“Jouw AI? Dit is nu mijn AI.” Deze zin kwam van Etay Maor, VP Threat Intelligence bij Cato-netwerkin een exclusief interview met VentureBeat op RSAC 2026 – en dit beschrijft precies wat er gebeurde met een Britse CEO die Open klauwen het voorbeeld werd uiteindelijk verkocht op BreachForums. Het argument van Maor is dat de industrie menselijke werknemers de autonomie verleent die AI-agenten nooit zouden krijgen, waarbij zij wantrouwen, de minste privileges en schending van aannames negeert.
Het bewijs is gearriveerd Misbruikforum drie weken voor het interview van Maor. Op 22 februari plaatste een bedreigingsacteur die de naam ‘fluffyduck’ gebruikte een advertentie waarin rootshell-toegang tot de computer van de CEO werd vermeld voor $ 25.000 in Monero of Litecoin. De schaal is niet het verkoopargument. De persoonlijke assistent van de CEO van OpenClaw AI is. Kopers krijgen elk gesprek dat de CEO heeft gevoerd met de AI, de volledige productiedatabase van het bedrijf, Telegram-bottokens, Trading 212 API-sleutels en persoonlijke gegevens die de CEO aan de assistent heeft onthuld over familie en financiën. De bedreigingsacteur merkte op dat de CEO in realtime actief met OpenClaw communiceerde, waardoor de lijst een live inlichtingenfeed werd en geen statische verzameling gegevens.
Cato CTRL senior veiligheidsonderzoeker Vitaly Simonovich documenteerde de lijst op 25 februari. De OpenClaw CEO-instantie slaat alles op in een Markdown-bestand met platte tekst onder ~/.openclaw/workspace/ zonder codering in rust. De dreigingsactor hoeft geen exfiltratie uit te voeren; De CEO heeft het al in elkaar gezet. Toen het beveiligingsteam de inbreuk ontdekte, was er geen native kill switch voor de onderneming, geen beheerconsole en geen manier om te inventariseren hoeveel andere instances er in de organisatie actief waren.
OpenClaw draait lokaal met directe toegang tot het bestandssysteem van de hostmachine, netwerkverbindingen, browsersessies en geïnstalleerde applicaties. De bestaande berichtgeving tot nu toe heeft het tempo gevolgd, maar wat nog niet in kaart is gebracht zijn de oppervlaktebedreigingen. De vier leveranciers die RSAC 2026 gebruiken om antwoorden te leveren, hebben nog steeds niet het enige controlemechanisme geproduceerd dat bedrijven het meest nodig hebben: een native kill switch.
De dreiging komt voort uit de cijfers
|
Metrisch |
Nummer |
Bron |
|
Voorbeelden met betrekking tot internet |
~500.000 (live check 24 maart) |
Etay Maor, Cato Networks (exclusief interview met RSAC 2026) |
|
Een open voorbeeld met veiligheidsrisico’s |
30.000+ waargenomen tijdens het scanvenster |
|
|
Exploiteerbaar via bekende RCE |
15.200 gevallen |
|
|
Zeer ernstige CVE |
3 (hoogste CVSS: 8,8) |
|
|
Gevaarlijke vaardigheden bij ClawHub |
341e in Koi-audit (335e van ClawHavoc); 824 medio februari |
|
|
ClawHub-vaardigheden met kritieke tekortkomingen |
13,4% van 3.984 geanalyseerd |
|
|
Blootgesteld API-token (Moltbook) |
1,5 miljoen |
Maor voerde de Censys-check rechtstreeks uit tijdens het exclusieve interview van VentureBeat op RSAC 2026. “De eerste week waren er ongeveer 6.300 gevallen. Vorige week heb ik gecontroleerd: 230.000 gevallen. Laten we nu eens kijken… bijna een half miljoen. Bijna verdubbeld in één week”, zei Maor. Drie zeer ernstige CVE’s definiëren het aanvalsoppervlak: CVE-2026-24763 (CVSS 8.8, commando-injectie via Docker PATH-afhandeling), CVE-2026-25157 (CVSS 7.7, OS-opdrachtinjectie), en CVE-2026-25253 (CVSS 8.8, token-exfiltratie tot volledige gateway-compromis). Alle drie de CVE’s zijn gepatcht, maar OpenClaw heeft geen bedrijfsbeheerveld, geen gecentraliseerd patchmechanisme en geen kill switch voor de hele vloot. Individuele beheerders moeten elk exemplaar handmatig bijwerken, en de meeste doen dat niet.
