Een week die alles veranderde
Tussen 24 februari en 2 maart 2026 werd OpenClaw geconfronteerd met een cascade van beveiligingsincidenten die de veerkracht van het project, het vertrouwen van de gemeenschap en het vermogen om onder druk te reageren op de proef stelden. Dit bericht is een volledig verslag van wat er gebeurde, hoe het team reageerde en wat er als gevolg is veranderd.
Incident 1: De zero-click WebSocket-kaping (CVE-2026-25253)
Wat er gebeurde
Op 26 februari maakten beveiligingsonderzoekers een kritieke zero-interactie-kwetsbaarheid openbaar: elke kwaadaardige website kon stilletjes de volledige controle over de OpenClaw-agent van een gebruiker overnemen zonder dat enige gebruikersactie vereist was — geen klikken, geen plugins, geen extensies.
Hoe het werkte
- 1.Een gebruiker bezoekt een webpagina met kwaadaardig JavaScript
- 2.Het script opent een WebSocket-verbinding naar de OpenClaw-gateway op
localhost - 3.Het script brute-forcet het gateway-wachtwoord met honderden pogingen per seconde
- 4.De rate limiter van de gateway stelde localhost-verbindingen volledig vrij — mislukte pogingen werden niet geteld, beperkt of gelogd
- 5.Na authenticatie registreert het script zich stilletjes als een vertrouwd apparaat
- 6.De aanvaller krijgt volledige controle: berichten lezen, commando's uitvoeren, bestanden openen, API-sleutels exfiltreren
De reactie
Het beveiligingsteam van OpenClaw classificeerde dit als hoge ernst (CVSS 8.8) en leverde binnen 24 uur na openbaarmaking een patch in versie 2026.2.25. De fix:
- •Verwijderde de localhost-vrijstelling van rate limiting
- •Voegde WebSocket-origin-controle toe
- •Introduceerde logging van verbindingspogingen voor alle bronnen
- •Vereiste herauthenticatie voor nieuwe apparaatregistraties
Impact
Er is geen bevestigd bewijs van exploitatie in de praktijk voorafgaand aan de openbaarmaking, maar het kwetsbaarheidsvenster was ongeveer 6 weken (vanaf het moment dat de localhost-vrijstelling werd geïntroduceerd in v2026.1.12).
Incident 2: De ClawHub supply-chain-crisis
Wat er gebeurde
Parallel aan de WebSocket-kwetsbaarheid publiceerden beveiligingsonderzoekers van meerdere bedrijven bevindingen waaruit bleek dat ongeveer 20% van alle skills die op ClawHub stonden — 341 van de ongeveer 1.700 — kwaadaardig waren of verdacht gedrag vertoonden.
Wat de kwaadaardige skills deden
- •Data-exfiltratie: Stilletjes uploaden van omgevingsvariabelen, API-sleutels en gesprekslogboeken naar externe servers
- •Credential harvesting: Het vastleggen van authenticatietokens voor verbonden services (Slack, Discord, Gmail)
- •Backdoor-installatie: Het opzetten van persistente reverse shells op het hostsysteem
- •Prompt injection: Het manipuleren van het gedrag van de agent om de doelen van de aanvaller te dienen, terwijl het er voor de gebruiker normaal uitziet
De reactie
OpenClaw integreerde VirusTotal-scanning in de ClawHub-inzendingspipeline. Elke nieuwe skill en elke skill-update wordt nu:
- 1.Gescand door de multi-engine-analyse van VirusTotal
- 2.Onderworpen aan statische code-analyse op bekende kwaadaardige patronen
- 3.Beoordeeld door een menselijke moderator vóór publicatie (voor skills die verhoogde machtigingen aanvragen)
- 4.Voorzien van een vertrouwensscore die zichtbaar is voor gebruikers vóór installatie
Daarnaast werden alle 341 geïdentificeerde kwaadaardige skills verwijderd, hun uitgevers werden verbannen en getroffen gebruikers werden geïnformeerd.
Incident 3: De configuratiebestand-infostealer
Wat er gebeurde
Een afzonderlijke campagne richtte zich op OpenClaw-gebruikers via social engineering: valse "optimalisatiegidsen" en "prestatietools" verspreid via GitHub, Reddit en Chinese ontwikkelaarsforums bevatten infostealers die specifiek gericht waren op:
- OpenClaw-configuratiebestanden (.clawrc