9 uren geleden
17
Securityexperts hebben tienduizenden onbeveiligde OpenClaw-instances ontdekt. De AI-agents draaien kwetsbare softwareversies en bieden aanvallers toegang tot systemen. Meer dan 12.000 instances zijn kwetsbaar voor remote code execution.
De onderzoekers van SecurityScorecard leggen een groot securityprobleem bloot voor het snel populair wordend OpenClaw. Via internetscans identificeerde het team 28.663 unieke IP-adressen met blootgestelde OpenClaw control panels verspreid over 76 landen.
Van de geïdentificeerde instances zijn er 12.812 kwetsbaar voor remote code execution (RCE). Dat betekent dat aanvallers de volledige controle over het hostsysteem kunnen overnemen. 549 blootgestelde instances correleren met eerdere databreach-activiteit. Nog eens 1.493 zijn gekoppeld aan bekende kwetsbaarheden.
Drie kritieke CVE’s met publieke exploitcode
Er zijn drie security-adviezen gepubliceerd tegen OpenClaw, alle met een hoge ernst. CVE-2026-25253 scoort 8,8 op de CVSS-schaal en betreft een 1-click remote code execution-kwetsbaarheid. Een aanvaller kan een kwaadaardige link maken die bij een klik het authenticatietoken steelt en volledige controle over de AI-agent geeft, zelfs wanneer de instance op localhost draait.
CVE-2026-25157 (CVSS 7,8) is een SSH command injection in de macOS-app. Een kwaadaardig project path kan willekeurige commando’s uitvoeren. CVE-2026-24763 (CVSS 8,8) betreft een Docker sandbox escape via PATH-manipulatie. Alle kwetsbaarheden zijn gepatcht in versie v2026.1.29 van 29 januari. De data laten echter zien dat de meerderheid van de geïdentificeerde instances oudere versies draait.
Het Centrum voor Cybersecurity België waarschuwde recent voor deze kritieke kwetsbaarheden in OpenClaw, waarbij werd benadrukt dat de agent toegang vereist tot rootbestanden, authenticatiegegevens en alle systeembestanden.
Default configuratie vergroot risico
OpenClaw maakt automatisch gebruik van de network binding 0.0.0.0:18789. Dat betekent dat het luistert op alle netwerkinterfaces, inclusief het publieke internet. Voor een tool met zoveel macht zou de default 127.0.0.1 (localhost only) moeten zijn, schetst SecurityScorecard. Het resultaat: meer dan 40.000 OpenClaw-instances blootgesteld aan het internet.
De blootstelling groeide in real-time tijdens het onderzoek. De initiële zoekopdracht op basis van titels vond 24.034 instances. Tegen de tijd dat het rapport klaar was, was dit aantal gestegen naar 40.214 bevestigde instances via favicon fingerprinting, waarvan 23.505 actieve control panel-interfaces tonen. 45 procent van de instances draait op Alibaba Cloud, met 37 procent in China.
Wanneer een aanvaller toegang krijgt tot een OpenClaw-instance, krijgt deze alles wat de agent kan benaderen. Dat omvat de credentials directory (~/.openclaw/credentials/) met API keys, OAuth tokens en service passwords. Ook volledige filesystem-toegang tot SSH keys, browserprofielen en password manager databases behoort tot de mogelijkheden. Aanvallers kunnen berichten verzenden namens het slachtoffer op WhatsApp, Telegram of Discord, geauthenticeerde browsersessies overnemen of crypto wallets plunderen.
Meerdere sectoren getroffen
De blootgestelde instances zijn gekoppeld aan organisaties uit verschillende sectoren. Denk aan informatiediensten, technologie, productie, telecommunicatie, financiële dienstverlening, gezondheidszorg, overheid, onderwijs en entertainment.
Moltbook, het sociale netwerk voor AI-agents gebouwd op Moltbot-technologie, kreeg recent aandacht vanwege de potentie van samenwerkende agents. SecurityScorecard’s onderzoek laat nu de keerzijde zien van onveilige deployment van deze technologie.
/s3/static.nrc.nl/wp-content/uploads/2026/02/07170139/070226BUI_2031381061_1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/08104641/080226SPO_2031423390_Dekker.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/08181620/080226SPO_2031427296_Eitrem.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/07183425/070226SPO_2031419623_-beune1.jpg)
English (US) ·