De telemetrie aan de kant van de verdediger is even zorgwekkend. CrowdStrike Falcon-sensoren het heeft meer dan 1.800 verschillende AI-toepassingen gedetecteerd binnen zijn klantenbestand – van ChatGPT tot Copilot tot OpenClaw – resulterend in ongeveer 160 miljoen unieke instances op bedrijfseindpunten. ClawHavoc, een gevaarlijke vaardigheid die wordt verspreid via de ClawHub-marktplaats, is een belangrijke casestudy in de OWASP Top 10 Agent Skills. CrowdStrike-CEO George Kurtz typeerde het in zijn RSAC 2026-keynote als de eerste grote supply chain-aanval op het AI-agent-ecosysteem.
De AI-agent krijgt root-toegang. Beveiliging krijgt niets.
Maor bracht zichtbaarheidsfouten in kaart via de OODA-lus (observeren, direct, beslissen, handelen) tijdens een RSAC 2026-interview. De meeste organisaties falen bij de eerste stap: beveiligingsteams kunnen niet zien welke AI-tools op hun netwerken draaien, wat betekent dat productiviteitstools van medewerkers stilletjes schaduw-AI worden die door aanvallers wordt uitgebuit. De BreachForums-lijst bewijst de definitieve status. De virtuele OpenClaw-machine van de CEO wordt een gecentraliseerde inlichtingenhub met SSO-sessies, opslag van inloggegevens en communicatiegeschiedenis verzameld op één locatie. “De assistent van de CEO kan jouw assistent worden als je toegang tot deze computer koopt”, vertelde Maor aan VentureBeat. “Het was een assistent-aanvaller.”
Spookagenten vergroten de blootstelling. Organisaties adopteren AI-tools, voeren tests uit, verliezen hun interesse en gaan verder, waardoor agenten met intacte inloggegevens blijven werken. “We hebben een HR-visie op agenten nodig. Onboarding, monitoring, offboarding. Als er geen zakelijke rechtvaardiging is? Eliminatie”, vertelde Maor aan VentureBeat. “We hebben geen spookagenten in ons netwerk, want dat gebeurt al.”
Cisco is op weg naar de kill-schakelaar van OpenClaw
Cisco President en Chief Product Officer Jeetu Patel legde de inzet uit in een exclusief VentureBeat-interview op RSAC 2026. “Ik beschouw ze meer als tieners. Ze zijn erg slim, maar ze zijn niet bang voor de gevolgen”, zei Patel over AI-agenten. “Het verschil tussen het delegeren van taken en het delegeren van toevertrouwde taken aan agenten… het ene leidt tot faillissement. Het andere leidt tot marktdominantie.”
Cisco lanceert tijdens RSAC 2026 drie gratis open source beveiligingstools voor OpenClaw. Defensie klauw bundelt Skills Scanner, MCP Scanner, AI BoM en CodeGuard in één open source-framework dat draait binnen NVIDIA’s OpenShell-runtime, die NVIDIA een week voor RSAC op GTC lanceerde. “Elke keer dat je daadwerkelijk een agent in een Open Shell-container activeert, kun je nu automatisch alle beveiligingsdiensten instantiëren die we via Defense Claw hebben gebouwd”, vertelde Patel aan VentureBeat. AI Defense Explorer-editie is een gratis, zelfbedieningsversie van Cisco’s algoritmische red team-engine, die elk AI-model of elke agent test op snelle injectie en jailbreak in meer dan 200 risicosubcategorieën. Dat LLM-beveiligingsklassement rangschikt basismodellen op basis van vijandige robuustheid, niet op prestatiebenchmarks. Cisco levert ook Identiteit van Duo-agent om agenten te registreren als identiteitsobjecten met tijdsgebonden machtigingen, Identity Intelligence om schaduwagenten te ontdekken via netwerkmonitoring, en de Agent Runtime SDK om beleidshandhaving tijdens de bouwtijd in te sluiten.
Palo Alto maakt agent-endpoints tot een eigen beveiligingscategorie
Palo Alto Networks CEO Nikesh Arora karakteriseerde OpenClaw’s klasse van tools als tools die nieuwe toeleveringsketens creëren die door ongereguleerde en onzekere markten lopen tijdens een exclusieve pre-RSA-briefing op 18 maart met VentureBeat. Koi heeft 341 gevaarlijke vaardigheden gevonden op ClawHub tijdens de eerste audit, waarbij het totaal groeide tot 824 naarmate het register zich uitbreidde. Snyk vond 13,4% van de geanalyseerde vaardigheden bevat kritische beveiligingsfouten. Palo Alto Networks heeft Prisma AIRS 3.0 gebouwd met een nieuw agentregister waarbij elke agent moet worden aangemeld voordat deze kan worden gebruikt, met validatie van inloggegevens, MCP-gatewayverkeerscontrole, agent red teaming en runtime-monitoring op geheugenvergiftiging. De aanstaande overname van Koi zorgt voor meer zichtbaarheid in de supply chain, specifiek voor agent-eindpunten.
