Waarom OpenClaw volgens Cisco een beveiligingsrisico is
Ze beloven de ultieme digitale butler te zijn: AI-agents die niet alleen praten, maar ook daadwerkelijk actie ondernemen. De open-source tool OpenClaw (voorheen bekend als Clawdbot) gaat momenteel viraal omdat het autonoom vluchten kan boeken, restaurants kan reserveren en e-mails kan beheren. Maar beveiligingsexperts van onder meer Cisco luiden de noodklok. "Vanuit functioneel oogpunt is dit een doorbraak, maar vanuit veiligheidsoogpunt is het een absolute nachtmerrie."
Het concept van OpenClaw is verleidelijk: een persoonlijke assistent die lokaal draait, je voorkeuren onthoudt en communiceert via vertrouwde apps als WhatsApp en iMessage. De kracht zit in de zogenaamde 'skills' die de community kan toevoegen via de molthub-registry. Hierdoor leert de bot voortdurend nieuwe kunstjes, zoals het aansturen van je browser of het draaien van scripts op je computer.
De achterdeur staat wagenwijd open
Cisco beveiligingsonderzoekers Amy Chang en Vineeth Sai Narajala waarschuwen dat de vrijheid die deze AI-agents krijgen, een enorm risico vormt. Zij zien vier kritieke zwakpunten:
- Onbeperkte systeemtoegang: OpenClaw heeft de bevoegdheid om bestanden te lezen en schrijven, en opdrachten uit te voeren in de terminal van je computer. Als een gedownloade 'skill' kwaadaardige instructies bevat, kan de AI onbedoeld schade aanrichten aan je eigen systeem.
- Lekken van inloggegevens: Er zijn al meldingen van OpenClaw die API-sleutels en wachtwoorden in platte tekst heeft gelekt. Kwaadwillenden kunnen deze gegevens stelen via simpele 'prompt injection' (het misleiden van de AI met tekstcommando’s).
- Groter aanvalsoppervlak: Door de koppeling met WhatsApp en iMessage kunnen aanvallers via een simpel berichtje proberen de AI van het slachtoffer opdrachten te geven.
- Gebrek aan ingebouwde veiligheid: De documentatie van OpenClaw geeft het zelf al toe: "Er bestaat geen perfect veilige opstelling."
Malware vermomd als 'populaire skill'
Om de risico's aan te tonen, testte het AI Threat & Security Research-team van Cisco de tool met een populaire third-party skill genaamd "What Would Elon Do?". Deze skill stond op nummer 1 in de ranglijsten, maar bleek in werkelijkheid puur kwaadaardig.
Met hun nieuwe 'Skill Scanner' vonden de onderzoekers negen beveiligingslekken, waaronder twee kritieke. De skill gaf de bot de opdracht om op de achtergrond data te stelen en naar een externe server te sturen, zonder dat de gebruiker hier iets van merkte. Bovendien werd de interne beveiliging van de AI omzeild om deze commando's zonder vragen uit te voeren.
Schaduw-AI op de werkvloer
Hoewel OpenClaw wordt gepresenteerd als een persoonlijke tool, maken organisaties zich grote zorgen over 'Shadow AI'. Werknemers kunnen deze assistenten installeren om hun productiviteit te verhogen, maar halen daarmee onbewust een trojaans paard binnen. De AI kan fungeren als een onzichtbaar kanaal voor datalekken dat traditionele beveiligingssoftware simpelweg niet opmerkt.
Gereedschap voor ontwikkelaars
Voor wie toch aan de slag wil met AI-agents, heeft Cisco de Skill Scanner als open-source tool uitgebracht. Hiermee kunnen ontwikkelaars en beveiligingsteams controleren of een skill veilig is voordat deze toegang krijgt tot het systeem.
De opkomst van tools als OpenClaw laat zien dat de droom van een persoonlijke AI-assistent binnen handbereik is, maar de prijs voor die efficiëntie zou wel eens onze digitale veiligheid kunnen zijn. Het advies van experts is dan ook helder: wees extreem voorzichtig met welke 'skills' je je AI-agent aanleert.
Meer over Security
Over Witold Kepinski
