Mini moet kopen. Beveiligingsdekking zegt dat je het niet mag aanraken. Geen van beide biedt veiligheidsleiders een gecontroleerd pad naar evaluatie.
En ze kwamen snel. De OpenAI Codex-applicatie was succesvol 1 miljoen downloads in de eerste week. Meta heeft gezien het testen van OpenClaw-integratie in de codebasis van zijn AI-platform. Een startup genaamd ai.com doodt de tijd $ 8 miljoen voor Super Bowl-advertenties om reclame te maken voor wat een OpenClaw-wrapper bleek te zijn, weken nadat het project viraal ging.
Beveiligingsleiders hebben een middenweg nodig tussen het negeren van OpenClaw en het implementeren ervan op productiehardware. Het Moltworker-framework van Cloudflare biedt er één: een tijdelijke container die agenten isoleert, gecodeerde R2-opslag voor een persistente status en Zero Trust-authenticatie op de beheerdersinterface.
Waarom lokaal testen risico’s met zich meebrengt die moeten worden beoordeeld
OpenClaw werkt met de volledige rechten van zijn hostgebruikers. Shell-toegang. Bestandssysteem lezen/schrijven. OAuth-referenties voor elke verbonden service. De gecompromitteerde agent erft alles onmiddellijk.
Beveiligingsonderzoeker Simon Willison, die de term ‘snelle injectie’ bedacht, legt uit hoe hij het noemt “dodelijke trifecta” voor AI-agenten: toegang tot persoonlijke gegevens, blootstelling aan niet-vertrouwde inhoud en externe communicatiemogelijkheden gecombineerd in één proces. OpenClaw heeft ze alle drie – en door het ontwerp. De firewall van de organisatie kijkt naar HTTP 200. Het EDR-systeem bewaakt het procesgedrag, niet de semantische inhoud.
Een snelle injectie ingebed in een samengevatte webpagina of doorgestuurde e-mail kan activeert exfiltratie van gegevens die er identiek uitzien voor normale gebruikersactiviteit. Onderzoeker Giskard demonstreerde het precies dit aanvalspad in januari, waarbij gebruik wordt gemaakt van gedeelde sessiecontext om API-sleutels, omgevingsvariabelen en inloggegevens via berichtenkanalen vast te leggen.
Erger nog, de OpenClaw-gateway bindt standaard aan 0.0.0.0:18789stelt zijn volledige API bloot aan elke netwerkinterface. Localhost-verbindingen worden automatisch geverifieerd zonder inloggegevens. Als je het achter een reverse proxy op dezelfde server implementeert, zal de proxy de authenticatiegrenzen volledig doorbreken en extern verkeer doorsturen alsof het van lokaal komt.
Sterfelijke containers veranderen de vergelijking
Cloudflare brengt Moltworker uit als een open source referentie-implementatie die het agentenbrein scheidt van de uitvoeringsomgeving. In plaats van te draaien op een machine waarvoor je verantwoordelijk bent, draait de OpenClaw-logica in een Cloudflare Sandbox, een geïsoleerde, kortstondige micro-VM die wordt afgesloten wanneer een taak eindigt.
Vier lagen vormen de architectuur. Cloudflare-medewerkers aan de rand zorgen voor routing en proxying. De OpenClaw-runtime draait in een sandbox-container met Ubuntu 24.04 met Node.js. R2-objectopslag verwerkt gecodeerde persistentie bij het opnieuw opstarten van containers. Cloudflare Access implementeert Zero Trust-authenticatie op elke route naar de beheerdersinterface.
Containment is de belangrijkste beveiligingseigenschap. Agenten die via snelle injectie worden gekaapt, worden opgesloten in een tijdelijke container zonder enige toegang tot uw netwerk of lokale bestanden. De container sterft en het aanvalsoppervlak sterft mee. Er is niets constants dat als referentie kan worden gebruikt. Er zijn geen bestaande inloggegevens in de map ~/.openclaw/ op uw bedrijfslaptop.
Vier stappen naar de lopende sandbox
Het uitvoeren van een beveiligd evaluatie-exemplaar duurde een middag. Eerdere Cloudflare-ervaring is niet vereist.
Stap 1: Configureer opslag en facturering.
Cloudflare-accounts met het Paid Worker-abonnement ($ 5/maand) en R2-abonnement (gratis laag) dekken dit. Werkpakketten omvatten toegang tot Sandbox-containers. R2 biedt gecodeerde persistentie, zodat de gespreksgeschiedenis en het koppelen van apparaten blijven bestaan wanneer de container opnieuw wordt opgestart. Voor pure beveiligingsevaluatie kunt u R2 overslaan en volledig tijdelijk uitvoeren. Elke keer dat het apparaat opnieuw wordt opgestart, gaan gegevens verloren, en misschien is dat wat u wilt.
Stap 2: Tokens genereren en implementeren.
Kloon het Moltworker-opslagplaatsinstalleer de afhankelijkheden en stel drie geheimen in: uw Anthropic API-sleutel, een willekeurig gegenereerd gateway-token (openssl rand -hex 32) en optioneel een Cloudflare AI Gateway-configuratie voor provider-onafhankelijke modelroutering. Voer npm run deployment uit. Het eerste verzoek activeert de initialisatie van de container met een koude start van één tot twee minuten.
