TL;DR: OpenClaw (voorheen Clawdbot/Moltbot) is een open-source framework voor agentgebaseerde AI met meer dan 247.000 GitHub-sterren en gedocumenteerde beveiligingsfouten. CVE-2026-25253 (CVSS 8,8) bracht een keten voor het uitvoeren van code op afstand met één muisklik aan het licht. Snyk ontdekte dat 36% van de ClawHub-skills prompt-injectie bevat. SecurityScorecard identificeerde meer dan 135.000 instanties die blootgesteld waren aan het openbare internet. Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos en Trend Micro hebben allemaal beveiligingsadviezen gepubliceerd. China heeft het verboden voor overheidsinstanties. Als je organisatie agentische AI overweegt, moet je eerst deze risico's begrijpen.

Wat is OpenClaw?

OpenClaw is een gratis, open-source framework voor AI-agenten, ontwikkeld door de Oostenrijkse ontwikkelaar Peter Steinberger. Het draait lokaal op de computer van de gebruiker en maakt verbinding met LLM’s zoals Claude, GPT of DeepSeek via berichtenplatforms: WhatsApp, Telegram, Slack, Discord en andere.

De aantrekkingskracht is duidelijk. Je geeft OpenClaw de opdracht om je inbox te ordenen, vluchten te boeken, agenda’s te beheren of terminalopdrachten uit te voeren, en het doet het gewoon. Steinberger omschrijft het als een AI die “echt dingen doet”. De agent verdeelt taken in stappen, kiest de juiste tools en voert ze uit met minimale begeleiding.

Daarom is het ook gevaarlijk in een bedrijfsomgeving. OpenClaw slaat configuratiegegevens en interactiegeschiedenis lokaal op, behoudt gegevens tussen sessies door en heeft toegang tot e-mailaccounts, agenda’s, berichtenplatforms en lokale bestandssystemen. Als het verkeerd is geconfigureerd (wat tot januari 2026 de standaardinstelling was), creëert het een bevoorrechte uitvoeringsomgeving die beveiligingsteams niet kunnen zien of beheren.

De beveiligingsproblemen: een tijdlijn

De beveiligingsproblemen van OpenClaw zijn niet zomaar theorie. Ze zijn in ongeveer zes weken tijd door bijna alle grote cyberbeveiligingsbedrijven gedocumenteerd.

CVE-2026-25253: Code-uitvoering op afstand met één klik (CVSS 8,8)

Deze kwetsbaarheid, ontdekt door onderzoeker Mav Levin en verholpen op 30 januari 2026, maakte misbruik van een ontwerpfout in de manier waarop de Control UI omgaat met de gatewayUrl queryparameter. Zoals De details van de analyse van Kaspersky, de gebruikersinterface accepteerde deze parameter zonder controle en startte automatisch een WebSocket-verbinding, waarbij het authenticatietoken van de gebruiker tijdens de handshake werd verzonden.

De aanval verliep in een paar milliseconden: eerst werd het token gestolen, daarna werd de gateway volledig overgenomen. Een aanvaller kon willekeurige commando’s uitvoeren op de computer van het slachtoffer. Zelfs instanties die alleen op de lokale host draaiden, waren kwetsbaar.

ClawHub: Skill Supply Chain-vergiftiging

Uit de beveiligingsanalyse van Conscia bleek dat er binnen enkele weken na de virale opmars van OpenClaw 341 schadelijke scripts op ClawHub waren gevonden (12% van het register op dat moment), die voornamelijk de Atomic macOS Stealer-malware verspreidden. Uit recente scans bleek dat dit aantal was gestegen tot meer dan 800 schadelijke scripts, zo’n 20% van alle inzendingen.

Skills in OpenClaw zijn geen scripts in een sandbox. Het zijn uitvoerbare codepakketten die met dezelfde rechten draaien als de agent zelf. Eén kwaadaardige skill stond zelfs op de voorpagina van ClawHub voordat hij werd verwijderd.

Snyk ToxicSkills-audit

Uit de audit van Snyk op ClawHub bleek dat 36% van alle skills detecteerbare prompt-injectie bevat. Van de bevestigde kwaadaardige voorbeelden combineert 91% prompt-injectie met traditionele malwaretechnieken, waardoor zowel AI-beveiligingsmechanismen als conventionele endpointbeveiliging worden omzeild.

2,9% van de skills haalt tijdens de uitvoering dynamisch inhoud op van externe eindpunten en voert deze uit. De gepubliceerde skill lijkt onschuldig tijdens de beoordeling, maar aanvallers kunnen het gedrag ervan op elk moment wijzigen door de gehoste inhoud bij te werken.

Meer dan 135.000 kwetsbare systemen

Het STRIKE-team van SecurityScorecard heeft in 82 landen meer dan 135.000 OpenClaw-instanties geïdentificeerd die toegankelijk waren via het openbare internet. Veel daarvan draaiden zonder authenticatie, wat de standaardconfiguratie was vóór versie 2026.1.29.

