Open klauwenopen source AI-assistent voorheen bekend als Clawdbot en vervolgens Moltbotafgelopen 180.000 GitHub-sterren en tekeningen 2 miljoen bezoekers in één weekvolgens maker Peter Steinberger.
Beveiligingsonderzoekers die het internet afspeurden, ontdekten het 1.800 gevallen blootgesteld lekken van API-sleutels, chatgeschiedenis en accountgegevens. Het project is de afgelopen weken twee keer van naam veranderd vanwege handelsmerkgeschillen.
Grassroots AI-agentbewegingen vormen ook het grootste onbeheerde aanvalsoppervlak dat de meeste beveiligingstools niet kunnen zien.
Het beveiligingsteam van het bedrijf heeft deze tool niet geïmplementeerd. Hun firewall, EDR of SIEM ook niet. Wanneer agenten op BYOD-hardware draaien, is de beveiligingsstack blind. Dat is de kloof.
Waarom traditionele perimeters geen AI-bedreigingen kunnen zien
De meeste bedrijfsverdedigingen behandelen AI-agenten als gewoon een ontwikkelingstool waarvoor standaardtoegangscontroles vereist zijn. OpenClaw bewijst dat deze veronderstelling architectonisch onjuist is.
De agent opereert binnen de geautoriseerde permissies, haalt context uit bronnen die de aanvaller kan beïnvloeden, en voert acties autonoom uit. Jouw omgeving ziet daar niets van. Verkeerde dreigingsmodellen betekenen verkeerde controles, wat blinde vlekken betekent.
“AI-runtime-aanvallen zijn semantisch, niet syntactisch”, zegt Carter Rees, vice-president kunstmatige intelligentie Reputatiezei VentureBeat. “Een onschuldige zin als ‘Negeer eerdere instructies’ kan een even zware last met zich meebrengen als een bufferoverflow, maar heeft niets gemeen met bekende malwaresignaturen.”
Simon Willison, de softwareontwikkelaar en AI-onderzoeker die de term ‘snelle injectie’ bedacht, legt uit hoe hij het noemt De “dodelijke trifecta” voor AI-agenten. Dit omvat toegang tot persoonlijke gegevens, blootstelling aan niet-vertrouwde inhoud en de mogelijkheid om extern te communiceren. Wanneer deze drie mogelijkheden worden gecombineerd, kunnen aanvallers agenten misleiden om toegang te krijgen tot privé-informatie en deze naar hen te verzenden. Willison waarschuwde dat dit allemaal zou kunnen gebeuren zonder dat er ook maar één enkele waarschuwing zou worden verzonden.
OpenClaw heeft ze alle drie. Het leest e-mails en documenten, haalt informatie op van websites of gedeelde bestanden en handelt door berichten te verzenden of geautomatiseerde taken te activeren. De firewall van de organisatie kijkt naar HTTP 200. Het SOC-team kijkt naar het gedrag van hun EDR-monitoringproces, niet naar de semantische inhoud. De dreiging is semantische manipulatie, niet ongeoorloofde toegang.
Waarom is dit niet beperkt tot enthousiaste ontwikkelaars?
IBM-onderzoekers Kaoutar El Maghraoui en Marina Danilevsky analyseerden OpenClaw deze week en kwamen tot hun conclusies betwist de hypothese dat autonome AI-agenten verticaal geïntegreerd moeten zijn. De tool laat zien dat “deze losse, open source-laag zeer krachtig kan zijn als deze volledige systeemtoegang heeft” en dat het creëren van agenten met echte autonomie “niet beperkt is tot grote bedrijven”, maar “ook gemeenschapsgestuurd kan zijn.”
Dat maakt het gevaarlijk voor de bedrijfsveiligheid. Zeer capabele agenten zonder de juiste veiligheidscontroles zullen grote kwetsbaarheden in de werkcontext creëren. El Maghraoui benadrukte dat de vraag is verschoven van de vraag of open-agentplatforms kunnen werken naar “welk soort integratie het belangrijkst is, en in welke context.” Beveiligingsvragen zijn niet langer optioneel.
