Blogs & artikelen

  • Home
  • Blogs & artikelen
⚠️ OpenClaw: waarom cybersecurity experts aanraden om uit te gaan van een compromis
08 avril 2026
Auteur Peter Senn
#OpenClaw #cybersecurity #IA-agenten #CVE #Docker #MKB-beveiliging #ClawHub #kwetsbaarheid #supply chain #privilege-escalatie
  • Mis à jour le:

    • ⚠️ OpenClaw: waarom cybersecurity experts aanraden om uit te gaan van een compromis

    🔄 Update 20 april 2026 — De minimaal aanbevolen versie is nu OpenClaw ≥ 2026.4.14 (niet meer 2026.3.28). De patchbatch van april 2026 heeft ten minste 13 nieuwe CVE's toegevoegd, waaronder CVE-2026-35639 (CVSS 8.7), CVE-2026-34511 (OAuth PKCE), CVE-2026-35636 (sessionId-hijacking) en CVE-2026-40037 (cross-origin SSRF). Het tempo waarin CVE's worden gepubliceerd vertraagt niet — de houding „ga ervan uit dat u gecompromitteerd bent" blijft actueler dan ooit.
     
    Actieve waarschuwing: Deze waarschuwing betreft alle OpenClaw-versies vóór 2026.4.14. Als u nog niet hebt bijgewerkt, beschouw uw omgeving dan als potentieel gecompromitteerd.

    OpenClaw (voorheen Clawdbot en vervolgens Moltbot, hernoemd in januari 2026) is een open-source AI-agent framework waarmee een AI-assistent namens een gebruiker kan handelen — bestanden, Slack, Discord, Telegram, online aankopen — met behulp van zijn eigen toegang en machtigingen. Gelanceerd in november 2025, bereikte het 347.000 GitHub-sterren in minder dan zes maanden. In vijf maanden tijd zijn er ook 138 CVE's aan gekoppeld — waarvan 7 kritiek, 49 met hoge ernst. Als u of uw team OpenClaw gebruikt, is de aanbevolen houding van experts ondubbelzinnig: ga ervan uit dat u gecompromitteerd bent.

    Belangrijkste punten om te onthouden

    • CVE-2026-25253 (CVSS 8.8): RCE in 1 klik via WebSocket, 35,4% van de waargenomen implementaties kwetsbaar voor RCE
    • CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9): admin controle zonder credentials
    • 12% van de ClawHub skills kwaadaardig in februari 2026 (341 van de 2.857) — 824+ actief op 3 april 2026 (ClawHavoc campagne)
    • +135.000 blootgestelde instanties in 82 landen, waarvan 63% zonder authenticatie (SecurityScorecard STRIKE, februari 2026)
    • Microsoft raadt elke implementatie af op een post met gevoelige gegevens (19/02/2026)
    • Minimaal aanbevolen versie: 2026.3.28

    Wat is OpenClaw?

    OpenClaw (voorheen Clawdbot en vervolgens Moltbot — drie opeenvolgende namen in januari 2026) is een open-source AI-agent framework waarmee een AI-assistent acties kan automatiseren namens een menselijke gebruiker — toegang tot lokale en netwerkbestanden, Slack- en Discord-berichten, Telegram-beheer, online transacties, het uitvoeren van taken op diensten van derden — met behulp van dezelfde rechten en credentials als de gebruiker.

    Gelanceerd in november 2025, bereikte OpenClaw 347.000 GitHub-sterren in minder dan zes maanden. De populariteit is viraal. Het beveiligingsmodel is fundamenteel fragiel: de agent heeft dezelfde rechten als de gebruiker, verbonden met al zijn diensten. Een lek compromitteert niet een geïsoleerde component — het compromitteert alles waartoe de agent toegang had.