Het verbod van de Chinese regering

In maart 2026 hebben de Chinese autoriteiten staatsbedrijven en overheidsinstanties verboden om OpenClaw op kantoorcomputers te gebruiken. CNCERT heeft een officiële waarschuwing afgegeven over de zwakke standaardbeveiligingsinstellingen van het platform en de risico’s op prompt-injectie.

De dodelijke drie-eenheid: waarom AI-agenten inherent riskant zijn

Beveiligingsonderzoeker Simon Willison bedacht de term "lethal trifecta" om de combinatie te beschrijven die agentische AI gevaarlijk maakt. OpenClaw voldoet aan alle drie de criteria:

  • Toegang tot persoonlijke gegevens: OpenClaw leest bestanden, e-mails, agenda’s en inloggegevens op de hostcomputer.
  • Blootstelling aan onbetrouwbare inhoud: De agent ontvangt berichten via chat-apps, bekijkt webpagina’s en verwerkt zelfstandig externe gegevens.
  • Bevoegdheden: OpenClaw kan e-mails versturen, API doen, shell-opdrachten uitvoeren en bestanden wijzigen.

De CISO van Sophos zei het ronduit: een prompt-injectieaanval kan zo simpel zijn als het sturen van een bericht naar een e-mailaccount dat door een agent wordt beheerd, met het verzoek om de inhoud van je wachtwoordbeheerder terug te sturen. Iedereen die de agent een bericht kan sturen, krijgt in feite dezelfde rechten als de agent zelf.

blog van Microsoft was nog duidelijker: OpenClaw moet worden beschouwd als "het uitvoeren van onbetrouwbare code met blijvend opgeslagen inloggegevens."

Het probleem met schaduw-AI

Het echte bedrijfsrisico is niet dat iemand OpenClaw officieel implementeert. Het is dat medewerkers het op hun eigen computers installeren zonder dat de IT-afdeling daarvan op de hoogte is.

Uit de telemetrie van Bitdefender blijkt dat dit al gebeurt: medewerkers installeren OpenClaw op bedrijfsapparaten met behulp van installatiecommando’s van één regel, zonder beveiligingscontrole en zonder dat het SOC hiervan op de hoogte is. Trend Micro merkt op dat OpenClaw bij veel organisaties draait zonder goedkeuring van de IT-afdeling, en dat de eerste uitdaging voor beveiligingsteams simpelweg is om te weten wat er precies op de systemen staat.

CyberArk beschouwt dit als een nieuw aanvalsvlak voor identiteitsbeveiliging. Een ontwikkelaar die vanaf een bedrijfscomputer toegang krijgt tot zijn OpenClaw-omgeving, of deze binnen het bedrijfsnetwerk implementeert om te integreren met Slack of Salesforce, creëert een toegangspunt waar autonome agents buiten de traditionele controles voor identiteits- en toegangsbeheer om opereren.

Kaspersky ging zelfs zo ver dat ze OpenClaw "de grootste bedreiging van binnenuit van 2026" noemden.

Kan OpenClaw worden beveiligd voor gebruik in een bedrijfsomgeving?

OpenClaw heeft sinds de eerste bekendmakingen belangrijke beveiligingsupdates uitgebracht. In versie 2026.2.12 zijn meer dan 40 kwetsbaarheden verholpen. In versie 2026.2.23 zijn HTTP-beveiligingsheaders toegevoegd, is het sessiebeheer versterkt en is het SSRF-beleid van de browser standaard ingesteld op de modus "trusted-network".

Maar de fundamentele uitdaging op het gebied van de architectuur blijft bestaan. OpenClaw is ontworpen als een persoonlijk hulpmiddel met één enkele vertrouwde gebruikersgrens. De beheerder zelf waarschuwde op Discord: "Als je niet begrijpt hoe je een opdrachtregel moet gebruiken, is dit project veel te gevaarlijk om veilig te kunnen gebruiken."

De conclusie van Sophos luidt: OpenClaw moet worden gezien als een interessant onderzoeksproject dat alleen „veilig“ kan worden uitgevoerd in een tijdelijke sandbox zonder toegang tot gevoelige gegevens. Zelfs organisaties met veel ervaring op het gebied van AI en beveiliging zullen het een uitdaging vinden om OpenClaw zo in te stellen dat het risico op inbreuken wordt beperkt, terwijl de productieve waarde behouden blijft.

Wat bedrijven in plaats daarvan zouden moeten doen

De vraag naar OpenClaw is reëel. Bedrijven willen AI-agenten die taken uitvoeren, toegang hebben tot bedrijfsgegevens en via verschillende communicatiekanalen kunnen werken. De fout is dat men die mogelijkheden probeert te halen uit een tool die is gemaakt voor individuele ontwikkelaars.

