De kwetsbaarheid 'ClawJacked' is een van de ernstigste gevallen van moderne AI-agentbeveiligingsrisico's tot nu toe. Het laat op dramatische wijze zien hoe gevaarlijk het kan worden wanneer AI-agenten die diep in bedrijfsprocessen zijn ingebed, vertrouwen op onjuiste aannames. Een enkel bezoek aan een website kan al voldoende zijn om OpenClaw volledig te compromitteren. In dit artikel wordt uitgelegd waarom de kwetsbaarheid zo kritiek is, hoe de aanval werkt en welke maatregelen organisaties nu dringend moeten nemen.
1. Waarom de ClawJacked-kwetsbaarheid een wake-upcall is voor IT-leiders
In tijden van toenemende automatisering door middel van AI-agenten zoals OpenClaw, vertrouwen organisaties op deze systemen om veilig te werken, gegevens te beschermen en processen betrouwbaar uit te voeren. De onlangs ontdekte ClawJacked-kwetsbaarheid laat echter zien hoe snel deze aanname kan instorten.
Een onschuldige browsersessie was voldoende om aanvallers ongemerkt beheerdersrechten te geven voor lokale OpenClaw-instanties. Door de agent volledig te compromitteren, konden gevoelige gegevens worden geëxtraheerd, aangesloten systemen worden gemanipuleerd en opdrachten worden uitgevoerd.
Het incident dient als een ernstige waarschuwing: het aanvalsoppervlak verschuift en AI-agenten worden steeds vaker het doelwit. Organisaties moeten deze systemen behandelen als kritieke infrastructuur waarvan de bescherming een topprioriteit moet zijn.
2. Hoe OpenClaw is gestructureerd en waar de kwetsbaarheid is ontstaan
Om de ernst van de kwetsbaarheid te begrijpen, is het de moeite waard om te kijken naar de structuur van OpenClaw. OpenClaw is een lokaal draaiend AI-agentframework dat communiceert via een gateway. Deze gateway coördineert authenticatie, bestanden, logboeken, chatsessies en verbindingen met zogenaamde "knooppunten", dat wil zeggen apparaten of diensten die taken uitvoeren.
De kern van het probleem:
De gateway maakt standaard verbinding met localhost en gaat ervan uit dat lokale verbindingen betrouwbaar zijn. Tegelijkertijd blokkeren browsers geen WebSocket-verbindingen met localhost, omdat deze technisch gezien als lokale communicatie worden beschouwd.
Het resultaat is een gevaarlijke ontwerpfout: elke website die een gebruiker bezoekt, kan op de achtergrond stilzwijgend een WebSocket-verbinding met de OpenClaw-gateway openen, zonder zichtbare aanwijzingen of beveiligingswaarschuwingen. Deze stille communicatie vormde de basis van de ClawJacked-aanvalsketen.
3. Stap voor stap door de stille overname
De aanval zelf is even verraderlijk als eenvoudig, en dat maakt hem juist zo gevaarlijk. De hele compromittering vindt binnen enkele seconden plaats:
Stap 1: Een voorbereide website bezoeken
Een slachtoffer opent een gemanipuleerde pagina. Geen download, geen klik – één JavaScript is voldoende.
Stap 2: Verborgen WebSocket-verbinding met localhost
De pagina maakt volledig stil een verbinding met de OpenClaw-gateway.
Stap 3: Brute-force-aanval zonder snelheidsbeperking
Hoewel OpenClaw normaal gesproken snelheidsbeperkingen oplegt, gold dit niet voor localhost. De aanvaller kon daarom honderden wachtwoordpogingen per seconde uitvoeren. Een door mensen gekozen wachtwoord maakt onder dergelijke omstandigheden geen schijn van kans.
Stap 4: Automatische goedkeuring van apparaten
Zodra het script het wachtwoord heeft gekraakt, registreert het zichzelf als een 'nieuw apparaat'.
In plaats van gebruikersbevestiging te vereisen, keurt OpenClaw lokale apparaten automatisch goed.