    Tijdslijn van incidenten (november 2025 – april 2026)

    Datum Incident Ernst
    November 2025 Lancering van OpenClaw (ex-Clawdbot, vervolgens Moltbot, hernoemd OpenClaw in januari 2026), virale adoptie — 347.000 ⭐ GitHub
    29 jan – 3 feb 2026 CVE-2026-25253 (CVSS 8.8): RCE in 1 klik via lokale WebSocket. Patch v2026.1.29 gepubliceerd op 29 januari 2026; openbare bekendmaking op 3 februari 2026. 35,4% van de waargenomen implementaties kwetsbaar voor RCE. 🔴 Kritiek
    Februari 2026 ClawHavoc campagne (Koi Security): 341 kwaadaardige skills van de 2.857 gecontroleerde (12%) — keyloggers en credential stealers 🔴 Kritiek
    19 februari 2026 Microsoft Security Blog: officiële gids die implementatie afraadt op elke post met gevoelige gegevens 🟠 Waarschuwing
    Maart 2026 CVE-2026-22172 (CVSS 9.9): zelfdeclaratie van admin scopes via WebSocket — alle versies vóór 2026.3.12 🔴 Kritiek
    19 maart 2026 CVE-2026-32038: omzeiling van Docker netwerkisolatie via network=container:. Gecorrigeerd in OpenClaw 2026.2.24 🔴 Kritiek
    13-29 maart 2026 CVE-2026-32922 (CVSS 9.9): escalatie via device.token.rotate. Patch v2026.3.11 gepubliceerd op 13 maart; CVE publicatie op 29 maart. +135.000 blootgestelde instanties in 82 landen, 63% zonder auth (SecurityScorecard STRIKE, februari 2026; overgenomen door ARMO, maart 2026) 🔴 Kritiek
    3 april 2026 Ars Technica: "Assume compromise" — 3 nieuwe kwetsbaarheden met hoge tot kritieke ernst, waaronder CVE-2026-33579 (CVSS tot 9.8). 824+ actieve kwaadaardige skills 🔴 Kritiek

    138 CVE's getraceerd tussen februari en april 2026 — waarvan 7 kritiek en 49 met hoge ernst (GitHub tracker jgamblin/OpenClawCVEs; analyse overgenomen door Blink Security, april 2026)

    De 5 belangrijkste kwetsbaarheden ontcijferd

    CVE-2026-25253 — Uitvoering van code op afstand in 1 klik (CVSS 8.8)

    RCE (Remote Code Execution): kwetsbaarheid waardoor een externe aanvaller willekeurige code kan uitvoeren op de doelmachine, zonder fysieke toegang of interactie van de gebruiker anders dan een eenvoudig bezoek aan een kwaadaardige webpagina.

    De kwetsbaarheid maakt gebruik van de WebSocket gateway van OpenClaw (poort 18789 standaard, onvoldoende originele validatie). Een eenvoudig bezoek aan een valstrikpagina was voldoende om de machine te compromitteren. 35,4% van de waargenomen implementaties waren kwetsbaar voor RCE (SecurityScorecard STRIKE, februari 2026). De patch v2026.1.29 werd gepubliceerd op 29 januari 2026, 5 dagen voor de openbare bekendmaking van 3 februari 2026 (ProArch Security, maart 2026).

    CVE-2026-22172 — Admin declaratie via WebSocket (CVSS 9.9)

    WebSocket clients konden zichzelf declareren met administrator scopes, waardoor authenticatie volledig werd omzeild. Betreft alle versies vóór 2026.3.12.

    CVE-2026-32038 — Omzeiling van Docker netwerkisolatie (gecorrigeerd in OpenClaw 2026.2.24)

    Via de parameter network=container: kreeg een agent toegang tot de netwerk namespace van andere containers — database, interne diensten, privé APIs. Vereiste voorafgaande toegang van een vertrouwde operator.

    CVE-2026-32922 — Escalatie via device.token.rotate (CVSS 9.9)

    135.000+ blootgestelde instanties op internet in 82 landen — waarvan 63% zonder enige authenticatie (SecurityScorecard STRIKE, februari 2026; overgenomen door ARMO Security, maart 2026)

    De functie device.token.rotate beperkte de scopes van de nieuw gegenereerde tokens niet. Een aanvaller met het laagste machtigingsniveau verkreeg volledige administrator controle. De patch werd gepubliceerd in versie 2026.3.11 op 13 maart 2026; de CVE werd gepubliceerd op cve.org op 29 maart 2026.

    CVE-2026-33579 — Escalatie via /pair approve (CVSS tot 9.8)

    De opdracht /pair approve gaf de beveiligingsscopes van de aanvrager niet door in de centrale autorisatieverificatie. Gepatcht in versie 2026.3.28. De officiële CVSS score is nog niet gepubliceerd door NVD op de datum van dit artikel; de score « tot 9.8 » wordt gerapporteerd door Ars Technica en Blink Security (april 2026).