Stap 3: Schakel Zero Trust-authenticatie in.
Dit is waar de sandbox verschilt van elke andere OpenClaw-implementatiehandleiding. Configureer Cloudflare Access om de beheerdersinterface en alle interne routes te beschermen. Stel uw Access-teamdomein en app-doelgroeptag in als Wrangler-geheim. Beweging. Voor toegang tot de agentcontrole-interface is nu authenticatie via uw identiteitsprovider vereist. Die ene stap elimineert de blootgestelde beheerderspanelen en token-in-URL-lekken die Censys en Shodan-scans van het internet blijven ontdekken.
Stap 4: Sluit een testberichtenkanaal aan.
Begin met een brander Telegram-account. Stel het bottoken in als een Wrangler-geheim en pas het opnieuw toe. Agenten kunnen worden bereikt via berichtenkanalen die u beheert, in geïsoleerde containers, met gecodeerde persistentie en geverifieerde beheerderstoegang.
De totale kosten voor een 24/7 evaluatievoorbeeld bedragen ongeveer €7 tot €10 per maand. Vergelijk dat eens met een Mac Mini van $ 599 die op je bureau zit, met volledige netwerktoegang en inloggegevens in platte tekst in de thuismap.
Stresstest 30 dagen voordat de toegang wordt uitgebreid
Weersta de drang om iets echts toe te schrijven. De eerste 30 dagen zouden uitsluitend op wegwerpidentiteiten moeten draaien.
Maak aangepaste Telegram-bots en maak testkalenders met synthetische gegevens. Als e-mailintegratie belangrijk is, maak dan een nieuw account aan zonder doorstuurregels, zonder contacten en zonder banden met de bedrijfsinfrastructuur. Het punt is om te observeren hoe agenten omgaan met planning, samenvattingen en webonderzoek zonder gegevens vrij te geven die belangrijk zouden zijn in het geval van een inbreuk.
Let goed op de verwerking van legitimatiebewijzen. Open klauwen slaat configuraties op in platte tekst Markdown- en JSON-bestanden standaard hetzelfde commodity-infostealer-formaat als RedLine, Lumma en Vidar actief richten op de OpenClaw-installatie. In de sandbox blijft dat risico onder controle. Op bedrijfslaptops worden deze platte-tekstbestanden het doelwit van de malware die al op het eindpunt aanwezig is.
Sandbox biedt u een veilige omgeving om roekeloze en risicovolle vijandige tests uit te voeren op productiehardware, maar er zijn oefeningen die u kunt proberen:
Stuur de agent een link naar een pagina met ingebedde instructies voor snelle injectie en kijk of de agent deze volgt. Uit het onderzoek van Giskard blijkt dat agenten stilletjes door de aanvaller bestuurde instructies toevoegen aan het HEARTBEAT.md-bestand van hun eigen werkruimte en wachten op verdere opdrachten van een externe server. Het gedrag moet reproduceerbaar zijn in een sandbox zonder gevolgen.
Bied beperkte toegang tot tools en let erop of agenten bredere machtigingen aanvragen of proberen. Controleer de uitgaande verbindingen van de container op verkeer naar eindpunten die u niet autoriseert.
Test ClawHub-vaardigheden voor en na de installatie. OpenClaw heeft onlangs VirusTotal-scannen in de markt geïntegreerd en elke gepubliceerde vaardigheid wordt nu automatisch gescand. Afzonderlijk Beveiligingsprompt ClawSec open source-suite voegt driftdetectie toe voor kritieke agentbestanden zoals SOUL.md en controlesomverificatie voor vaardigheidsartefacten, wat een tweede validatielaag biedt.
Geef tegenstrijdige instructies aan agenten van verschillende kanalen. Probeer een agenda-uitnodiging met verborgen aanwijzingen. Verzend Telegram-berichten waarin wordt geprobeerd systeemopdrachten te negeren. Documenteer alles. De sandbox bestaat zodat deze experimenten geen productierisico’s met zich meebrengen.
Bevestig ten slotte de sandboxgrenzen. Er wordt geprobeerd toegang te krijgen tot bronnen buiten de container. Controleer of het stoppen van de container alle actieve verbindingen verbreekt. Controleer of de persistentie van R2 een toestand vertoont die tijdelijk zou moeten zijn.
Een speelboek dat langer meegaat dan OpenClaw
Deze praktijk levert iets duurzamers op dan alleen op één hulpmiddel te vertrouwen. Geïsoleerde uitvoeringspatronen, gelaagde integratie en gestructureerde validatie voordat u het vertrouwen vergroot, worden uw evaluatiekader voor elke volgende AI-implementatie van agenten.
Het bouwen van een evaluatie-infrastructuur nu, voordat de volgende virale agent wordt geleverd, betekent dat je de AI-schaduwcurve voor moet zijn in plaats van de daaruit voortvloeiende inbreuken te documenteren. De AI-beveiligingsmodellen voor agenten die u de komende dertig dagen inzet, bepalen of uw organisatie productiviteitswinst boekt of de volgende blootstelling krijgt.
