De snelle acceptatie van AI-assistenten zoals OpenClaw overtreft de beveiligingsmaatregelen, waardoor organisaties kwetsbaar worden voor inbreuken. Begin 2026 draaien er meer dan 500.000 exemplaren van OpenClaw zonder gecentraliseerd controle- of noodstopmechanisme. Dit gebrek aan toezicht heeft al geleid tot één bevestigd geval waarbij de OpenClaw-instantie van een CEO werd verkocht op BreachForums, compleet met gevoelige gegevens, inloggegevens en realtime toegang.
Het kernprobleem is autonomie: AI-agenten krijgen machtigingen die veel verder gaan dan die van menselijke werknemers, waarbij de principes van nulvertrouwen worden genegeerd. OpenClaw draait lokaal met volledige toegang tot bestanden, netwerken en applicaties, en slaat gegevens op in niet-gecodeerde tekstindeling. Dit maakt het voor aanvallers gemakkelijk om waardevolle informatie te verkrijgen, waaronder SSO-sessies, API-sleutels en persoonlijke financiële gegevens.
De omvang van het probleem:
- Het aantal exemplaren is in slechts enkele maanden tijd geëxplodeerd van 6.300 naar bijna 500.000.
- Drie kritieke kwetsbaarheden (CVE-2026-24763, CVE-2026-25157, CVE-2026-25253) blijven op de meeste systemen ongepatcht vanwege het gebrek aan gecentraliseerd beheer.
- CrowdStrike detecteert meer dan 160 miljoen unieke AI-instanties binnen zijn klantenbestand, waarbij kwaadaardige ‘vaardigheden’ zoals ClawHavoc een groot risico voor de supply chain worden.
Het onvermogen om te observeren, oriënteren, beslissen en handelen (de OODA-lus) is van cruciaal belang. De meeste organisaties kunnen niet eens identificeren welke AI-tools op hun netwerken draaien, waardoor schaduw-AI zich ongecontroleerd kan verspreiden. De lijst van BreachForums demonstreert het resultaat: een gecentraliseerde inlichtingenhub voor aanvallers, toegankelijk via de assistent van een gecompromitteerde CEO.
Reacties van leveranciers en de behoefte aan controle:
Cisco, Palo Alto Networks en Cato Networks zijn begonnen met het uitbrengen van tools om het probleem aan te pakken. Cisco lanceerde DefenseClaw, een open-sourceframework voor beveiligingsscans binnen NVIDIA’s OpenShell-runtime. Palo Alto Networks introduceerde Prisma AIRS 3.0 met agentic register en runtime monitoring. Cato CTRL biedt vijandige validatie via zijn dreigingsinformatieafdeling. Het kernprobleem blijft echter bestaan: geen kill switch voor de hele vloot.
Onmiddellijke actiepunten:
- Ontdekken: Gebruik eindpuntdetectietools (CrowdStrike, Cato, Cisco) of handmatige bestandszoekopdrachten (
~/.openclaw/) om alle exemplaren te identificeren. - Patch/Isoleer: Adresseer CVE’s of isoleer niet-patchbare systemen.
- Auditvaardigheden: Verwijder alle vaardigheden uit niet-geverifieerde bronnen.
- DLP/ZTNA afdwingen: Beperk ongeautoriseerde AI-applicaties met preventie van gegevensverlies en zero-trust netwerktoegangscontroles.
- Ghost-agenten doden: Houd een register bij van alle AI-agenten, rechtvaardig hun gebruik en trek inloggegevens in voor degenen zonder legitieme zakelijke doeleinden.
De huidige situatie is onhoudbaar. Organisaties moeten de controle terugkrijgen over de inzet van AI-agenten voordat er meer datalekken plaatsvinden.
De snelheid waarmee AI-agenten worden aangenomen en ingezet is op zichzelf al een bedreiging, maar het onvermogen om elementaire veiligheidscontroles te implementeren betekent dat de risico’s alleen maar groter worden.
