Fout in OpenClaw maakt volledige overname van AI-agent mogelijk

maandag, 2 maart 2026 (13:09) - Techzine

In dit artikel:

Een kritieke kwetsbaarheid in de open-source AI-agent OpenClaw — aangeduid als ClawJacked en ontdekt door Oasis Security — maakte het mogelijk dat kwaadaardige websites ongemerkt volledige controle over ontwikkelaars’ lokale AI-assistenten overnamen. Er waren geen malafide plugins, extensies of gebruikersinteractie voor nodig; de fout zat in de kern van OpenClaw zelf. Ontwikkelaars klasseerden het probleem als hoog risico en publiceerden binnen 24 uur een patch.

OpenClaw is een populair zelfgehost platform dat lokaal draait en vaak brede toegang heeft tot berichtenapps, agenda’s, ontwikkeltools en het besturingssysteem. Centraal staat een lokale gateway die via WebSockets (standaard gebonden aan localhost) sessies, authenticatie en gekoppelde nodes beheert. Die nodes kunnen opdrachten uitvoeren, bestanden benaderen en systeemcommando’s geven. De software vertrouwt standaard op lokaal verkeer — een aanname die misbruikbaar bleek.

Browsers blokkeren WebSocket-verbindingen naar localhost niet, waardoor JavaScript op een malafide webpagina verbinding kan maken met de OpenClaw-gateway. Bovendien vielen lokale verbindingen buiten rate limiting, bedoeld om legitieme lokale tools niet te hinderen; dat maakte het mogelijk honderden wachtwoordpogingen per seconde uit te voeren en veelgebruikte wachtwoorden snel te raden. Na succesvolle authenticatie kon een aanvaller zichzelf als vertrouwd apparaat registreren (automatisch goedgekeurd voor localhost), waarna volledige controle over de agent en het werkstation mogelijk werd: configuraties uitlezen, gekoppelde apparaten inventariseren, logs bekijken, chats doorzoeken, bestanden exfiltreren of shell-commando’s uitvoeren.

Oasis Security leverde een proof-of-concept en rapporteerde de technische details; OpenClaw bracht snel een fix uit (beschikbaar vanaf versie 2026.2.26) die WebSocket-beveiliging aanscherpt en het vertrouwen in localhost-verbindingen beperkt. Het incident benadrukt dat AI-agenten steeds vaker buiten zicht van IT draaien, met eigen identiteiten en uitvoerrechten — waardoor governance en security cruciaal worden naarmate zulke tools ingeburgerd raken. Gebruikers wordt dringend aangeraden de update te installeren en de inzet van agenten te beleggen in beheer- en beveiligingsprocessen.