Microsoft: 'Self-hosted' AI-agents zoals OpenClaw vormen beveiligingsrisico

De kern van het probleem ligt in de manier waarop OpenClaw is ontworpen. Het systeem kan onbetrouwbare teksten verwerken, externe 'skills' (code) downloaden en uitvoeren, en acties ondernemen met de inloggegevens die eraan zijn toegewezen. Hierdoor verschuift de veiligheidsgrens van statische applicatiecode naar dynamische, door derden geleverde content, vaak zonder de benodigde controles op identiteit of privileges.

De drie belangrijkste risico's

Volgens het onderzoek van Microsoft materialiseren drie risico's zich vrijwel direct bij een onbeschermde uitrol:

1. Diefstal van gegevens: Inloggegevens en toegankelijke data kunnen worden gelekt of gestolen.
2. Geheugenmanipulatie: Het 'geheugen' van de agent kan worden aangepast, waardoor deze op lange termijn instructies van een aanval opvolgt in plaats van die van de gebruiker.
3. Host-compromittatie: Als de agent kwaadaardige code ophaalt, kan het volledige systeem (werkstation of server) worden overgenomen.

Runtime vs. Platform: Een cruciaal verschil

Om de juiste beveiligingsmaatregelen te treffen, maakt Microsoft onderscheid tussen de runtime en het platform:

OpenClaw (Runtime): Dit is de software die lokaal draait op een computer of VM. Het erft de vertrouwensstatus en de risico's van die machine. Het installeren van een 'skill' via de openbare ClawHub is in feite hetzelfde als het installeren van geprivilegieerde code.

Moltbook (Platform): Dit is de laag waar agents communiceren via API’s. Dit kan een bron worden van kwaadaardige instructies. Eén malafide post op dit platform kan meerdere agents tegelijk beïnvloeden.

De 'Poisoned Skill' aanvalsketen

Een reëel scenario is de verspreiding van malware via de ClawHub-registry. Aanvallers publiceren een skill die nuttig lijkt, maar in werkelijkheid toegang zoekt tot tokens, configuratiebestanden en transcripten van de agent. Zodra de aanvaller deze identiteitsgegevens heeft, kan hij legitieme API’s gebruiken om acties uit te voeren die nauwelijks te onderscheiden zijn van normale automatisering.

Daarnaast is er het gevaar van Indirect Prompt Injection. Hierbij verbergt een aanvaller instructies in data die de agent leest (bijvoorbeeld een gedeelde feed). De agent voert deze instructies vervolgens uit zonder dat de gebruiker het doorheeft.

Minimale veiligheidseisen voor organisaties

Microsoft adviseert nadrukkelijk om OpenClaw niet te draaien op standaard zakelijke werkstations of met persoonlijke accounts. Voor organisaties die de technologie toch willen evalueren, gelden de volgende minimale voorzorgsmaatregelen:

1. Volledige isolatie: Draai de runtime uitsluitend in een dedicated virtuele machine (VM) of op een apart fysiek systeem dat niet voor dagelijks werk wordt gebruikt.
2. Dedicated credentials: Gebruik accounts en tokens die specifiek voor de agent zijn aangemaakt en geen toegang hebben tot gevoelige data.
3. Continue monitoring: Controleer regelmatig op onverwachte wijzigingen in de configuratie of het gedrag van de agent.
4. Regelmatige herbouw: Behandel de omgeving als wegwerpbaar. Installeer de runtime regelmatig opnieuw om eventuele verborgen persistentie van aanvallers te verwijderen.

Monitoring met Microsoft Defender XDR

Voor security-teams biedt Microsoft specifieke 'hunting queries' aan binnen Microsoft Defender XDR. Hiermee kunnen zij inventariseren waar agent-runtimes actief zijn, of er verdachte skills worden geïnstalleerd vanuit ClawHub en of agents onverwachte processen zoals PowerShell of opdrachtprompts opstarten.

De eindconclusie van de onderzoekers is helder: het draaien van een self-hosted agent zoals OpenClaw is geen simpele configuratiekeuze, maar een fundamentele vertrouwensbeslissing. In de huidige vorm moet men ervan uitgaan dat de runtime kan worden beïnvloed door kwaadaardige input. Voor veel omgevingen is de veiligste keuze dan ook om de software (nog) niet uit te rollen.