Cato CTRL leverde bewijs van vijandelijkheden
De dreigingsinformatieafdeling van Cato Networks, Cato CTRL, presenteerde twee sessies op RSAC 2026. Het Cato CTRL-dreigingsrapport 2026afzonderlijk gepubliceerd, bevat een ‘Living Off AI’ proof-of-concept-aanval gericht op Atlassian MCP en Jira Service Management. Het onderzoek van Maor biedt onafhankelijke, tegenstrijdige validatie die productaankondigingen van leveranciers op zichzelf niet kunnen overbrengen. Platformleveranciers bouwen aan governance voor gesanctioneerde agenten. Cato CTRL documenteert wat er gebeurt als een agent zonder licentie de laptop van een CEO op het dark web verkoopt.
Actielijst voor maandagochtend
Ongeacht de leveranciersstapel werden er onmiddellijk vier controles geïmplementeerd: het binden van OpenClaw aan alleen localhost en het blokkeren van externe poortblootstelling, het afdwingen van applicatietoestemmingslijsten via MDM om ongeautoriseerde installaties te voorkomen, het roteren van elke inloggegevens op de machine waarop OpenClaw draait, en het afdwingen van toegang met de minste privileges tot elk account dat ooit door de AI-agent is aangeraakt.
-
Zoek de installatiebasis. CrowdStrike’s Falcon-sensor, Cato’s SASE-platform en Cisco Identity Intelligence detecteren allemaal AI-schaduwen. Voor teams zonder premiumtools kunt u het eindpunt voor de map ~/.openclaw/ opvragen met behulp van het native EDR- of MDM-zoekbeleid voor bestanden. Als het bedrijf helemaal geen zicht heeft op het eindpunt, voer dan Shodan- en Censys-query’s uit op het IP-bereik van het bedrijf.
-
Patchen of isoleren. Controleer elk ontdekt exemplaar aan de hand van CVE-2026-24763, CVE-2026-25157 en CVE-2026-25253. Niet-patchbare exemplaren moeten in het netwerk worden geïsoleerd. Er is geen patchmechanisme voor de hele vloot.
-
Installatie van auditvaardigheden. Beoordeel geposte vaardigheden met de Cisco Skills Scanner of Sluip En Koi onderzoek. Alle vaardigheden die afkomstig zijn van niet-geverifieerde bronnen moeten onmiddellijk worden verwijderd.
-
Implementeer DLP- en ZTNA-controle. Cato’s ZTNA-controles beperken niet-goedgekeurde AI-toepassingen. Cisco Secure Access SSE past beleid toe op MCP-toolaanroepen. Palo Alto Prisma Access Browser regelt de gegevensstroom op de browserlaag.
-
Dood spookagenten. Bouw een register op van elke actieve AI-agent. Documenteer zakelijke rechtvaardiging, menselijke eigenaren, bewaarde inloggegevens en toegang tot systemen. Trek inloggegevens voor agenten zonder reden in. Herhaal elke week.
-
Implementeert DefenseClaw voor goedgekeurd gebruik. Voer OpenClaw uit binnen de NVIDIA OpenShell-runtime met Cisco Defensie klauw om vaardigheden te scannen, MCP-servers te verifiëren en runtime-gedrag automatisch te meten.
-
Rode team vóór inzet. Gebruik Cisco AI Defense Explorer-editie (gratis) of Palo Alto Networks agent red team op Prisma AIRS 3.0. Test de workflow, niet alleen het model.
Dat Top 10 OWASP-agentvaardighedengepubliceerd met ClawHavoc als primaire casestudy en biedt een raamwerk op standaardniveau voor het evalueren van deze risico’s. Vier leveranciers dienden antwoorden in op RSAC 2026. Geen van deze leveranciers is een ‘kill switch’ voor bedrijven die gebruik maken van OpenClaw-implementaties zonder licentie. Zolang dat niet het geval is, komt de maandagochtendactielijst hierboven het dichtst in de buurt.
