AI-agents beloven efficiëntiewinst, maar sommige exemplaren brengen nieuwe risico’s met zich mee. OpenClaw is daar een uitgesproken voorbeeld van: een AI-agent die niet adviseert, maar handelt, met volledige toegang tot het systeem waarop hij draait. Security-experts en het Centrum voor Cybersecurity België trekken aan de alarmbel. “Dit is absoluut niet ontworpen voor gebruik binnen een enterprise-ecosysteem.”
OpenClaw – ook wel Clawdbot en Moltbot genoemd – werd gelanceerd als een experimenteel project. Het is artificiële intelligentie die zijn zin mag doen en je helemaal kan ontzorgen.
In tegenstelling tot chatbots zoals ChatGPT draait deze software lokaal op een computer en voert zij zelfstandig acties uit. Via koppelingen met WhatsApp of Telegram kunnen gebruikers opdrachten geven zoals het opruimen van mailboxen, het vrijmaken van schijfruimte of het beheren van bestanden.
Die aanpak sluit naadloos aan bij de bredere trend rond AI-agents: autonome systemen die niet alleen analyseren, maar ook beslissingen nemen en uitvoeren. In een bedrijfscontext betekent dat echter dat een AI met minimale beperkingen toegang krijgt tot gevoelige data en kritieke systemen.
Wat kan er misgaan?
Heel veel, zo blijkt. “Om te functioneren zoals bedoeld, heeft OpenClaw verregaande rechten nodig”, stelt Jesper Olsen, Chief Security Officer bij Palo Alto Networks, vast. “De tool voelt aan als een blik op de sciencefiction-AI-personages waarmee we zijn opgegroeid in films. Voor een individuele gebruiker kan dat ronduit transformerend aanvoelen”, erkent hij. “Maar er is een keerzijde aan de medaille.”
OpenClaw heeft toegang nodig tot je rootbestanden, tot authenticatiegegevens zoals wachtwoorden en API-secrets, je browsergeschiedenis en cookies, en eigenlijk tot alle bestanden en mappen op je systeem.
Kwetsbaarheid
En dat is dan nog niet alles. Deze week waarschuwde het Centrum voor Cybersecurity België (CCB) voor een kritieke kwetsbaarheid in OpenClaw met een CVSS-score van 8,8, wat behoorlijk hoog is. Die maakt remote code execution mogelijk wanneer de agent kwaadaardige webcontent verwerkt.
Zo bleek dat OpenClaw gevoelig is voor ‘prompt injection’, waarbij het bijvoorbeeld ook opdrachten uitvoert die verstopt zitten in bijvoorbeeld een e-mail. Zo kon een onderzoeker aantonen dat een bericht voldoende was om Clawdbot (OpenClaw) privémails te laten doorsturen naar het e-mailadres van een ‘aanvaller’.
Onoplettendheid
Maar vaak gaat het ook om onoplettendheid. Reddit-berichten over systemen die onbruikbaar werden na foutieve of ondoordachte ‘opruimacties’ geven aan hoe snel het kan fout gaan, en daar heb je zelfs geen externe aanvallers voor nodig.
Kortom, de impact op data basics als vertrouwelijkheid, integriteit en beschikbaarheid is hoog, zeker omdat agents als OpenClaw vaak onbewaakt draaien en toegang hebben tot gevoelige credentials.
Dodelijke drievuldigheid
Bovendien is de koppeling met AI-agents niet noodzakelijk veilig. “Wij zien hierin wat we een ‘lethal trifecta’ (dodelijke drievuldigheid, nvdr) noemen: toegang tot privédata, blootstelling aan onbetrouwbare content, en de mogelijkheid om extern te communiceren”, zo Jesper Olsen op.
Persistent memory, zeg maar AI-geheugen dat informatie langdurig bewaart, versterkt dat risico, volgens hem, nog. “Kwaadaardige payloads moeten vandaag niet meer meteen uitgevoerd worden. Ze kunnen wekenlang in context blijven zitten in afwachting van het juiste moment.”
In bedrijfsomgevingen, waar AI-agents gekoppeld zijn aan cloudplatformen, interne applicaties en automatiseringsflows, verhoogt dat het risico op laterale beweging en grootschalige compromittering. “Het hoge niveau van autonomie van zulke AI-agents kan, als het niet strikt wordt aangestuurd, leiden tot onomkeerbare security-incidenten.”
Interessant, totaal ongeschikt
Zelfs met strenge controles blijft het gedrag van autonome AI-agents vaak eerder grillig. “Het attack surface blijft moeilijk beheersbaar en onvoorspelbaar”, waarschuwt Olsen.
Kortom, OpenClaw is dan misschien een interessant experiment, maar niet geschikt voor professionele organisaties. “Wij raden bedrijven aan om er uiterst voorzichtig mee te zijn. Dit is absoluut niet ontworpen voor gebruik binnen een enterprise-ecosysteem.”