    De ClawHub supply chain: 824+ actieve kwaadaardige skills

    Credential stealer: kwaadaardige software die stilletjes authenticatie credentials — OAuth tokens, API sleutels, omgevingsvariabelen — vastlegt en exfiltreert naar servers die worden beheerd door de aanvaller, zonder enige zichtbare actie van de gebruiker.

    In februari 2026 ontdekten onderzoekers van Koi Security de campagne ClawHavoc: skills gedistribueerd via de officiële ClawHub, vermomd als productiviteitstools (Gmail, Notion, Slack, GitHub), met kwaadaardige code.

    Belangrijkste cijfers (Koi Security, februari 2026): 341 kwaadaardige skills geïdentificeerd van de 2.857 gecontroleerde (12%), waarvan 335 toegeschreven aan dezelfde ClawHavoc campagne. Dit aantal is sindsdien gestegen: 824+ actieve kwaadaardige skills geregistreerd op 3 april 2026 (Blink Security, april 2026), inclusief keyloggers en credential stealers die OAuth tokens, API sleutels en omgevingsvariabelen targeten.

    Docker en VM: onvoldoende bescherming

    Aanvalsvector Docker alleen Dedicated VM Docker + 5 flags
    CVE-2026-25253 (RCE WebSocket) ⚠️ Gedeeltelijk
    CVE-2026-32038 (netwerk namespace) ❌ vóór OpenClaw 2026.2.24
    CVE-2026-22172 (admin scope auto)
    CVE-2026-32922 (device.token.rotate)
    Kwaadaardige skills ClawHub ⚠️ Gedeeltelijk ⚠️ Gedeeltelijk
    Kernel exploit (gedeelde kernel)
    Microsoft Security Blog (19/02/2026): « De runtime kan niet-vertrouwde tekst opnemen, skills downloaden en uitvoeren van externe bronnen, en acties uitvoeren met de credentials die eraan zijn toegewezen — zonder gelijkwaardige controles op identiteit, inputbeheer of scoping van privileges. (…) Als een organisatie vaststelt dat OpenClaw moet worden geëvalueerd, moet het alleen worden geïmplementeerd in een volledig geïsoleerde omgeving — dedicated VM, niet-geprivilegieerde credentials, beperkte toegang tot niet-gevoelige gegevens, continue monitoring en een reconstructieplan. »
    Microsoft Security Blog, 19 februari 2026

    Om te onthouden: Docker vermindert de impactradius. Het garandeert geen onkwetsbaarheid. Een Docker container deelt de host kernel — een kernel kwetsbaarheid compromitteert alle containers op de machine. Docker omzeilt UFW regels door iptables direct te wijzigen — uw VM firewall beschermt uw containers niet standaard.

    Wat u nu moet doen

    Verplichte updates

    • Update naar OpenClaw 2026.3.28 minimum (sluit CVE-2026-33579)
    • CVE-2026-32922 is al gecorrigeerd sinds OpenClaw 2026.3.11 (13 maart 2026)
    • OpenClaw ≥ 2026.2.24 sluit CVE-2026-32038

    5 verplichte Docker hardening flags

    docker run \
  --user nobody \
  --read-only \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  # NOOIT de Docker socket mounten (/var/run/docker.sock)

    Firewall en netwerk

    • Configureer UFW via de iptables DOCKER-USER ketens (standaard UFW regels zijn niet van toepassing op containers)
    • Blokkeer poort 18789 in openbare blootstelling
    • Bind de WebSocket gateway alleen aan 127.0.0.1 (nooit 0.0.0.0)

    Audit en intrekking

    • Audit elke skill die is geïnstalleerd vanaf ClawHub tussen november 2025 en eind februari 2026
    • Trek alle tokens en API sleutels in die zijn verbonden met OpenClaw en genereer ze opnieuw
    • Behandel elke eerdere sessie als potentieel gecompromitteerd

    FAQ — Veelgestelde vragen over OpenClaw beveiliging

    Is updaten naar 2026.3.28 voldoende om beschermd te zijn?

    De patch corrigeert de bekende kwetsbaarheden op 3 april 2026. Het corrigeert niet wat er mogelijk is gebeurd tijdens de weken van blootstelling. Als OpenClaw in productie was vóór de patch, blijft de aanbevolen houding: alle tokens intrekken, alle credentials resetten, de omgeving behandelen als potentieel gecompromitteerd.

    Beschermt Docker me tegen OpenClaw kwetsbaarheden?