Stap 5: Volledige toegang
Vanaf dit punt wordt alles mogelijk:
- Toegang tot opgeslagen inloggegevens
- Lees logbestanden en configuraties
- Lijst met verbonden apparaten
- Shell-opdrachten uitvoeren
- Zoeken in berichteninhoud
- Alle bestanden verwijderen
Een volledig systeemcompromis veroorzaakt door één enkele website.
4. Impact op organisaties: van gegevenslekken tot volledige compromittering van het systeem
Voor organisaties is ClawJacked niet alleen een technische kwetsbaarheid, maar ook een potentieel worstcasescenario.
OpenClaw-agenten communiceren vaak met:
- Documentbeheersystemen
- Cloudplatforms
- Berichtenfuncties
- IT-automatisering
- DevOps-pijplijnen
- Interne toepassingen
Als een aanvaller deze systemen via OpenClaw kan controleren, ontstaat er een cascade van risico's, waaronder:
- Industriële spionage door middel van credential dumping
- Gecompromitteerde IT-automatisering die onopgemerkt commando's uitvoert
- Manipulatie van logbestanden en configuraties
- Uitbreiding naar andere apparaten binnen dezelfde omgeving
- Gegevensdiefstal uit clouddiensten
In de praktijk betekent dit:
Eén enkele browsersessie kan voldoende zijn om een heel bedrijfsnetwerk in gevaar te brengen.
5. Reactie van leveranciers en technische tegenmaatregelen
Nadat de kwetsbaarheid bekend werd, reageerde OpenClaw snel en implementeerde het cruciale beveiligingsmechanismen in versie 2026.2.26. De belangrijkste maatregelen zijn:
Verbeterde beveiligingsmaatregelen
- Strengere oorsprongscontroles voor WebSocket-verbindingen
- Beperking van reactiesnelheid voor localhost opnieuw geactiveerd
- Verwijdering van automatische apparaatgoedkeuring voor lokale browserclients
- Extra beveiligingsmechanismen tegen sessiekaping
Aanbevolen onmiddellijke acties voor u
Organisaties moeten onmiddellijk:
- Werk OpenClaw bij naar versie 2026.2.26 of nieuwer.
- Controleer bestaande geregistreerde apparaten, met name lokale browserclients.
- Wachtwoorden voor de gateway wijzigen
- Firewallregels bijwerken om toegang tot localhost te beperken
- Beperk de rechten van agenten volgens het principe van minimale rechten.
Deze maatregelen zijn essentieel om bestaande installaties te beveiligen.
Conclusie
De kwetsbaarheid die in OpenClaw werd misbruikt, laat duidelijk zien hoe kwetsbaar moderne AI-agent-systemen kunnen worden, zelfs door ogenschijnlijk onschuldige interacties zoals het simpelweg bezoeken van een website. Organisaties moeten zich realiseren dat agents zoals OpenClaw niet langer alleen maar tools zijn, maar cruciale infrastructuurcomponenten waarvan de bescherming een topprioriteit moet zijn. Bijzonder alarmerend is hoe fundamentele vertrouwensveronderstellingen, zoals de overtuiging dat localhost inherent veilig is, een aanvalsroute konden worden. Het incident maakt duidelijk dat beveiligingsarchitectuur nooit als statisch kan worden beschouwd, maar voortdurend in twijfel moet worden getrokken en versterkt. De updates die nu door de leverancier worden aangeboden, zijn een belangrijke stap, maar ze vervangen niet de noodzaak van een holistische beveiligingsstrategie. Organisaties moeten daarom niet alleen systemen patchen, maar ook hun volledige agent-workflows, toestemmingsstructuren en netwerkgrenzen kritisch herzien. De "ClawJacked"-zaak benadrukt een essentiële les: beveiliging in het tijdperk van autonome AI-systemen vereist een fundamentele verschuiving in het denken, weg van impliciet vertrouwen en naar een robuuste, consistent gehandhaafde Zero Trust-architectuur. Alleen deze aanpak kan voorkomen dat individuele kwetsbaarheden escaleren tot systeemwijde rampen. De les is duidelijk: organisaties die AI-automatisering serieus nemen, moeten beveiliging net zo serieus nemen.