AI‑gedreven applicaties, plugins en assistants worden steeds gebruikelijker. Een van deze tools is OpenClaw (voorheen Clawdbot en Moltbot), die in korte tijd populair is geworden. Het is een gratis en open‑source autonome AI‑agent ontwikkeld door Peter Steinberger.
De belofte is aantrekkelijk: OpenClaw kan je inbox opschonen, e‑mails versturen, je agenda beheren en andere repetitieve taken uitvoeren. Het kan zelfs doorwerken wanneer jij niet achter je toetsenbord zit. Het voelt bijna alsof je een echte persoonlijke assistent hebt, dus het is niet verrassend dat mensen het graag willen uitproberen.
Toch kleven er – zoals bij veel dingen die te mooi lijken om waar te zijn – directe problemen aan het gebruik van OpenClaw. We willen je waarschuwen voor twee basisrisico’s die belangrijk zijn om te overwegen voordat je OpenClaw of een vergelijkbare agent inzet.
Gemanipuleerde versies van OpenClaw
Er is een groeiende golf aan malafide software die zich voordoet als populaire tools op het internet. Ons Security Operations Center heeft gevallen gezien waarin gebruikers gemanipuleerde versies van de bot downloadden, of complete websites bezochten die uitsluitend waren opgezet om OpenClaw te imiteren en gebruikers te misleiden.
Als je besluit te experimenteren met deze agent, is het cruciaal dat je websites of bestandsbronnen vermijdt die niet direct gekoppeld zijn aan de legitieme OpenClaw‑community.
Op basis van onze eigen observaties en onderzoek van andere partijen zoals Malwarebytes raden we het volgende aan:
- Raadpleeg uitsluitend bronnen die gelinkt zijn op https://openclaw.ai en download bestanden alleen van https://github.com/openclaw/openclaw. Bezoek geen discords, GitHub‑repositories of andere bronnen die niet verbonden zijn aan deze officiële pagina’s.
• Als je een organisatie beheert, blokkeer dan de volgende impersonation‑domeinen:
o moltbot[.]you
o clawbot[.]ai
o clawdbot[.]you
o github[.]com/gstarwd/clawbot
Risico’s door brede toegangsrechten op OpenClaw
Zelfs als je de correcte agent uit de juiste repository haalt, blijft voorzichtigheid noodzakelijk. Om zijn functionaliteit waar te maken, vereist OpenClaw – net als vergelijkbare agents – extreem ingrijpende permissies.
Om je inbox op te schonen, moet het immers voortdurend toegang hebben tot je communicatie. Om e‑mails te versturen, moet het in staat zijn berichten namens jou te creëren en te verzenden zonder toezicht.
De agent kan daarnaast shell commands uitvoeren, scripts runnen en volledige browser control overnemen. Wanneer een agent met zulke mogelijkheden niet streng wordt begrensd door restrictieve permissiestructuren, is hij per definitie gevaarlijk. Het wordt wat wij een compound risk object noemen.
We gaan niet alle individuele risico’s uitschrijven, maar het zijn er veel. Ze kunnen zowel bewust door een aanvaller misbruikt worden als per ongeluk ontstaan door een storing of gebruikersfout.
De meest noemenswaardige risico’s zijn:
- Privilege‑amplification en chain‑escalation
- Massale automatisering van fouten
- Onvoorspelbaarheid en gebrek aan auditability
- Ongeautoriseerde data‑toegang en datalekken
- Gevoeligheid voor prompt‑injection
- Supply‑chain blootstelling
- Onbedoelde beleidschendingen
- Agent‑drift
Security aanbevelingen voor gebruikers van OpenClaw en AI-agents
Individuele gebruikers kunnen met dit soort agents experimenteren, maar moeten dat voorzichtig doen. Houd permissies zo beperkt mogelijk, alleen datgene wat echt nodig is. Vermijd toegang tot gevoelige systemen. Zorg dat alle acties worden gelogd en controleer ze regelmatig. Gebruik menselijke goedkeuring voor handelingen met grote impact. Houd databronnen gescheiden zodat de agent geen informatie kan vermengen of lekken. Monitor afwijkend gedrag of manipulatie van prompts.
Behandel de agent zoals elke krachtige automatiseringstool: pas least privilege toe, isoleer hem en controleer zijn toegangsrechten regelmatig.
Security aanbevelingen voor bedrijven m.b.t. OpenClaw en AI-agents
Organisaties zouden sterk moeten beperken wie autonome agents mag creëren of inzetten. Deze systemen kunnen per ongeluk data benaderen, workflows activeren of acties uitvoeren die gebruikers niet volledig begrijpen. Als iedere medewerker zelf zo’n agent kan opzetten, ontstaat een groot risico op misconfiguraties, data‑exposure en ongeautoriseerde automatisering.
Het is aanzienlijk veiliger om deployment van agents te centraliseren binnen een gecontroleerd team dat verstand heeft van identity‑security, least‑privilege‑principes en monitoring. Daarmee behoudt de organisatie inzicht in wat de agent kan doen en hoe deze zich gedraagt.