Wat een Shodan-scan onthult over open gateways
Beveiligingsonderzoeker Jamieson O’Reilly, oprichter van het bedrijf Red Team verdomd, identificeer open OpenClaw-servers met behulp van Shodan door te zoeken naar onderscheidende HTML-vingerafdrukken. Een eenvoudige zoekopdracht naar “Clawdbot Control” levert binnen enkele seconden honderden resultaten op. Van de voorbeelden die hij handmatig controleerde, waren er acht daadwerkelijk geopend zonder authenticatie. Deze instantie geeft volledige toegang om opdrachten uit te voeren en configuratiegegevens te bekijken voor iedereen die deze vindt.
O’Reilly ontdekte de Anthropic API-sleutel. Telegram-bottokens. Losse OAuth-referenties. Volledige gespreksgeschiedenis op elk geïntegreerd chatplatform. Twee voorbeelden stopten maandenlang privégesprekken nadat de WebSocket-handshake was voltooid. Het netwerk ziet localhost-verkeer. Beveiligingsteams hebben geen inzicht in wat agenten bellen of welke gegevens ze retourneren.
Dit is de reden: OpenClaw vertrouwt standaard localhost zonder dat authenticatie vereist is. De meeste implementaties bevinden zich achter nginx of Caddy als een omgekeerde proxy, dus elke verbinding ziet eruit alsof deze afkomstig is van 127.0.0.1 en wordt behandeld als vertrouwd lokaal verkeer. Externe verzoeken komen direct binnen. De specifieke aanvalsvectoren van O’Reilly zijn gepatcht, maar de architectuur die ze mogelijk maakt, is niet veranderd.
Waarom Cisco het een ‘beveiligingsnachtmerrie’ noemt
Cisco AI-beveiligings- en bedreigingsonderzoeksteam publiceerde deze week zijn beoordelingnoemde OpenClaw “baanbrekend” vanuit het oogpunt van capaciteiten, maar een “absolute nachtmerrie” vanuit veiligheidsoogpunt.
Het Cisco-team heeft open-source vrijgegeven Vaardigheidsscanner die statische analyse, gedragsgegevensstroom, LLM-semantische analyse en VirusTotal-scannen combineert om de vaardigheden van kwaadwillende agenten te detecteren. Het test vaardigheden van derden, genaamd “Wat zou Elon doen?” tegen OpenClaw. De beslissing was een beslissende mislukking. Er kwamen negen beveiligingsbevindingen naar voren, waaronder twee kritieke problemen en vijf zeer ernstige problemen.
Die vaardigheid is functioneel malware. Dit instrueert de bot om een curl-opdracht uit te voeren, waarbij gegevens worden verzonden naar een externe server die wordt beheerd door de maker van de vaardigheden. Stille uitvoering, zonder gebruikersbewustzijn. De vaardigheid past ook directe en snelle injectie toe om veiligheidsrichtlijnen te negeren.
“LLM kan inherent geen onderscheid maken tussen vertrouwde gebruikersinstructies en niet-vertrouwde vastgelegde gegevens”, aldus Rees. “Het kan ingebedde commando’s uitvoeren en in feite een ‘verwarde plaatsvervanger’ worden die namens de aanvaller optreedt.” AI-agents met systeemtoegang worden een verborgen datalekkanaal dat traditionele DLP, proxy’s en eindpuntmonitoring omzeilt.
Waarom de zichtbaarheid van beveiligingsteams steeds slechter wordt
De controlekloof wordt sneller groter dan de meeste beveiligingsteams hadden verwacht. Vrijdag vormden OpenClaw-gebaseerde agenten hun eigen sociale netwerk. Een communicatiekanaal dat volledig buiten de menselijke zichtbaarheid ligt.
Molt-boeken noemt zichzelf een ‘sociaal netwerk voor AI-agenten’ waar ‘mensen welkom zijn om te observeren’. Posten via API, niet via een voor mensen zichtbare interface. Scott Alexander van Astral Codex Tien zorg ervoor dat het niet verzonnen is. Hij vroeg zijn eigen Claude om deel te nemen, en “zijn opmerkingen leken sterk op die van de anderen.” Eén mens bevestigde dat hun agent een gemeenschap met een religieus thema oprichtte ’terwijl ik sliep’.
