De groei van OpenClaw is buitengewoon geweest. Maar met 180.000 GitHub-sterren en deployments in 82 landen komt een minder comfortabele realiteit: het project is een doelwit geworden. En overheden zijn gaan opletten.
Dit artikel behandelt het beveiligingslandschap per februari 2026 — de ontdekte kwetsbaarheden, de reacties van overheden, de bedrijfsverboden en wat de nieuwe stichtingsstructuur kan betekenen voor beveiligingsgovernance in de toekomst.
De kwetsbaarheid die alles veranderde
Begin februari 2026 onthulden onderzoekers CVE-2026-25253, een kritieke één-klik remote code execution-kwetsbaarheid met een CVSS-score van 8.8 (Hoog).
De fout zat in OpenClaws Control UI. De interface vertrouwde automatisch elke gateway-URL die als queryparameter werd meegegeven en opende een WebSocket-verbinding met het opgeslagen authenticatietoken van de gebruiker. Een aanvaller kon een kwaadaardige link maken die, wanneer aangeklikt door een ingelogde gebruiker:
- 1.De Control UI omleidde naar een door de aanvaller gecontroleerde gateway
- 2.Het authenticatietoken exfiltreerde via de WebSocket-handshake
- 3.Het gestolen token gebruikte om willekeurige commando's uit te voeren op het OpenClaw-exemplaar van het slachtoffer
De drempel voor misbruik was laag. Geen speciale tools nodig — alleen een gemanipuleerde URL verstuurd via e-mail, chat of social media. De patch kwam in v2026.1.29 op 30 januari 2026. Er werd geen bevestigd misbruik in het wild gemeld, maar de eenvoud van de aanvalsvector sloeg alarm.
De cijfers: 42.900 blootgestelde instanties
Het STRIKE-team van SecurityScorecard voerde een wereldwijde scan uit en vond 42.900 OpenClaw-instanties die blootgesteld waren aan het publieke internet in 82 landen. Daarvan waren 15.200 kwetsbaar voor remote code execution — ze waren niet gepatcht of draaiden met standaardconfiguraties.
Om het in perspectief te plaatsen: 15.200 machines die iedereen op internet potentieel kon overnemen met één enkel HTTP-verzoek.
Afzonderlijk demonstreerden onderzoekers van Giskard datalekken en prompt injection-kwetsbaarheden in gedeployde instanties. Ze toonden aan dat een zorgvuldig opgestelde prompt privé API-sleutels, omgevingsvariabelen en andere geheimen kon extraheren uit een draaiende OpenClaw-agent. In hun tests werden privésleutels in minder dan vijf minuten geëxtraheerd.
Misschien het meest zorgwekkend: 93% van de publiek blootgestelde instanties had kritieke kwetsbaarheden voor authenticatie-bypass. De standaardconfiguratie, zo bleek, is niet veilig genoeg voor publieke blootstelling — iets waar de documentatie nu expliciet voor waarschuwt.
Het probleem van kwaadaardige skills
Het onderzoeksteam van Bitdefender analyseerde ClawHub, OpenClaws publieke skill-register, en vond ongeveer 900 kwaadaardige skills op een totaal van circa 4.500 — ongeveer 20% van alle gepubliceerde pakketten.
Deze kwaadaardige skills varieerden van credential stealers vermomd als handige tools tot backdoors die aanvallers permanente toegang tot de hostmachine gaven. Sommige waren geavanceerd genoeg om een oppervlakkige code review te doorstaan, met geobfusceerde payloads die pas na installatie werden geactiveerd.
Dit weerspiegelt problemen die bij npm, PyPI en andere pakketregisters zijn gezien, maar met hogere inzet: OpenClaw-skills draaien vaak met systeemrechten en hebben toegang tot berichtenaccounts, API-sleutels en persoonlijke gegevens.
De reactie van China: MIIT-waarschuwing
Het Chinese Ministerie van Industrie en Informatietechnologie (MIIT) gaf een beveiligingsadvies uit specifiek over OpenClaw, waarin bedrijven werden gewaarschuwd om te controleren hoe hun instanties zijn blootgesteld aan publieke netwerken. Het advies ging niet zo ver als een volledig verbod, maar adviseerde:
- •Alle OpenClaw-deployments te auditen op publieke blootstelling
- •Netwerksegmentatie te implementeren om OpenClaw-instanties te isoleren
- •Geïnstalleerde skills te controleren op bekende kwaadaardige pakketten
- •Te updaten naar de nieuwste gepatchte versie
Dit is opmerkelijk omdat China tegelijkertijd OpenClaw op platformniveau heeft omarmd — Alibaba Cloud, Tencent Cloud, Volcano Engine en Baidu hebben allemaal OpenClaw-hostingdiensten gelanceerd. De MIIT-waarschuwing signaleert dat de overheid zowel de kans als het risico ziet.