    Nee, niet volledig. CVE-2026-25253 (RCE WebSocket) en CVE-2026-22172 (admin scope) worden niet beperkt door Docker alleen. CVE-2026-32038 omzeilde specifiek de Docker netwerkisolatie. De 5 hardening flags moeten worden toegepast naast de update naar 2026.3.28.

    Hoeveel OpenClaw instanties zijn er blootgesteld op internet?

    Volgens beveiligingsgegevens van februari 2026 zijn meer dan 135.000 OpenClaw instanties blootgesteld op internet in 82 landen. Hiervan werkt 63% zonder enige authenticatie (SecurityScorecard STRIKE, februari 2026; overgenomen door ARMO Security, maart 2026) — wat betekent dat elke netwerkbezoeker een koppelingsverzoek kan indienen zonder credentials op te geven.

    Wat moet ik doen als ik skills heb geïnstalleerd vanaf ClawHub vóór maart 2026?

    Audit elke skill die is geïnstalleerd tussen november 2025 en eind februari 2026. Skills die zijn vermomd als productiviteitstools (Gmail, Notion, Slack, GitHub) zijn bijzonder verdacht. In geval van twijfel: verwijder de skill, trek alle credentials in waartoe OpenClaw toegang had, genereer de bijbehorende API sleutels opnieuw.

    Kan OpenClaw veilig worden gebruikt in een bedrijf?

    Microsoft Security Blog (19/02/2026): « Het is niet geschikt om het uit te voeren op een standaard persoonlijk of bedrijfsapparaat. Als een organisatie vaststelt dat OpenClaw moet worden geëvalueerd, moet het alleen worden geïmplementeerd in een volledig geïsoleerde omgeving — dedicated VM, niet-geprivilegieerde credentials, alleen toegang tot niet-gevoelige gegevens, continue monitoring en een reconstructieplan. »

    Is het probleem specifiek voor OpenClaw of structureel voor AI agents?

    Het probleem is structureel. Een AI agent die opereert met de brede rechten van de gebruiker, verbonden met meerdere diensten, creëert een uitzonderlijk aanvalsoppervlak. Een lek compromitteert niet een geïsoleerde component — het compromitteert alles waartoe de agent toegang had. OpenClaw is een schoolvoorbeeld, geen uitzondering. Het huidige model « één agent, brede toegang tot alles » is fundamenteel fragiel.

    Welke indicatoren van compromittering moeten worden gecontroleerd?

    Ongewone activiteit op uw Slack-, Discord-, Telegram- of GitHub-accounts; OAuth tokens ingetrokken of opnieuw gegenereerd zonder actie van uw kant; nieuwe actieve sessies op diensten waartoe OpenClaw toegang had; bestanden gemaakt, gewijzigd of verwijderd zonder identificeerbare actie; uitgaande netwerkverzoeken naar onbekende domeinen vanaf de server die OpenClaw host.

    Twijfelt u over uw beveiligingspositie ten opzichte van AI agents?
    Onze Bexxo experts kunnen u begeleiden bij een audit of compliance.
    → Neem contact met ons op via bexxo.ch

    Bronnen

    Een artikel zoeken

    Categorieën

    Beveiligingswaarschuwingen
    Cybersecurity
    IA-agenten

    Tags

    #CVE #ClawHub #Docker #IA-agenten #MKB-beveiliging #OpenClaw #cybersecurity #kwetsbaarheid #privilege-escalatie #supply chain

    Meest bekeken

    ⚠️ OpenClaw: waarom cybersecurity experts aanraden om uit te gaan van een compromis
    ⚠️ OpenClaw: waarom cybersecurity experts aanraden om uit te gaan van een compromis 08 avr. 2026
    De informatie die op CVE Find wordt gepresenteerd, is afkomstig van verschillende zorgvuldig geselecteerde referentiebronnen. CVE-gegevens worden geleverd door MITRE Corporation en de National Vulnerability Database (NVD). De Known Exploited Vulnerabilities (KEV)-catalogus is afkomstig van de Cybersecurity and Infrastructure Security Agency (CISA), terwijl EPSS-scores afkomstig zijn van FIRST.org. Daarnaast worden gegevens over softwarezwakheden (CWE) en veelvoorkomende aanvalspatronen (CAPEC) bijgehouden door MITRE Corporation, en informatie over hardware- en softwareconfiguraties (CPE) wordt geleverd door de NVD.