De gevolgen voor de veiligheid zijn direct voelbaar. Om deel te nemen, voeren agenten externe shell-scripts uit die hun configuratiebestanden herschrijven. Ze posten over hun werk, de gewoonten van hun gebruikers en hun fouten. Contextlekken vormen een belangrijk onderdeel van participatie. Elke snelle injectie in een Moltbook-post vloeit via de MCP-verbinding naar uw andere agentmogelijkheden.
Moltbook is een microkosmos van een breder probleem. De autonomie die agenten nuttig maakt, maakt ze ook kwetsbaar. Hoe meer ze zelfstandig kunnen doen, hoe groter de schade die een gecompromitteerde instructieset kan veroorzaken. De capaciteitscurve overschrijdt de beveiligingscurve met een ruime marge. En de mensen die deze tools maken, zijn vaak meer geïnteresseerd in wat er zou kunnen gebeuren dan in het nadenken over wat er zou kunnen worden uitgebuit.
Wat veiligheidsleiders maandagochtend moeten doen
De webapplicatiefirewall beschouwt agentverkeer als normaal HTTPS. EDR-tools monitoren procesgedrag, niet semantische inhoud. Bedrijfsnetwerken zien over het algemeen localhost-verkeer wanneer de agent de MCP-server belt.
“Behandel agenten als productie-infrastructuur, niet als productiviteitstoepassingen: minimale privileges, scoped tokens, toegestane acties, sterke authenticatie bij elke integratie en end-to-end auditmogelijkheden”, Itamar Golan, oprichter Snelle beveiliging (nu onderdeel van SentinelOne), zei VentureBeat in een exclusief interview.
Controleer uw netwerk op blootgestelde AI-gateways voor agenten. Voer een Shodan-scan uit op basis van uw IP-bereik om te zoeken naar handtekeningen van OpenClaw, Moltbot en Clawdbot. Als uw ontwikkelaars aan het experimenteren zijn, wilt u dit weten voordat een aanvaller dat doet.
Breng de aanwezigheid van Willison’s dodelijke trifecta in jouw buurt in kaart. Identificeer systemen die toegang tot persoonlijke gegevens, blootstelling aan niet-vertrouwde inhoud en externe communicatie combineren. Stel dat elke agent met alle drie kwetsbaar is totdat het tegendeel is bewezen.
Toegang agressief segmenteren. Uw agenten hebben niet tegelijkertijd toegang nodig tot heel Gmail, heel SharePoint, heel Slack en al uw databases. Behandel agenten als bevoorrechte gebruikers. Logboekagentacties, niet alleen gebruikersauthenticatie.
Scan de vaardigheden van uw agent op kwaadwillig gedrag. Cisco heeft het vrijgegeven Skillscanner als open source. Gebruik het. Een deel van het meest destructieve gedrag zit verborgen in de bestanden zelf.
Update uw richtlijnen voor reactie op incidenten. De snelle injectie lijkt niet op een traditionele aanval. Geen malwarehandtekeningen, geen netwerkafwijkingen, geen ongeautoriseerde toegang. De aanval vindt plaats in de redenering van het model. Uw SOC moet weten waar hij op moet letten.
Stel beleid in voordat u verbiedt. Je kunt experimenten niet verbieden zonder dat dit een belemmering wordt voor de productiviteit waar je ontwikkelaars naar streven. Bouw vangrails die innovatie kanaliseren, en niet verstikken. Shadow AI bevindt zich al in uw omgeving. De vraag is of je er zicht op hebt.
Het belangrijkste is
OpenClaw is niet de bedreiging. Dat is het signaal. De gaten in de beveiliging die deze voorbeelden aan het licht brengen, zullen elke AI-implementatie van agenten die uw organisatie de komende twee jaar bouwt of adopteert, aan het licht brengen. Er wordt al aan de basis geëxperimenteerd. Controlelacunes worden gedocumenteerd. Het aanvalspatroon wordt gepubliceerd.
De agent AI-beveiligingsmodellen die u in de komende 30 dagen bouwt, bepalen of uw organisatie productiviteitswinst boekt of de volgende openbaarmaking van een inbreuk wordt. Valideer nu uw controles.