De reactie van Zuid-Korea: Bedrijfsverboden
Zuid-Korea nam een agressievere houding aan. Meerdere grote techbedrijven vaardigden interne verboden uit:
- •Kakao kondigde beperkingen aan op het gebruik van OpenClaw op werkapparaten om informatie-assets te beschermen
- •Naver vaardigde een volledig intern verbod op OpenClaw uit
- •Karrot (당근마켓) blokkeerde de toegang tot OpenClaw volledig
De Koreaanse reactie werd gedreven door zorgen over data-exfiltratie — specifiek het risico dat een AI-agent met toegang tot bedrijfssystemen gevoelige informatie kon lekken via zijn berichtenintegraties. Wanneer je AI-assistent je Slack, e-mail en agenda kan lezen en vervolgens informatie kan doorsturen via WhatsApp of Telegram, wordt het aanvalsoppervlak voor bedrijfsspionage dramatisch groter.
Wat de stichtingsovergang betekent voor beveiliging
Op 14 februari 2026 kondigde OpenClaw-oprichter Peter Steinberger aan dat hij bij OpenAI ging werken, en het project zou overgaan naar een onafhankelijke 501(c)(3)-stichting met steun van OpenAI.
Voor beveiliging roept dit zowel hoop als vragen op:
Het optimistische scenario: Een stichtingsstructuur met bedrijfssteun zou dedicated beveiligingsingenieurs kunnen financieren, een formeel security response team kunnen opzetten, verplichte skill-reviewprocessen voor ClawHub kunnen implementeren en regelmatige beveiligingsaudits kunnen uitvoeren. Dit zijn zaken die een individuele maintainer of vrijwilligerscommunity moeilijk kunnen volhouden.
Het voorzichtige scenario: De betrokkenheid van OpenAI creëert een potentieel belangenconflict. Worden beveiligingsbeslissingen puur op technische gronden genomen, of zullen commerciële overwegingen beïnvloeden wat er wanneer wordt onthuld? De onafhankelijkheid van de stichting wordt getest zodra een grote kwetsbaarheid OpenAI's eigen belangen raakt.
- •Een gefinancierd fulltime beveiligingsteam met publieke openbaarmakingsrichtlijnen
- •Verplichte code-ondertekening en review voor ClawHub-skills
- •Geautomatiseerde kwetsbaarheidsscanning in de CI/CD-pipeline
- •Een bug bounty-programma met substantiële beloningen
- •Regelmatige beveiligingsaudits door derden met gepubliceerde resultaten
Wat gebruikers nu moeten doen
Als je OpenClaw draait, zijn de directe stappen duidelijk:
- 1.**Updaten**: Zorg dat je op v2026.2.21 of nieuwer zit
- 2.**Niet publiek blootstellen**: Gebruik een VPN of SSH-tunnel voor remote toegang
- 3.**Skills auditen**: Controleer elke geïnstalleerde skill, vooral van onbekende auteurs
- 4.**Authenticatie inschakelen**: Draai niet met standaard inloggegevens
- 5.**Toegangslogs monitoren**: Let op ongebruikelijke verbindingspatronen
- 6.**Netwerksegmentatie**: Isoleer je OpenClaw-instantie van gevoelige systemen
Het grote plaatje
De beveiligingsuitdagingen van OpenClaw zijn niet uniek — het zijn de onvermijdelijke groeipijnen van elk open-sourceproject dat in drie maanden van weekendproject naar kritieke infrastructuur gaat. npm had kwaadaardige pakketten. Docker Hub had cryptominers. PyPI had typosquatting-aanvallen.
Wat hier anders is, is de inzet. OpenClaw-agents hebben toegang tot berichtenaccounts, e-mail, agenda's, smart home-apparaten en mogelijk bedrijfssystemen. Een gecompromitteerde OpenClaw-instantie is niet zomaar een gehackte server — het is een gecompromitteerd digitaal leven.
De stichtingsovergang is de beste kans van het project om de beveiligingsinfrastructuur te bouwen die het nodig heeft. Of dat potentieel wordt gerealiseerd, hangt ervan af hoe serieus de nieuwe governancestructuur beveiliging als eersteklas prioriteit behandelt — en niet als een bijzaak.
We blijven dit domein volgen en rapporteren over ontwikkelingen zodra ze zich voordoen.