Agentische AI-platforms voor bedrijven lossen hetzelfde probleem op door vanaf het begin veiligheidsmaatregelen in te bouwen. Hier zijn de dingen waar je op moet letten:

  • Gecentraliseerd beheer: Toegangscontrole op basis van rollen, audittrails en beheerdersdashboards waarmee de IT-afdeling precies kan zien wat de agents doen.
  • Gegevensisolatie: Bedrijfsgegevens op infrastructuur waarover jij de controle hebt (bij voorkeur servers die in de EU staan en aan de AVG voldoen), worden nooit gebruikt voor het trainen van modellen.
  • Beveiligingscertificeringen: SOC 2, ISO 27001 en naleving van de EU-AI-wet als basis.
  • Toegang tot meerdere modellen zonder beheer API : Toegang tot GPT, Claude, Gemini en andere modellen via een beheerde gateway, zodat je team nooit met onbeveiligde API hoeft te werken.
  • Agents bouwen zonder code: Teams zonder technische kennis moeten agents kunnen maken en implementeren zonder toegang tot de opdrachtregel.
  • Connectorinstellingen: gedetailleerde machtigingen voor wat agents mogen lezen, schrijven of bijwerken in CRM’s, CMS’en, Slack, Teams en andere systemen van derden.

TextCortex: Veilige AI-infrastructuur voor bedrijven

TextCortex is precies voor dit scenario ontwikkeld. Het is een in de EU gevestigd AI-infrastructuurplatform voor bedrijven, waar organisaties AI-agenten op hun eigen bedrijfsgegevens kunnen inzetten en beheren. Het platform sluit aan op systemen van derden, zoals CRM's en CMS'en, en kan worden geïntegreerd in werkruimte-apps zoals Slack en Microsoft Teams. De rechten van elke agent worden volledig beheerd door beheerders: wat de agent kan openen, schrijven of bijwerken, ligt altijd in handen van de gebruiker.

Beveiligingscertificeringen: ISO 27001, SOC 2 Type II, voldoet aan de AVG, voldoet aan de EU-AI-wet. Alle gegevens blijven op infrastructuur binnen de EU. Er worden nooit gegevens gebruikt voor het trainen van modellen. Volledige beveiligingsdocumentatie vind je op trust.textcortex.com.

Het TextCortex en nalevingsprogramma van TextCortex
TextCortex bewaakte bedieningselementen

MAHLE (DAX 40-toeleverancier in de automobielsector) heeft TextCortex geïmplementeerd TextCortex bereikte binnen een maand een acceptatiegraad van 65%, wat een besparing van meer dan 5 uur per week per gebruiker opleverde, waarbij de agents op SharePoint-gegevens draaien. b2venture (VC-bedrijf, meer dan 800 miljoen euro aan beheerd vermogen) zag het AI-gebruik binnen hun investeringsteam met meer dan 10 gespecialiseerde agents met een factor 7 toenemen.

Veelgestelde vragen

Is OpenClaw veilig voor gebruik binnen bedrijven?

Op basis van beveiligingsbeoordelingen van Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos en Trend Micro: nee, niet in zijn huidige vorm. OpenClaw is ontworpen als een persoonlijke tool met één enkele vertrouwde gebruikersgrens. Microsoft raadt aan om het te behandelen als de uitvoering van onbetrouwbare code, en Sophos zegt dat het alleen mag draaien in wegwerpbare sandboxes zonder toegang tot gevoelige gegevens.

Wat is CVE-2026-25253?

Een kritieke kwetsbaarheid (CVSS 8.8) in de Control UI van OpenClaw waardoor op afstand met één klik code kon worden uitgevoerd. Door dit lek konden aanvallers authenticatietokens stelen door een kwaadaardige URL te maken, waarna ze de volledige controle over de gateway konden overnemen. Dit is op 30 januari 2026 verholpen in versie 2026.1.29.

Wat is de "dodelijke drie-eenheid" op het gebied van de beveiliging van AI-agenten?

Een term die is bedacht door beveiligingsonderzoeker Simon Willison en die de drie kenmerken beschrijft die AI-agenten gevaarlijk maken als ze samenkomen: toegang tot privégegevens, blootstelling aan onbetrouwbare inhoud en de bevoegdheid om namens de gebruiker te handelen. OpenClaw vertoont alle drie.

Kan ik OpenClaw beveiligen voor zakelijk gebruik?

Je kunt de beveiliging verbeteren door authenticatie in te schakelen, de reikwijdte van het bestandssysteem te beperken, ruime terminalrechten uit te schakelen, het systeem in geïsoleerde VM’s te draaien en alle aangesloten diensten te controleren. Maar de fundamentele uitdaging (prompt-injectie tegen agents die onbetrouwbare inhoud verwerken) kun je niet zomaar wegpatchen. Daar is governance op platformniveau voor nodig.

Wat is een veiliger alternatief voor OpenClaw voor bedrijven?

AI-agentplatforms voor bedrijven zoals TextCortex bieden dezelfde agent-mogelijkheden (taken uitvoeren, kennisbankintegratie, inzet via meerdere kanalen) met gecentraliseerd beheer, SOC 2- en ISO 27001-certificering, GDPR-conforme hosting in de EU en beheerderscontrole over de rechten van agents.

Waarom heeft China OpenClaw verboden?

In maart 2026 hebben de Chinese autoriteiten overheidsinstanties en staatsbedrijven verboden om OpenClaw op hun kantoorcomputers te gebruiken. CNCERT noemde de zwakke standaardbeveiligingsinstellingen van het platform en de risico’s van prompt-injectie, die tot gegevensdiefstal zouden kunnen leiden.