OpenClaw integreert VirusTotal-scannen om kwaadaardige ClawHub-vaardigheden te detecteren

Cyberbeveiliging
Malicious ClawHub Skills

OpenClaw (voorheen Moltbot en Clawdbot) heeft aangekondigd dat het samenwerkt met VirusTotal, eigendom van Google, om vaardigheden te scannen die worden geüpload naar ClawHub, de vaardighedenmarktplaats, als onderdeel van bredere inspanningen om de veiligheid van het agentische ecosysteem te versterken.

“Alle vaardigheden die op ClawHub zijn gepubliceerd, worden nu gescand met behulp van de bedreigingsinformatie van VirusTotal, inclusief hun nieuwe Code Insight-mogelijkheid”, aldus OpenClaw-oprichter Peter Steinberger, samen met Jamieson O’Reilly en Bernardo Quintero. “Dit biedt een extra beveiligingslaag voor de OpenClaw-gemeenschap.”

Het proces omvat in wezen het creëren van een unieke SHA-256-hash voor elke vaardigheid en deze te vergelijken met de database van VirusTotal voor een match. Als deze niet wordt gevonden, wordt de vaardighedenbundel geüpload naar de malwarescantool voor verdere analyse met behulp van VirusTotal Code Insight.

Vaardigheden met een ‘goedaardig’ Code Insight-oordeel worden automatisch goedgekeurd door ClawHub, terwijl vaardigheden die als verdacht zijn gemarkeerd, worden gemarkeerd met een waarschuwing. Elke vaardigheid die als schadelijk wordt beschouwd, kan niet worden gedownload. OpenClaw zei ook dat alle actieve vaardigheden dagelijks opnieuw worden gescand om scenario’s te detecteren waarin een voorheen schone vaardigheid kwaadaardig wordt.

Dat gezegd hebbende, waarschuwden OpenClaw-beheerders ook dat VirusTotal-scannen “geen wondermiddel” is en dat de mogelijkheid bestaat dat sommige kwaadaardige vaardigheden die gebruik maken van een slim verborgen prompt-injectie-payload door de kieren glippen.

Naast het VirusTotal-partnerschap wordt van het platform verwacht dat het een alomvattend dreigingsmodel, een routekaart voor de openbare veiligheid, een formeel beveiligingsrapportageproces en details over de beveiligingsaudit van de gehele codebase publiceert.

De ontwikkeling komt in de nasleep van rapporten waarin honderden kwaadaardige vaardigheden op ClawHub zijn aangetroffen, wat OpenClaw ertoe heeft aangezet een rapportageoptie toe te voegen waarmee ingelogde gebruikers een verdachte vaardigheid kunnen markeren. Uit meerdere analyses is gebleken dat deze vaardigheden zich voordoen als legitieme tools, maar dat ze onder de motorkap kwaadaardige functionaliteiten herbergen om gegevens te exfiltreren, achterdeurtjes te injecteren voor externe toegang of stealer-malware te installeren.

“AI-agents met systeemtoegang kunnen geheime datalekkanalen worden die de traditionele preventie van gegevensverlies, proxy’s en eindpuntmonitoring omzeilen”, merkte Cisco vorige week op. “Ten tweede kunnen modellen ook een uitvoeringsorkestrator worden, waarbij de prompt zelf de instructie wordt en moeilijk te vangen is met traditionele beveiligingstools.”

De recente virale populariteit van OpenClaw, de open-source agentic kunstmatige intelligentie (AI)-assistent, en Moltbook, een aangrenzend sociaal netwerk waar autonome AI-agenten bovenop OpenClaw met elkaar communiceren in een Reddit-achtig platform, heeft tot veiligheidsproblemen geleid.

Hoewel OpenClaw functioneert als een automatiseringsmotor die workflows in gang zet, communiceert met onlinediensten en op verschillende apparaten werkt, kan de diepgewortelde toegang tot vaardigheden, in combinatie met het feit dat ze gegevens uit onbetrouwbare bronnen kunnen verwerken, de deur openen voor risico’s zoals malware en snelle injectie.

Met andere woorden, de integraties zijn weliswaar handig, maar vergroten het aanvalsoppervlak aanzienlijk en breiden de reeks niet-vertrouwde invoer uit die de agent gebruikt, waardoor deze in een “agentisch Trojaans paard” verandert voor data-exfiltratie en andere kwaadaardige acties. Backslash Security heeft OpenClaw omschreven als een ‘AI With Hands’.

“In tegenstelling tot traditionele software die precies doet wat de code zegt, interpreteren AI-agenten natuurlijke taal en nemen ze beslissingen over acties”, aldus OpenClaw. “Ze vervagen de grens tussen de intentie van de gebruiker en de uitvoering van de machine. Ze kunnen door de taal zelf worden gemanipuleerd.”

OpenClaw erkende ook dat de macht die wordt uitgeoefend door vaardigheden – die worden gebruikt om de mogelijkheden van een AI-agent uit te breiden, zoals het besturen van smart home-apparaten tot het beheren van financiën – kan worden misbruikt door slechte actoren, die de toegang van de agent tot tools en gegevens kunnen gebruiken om gevoelige informatie te exfiltreren, ongeautoriseerde opdrachten uit te voeren, berichten namens het slachtoffer te verzenden en zelfs extra payloads te downloaden en uit te voeren zonder hun medeweten of toestemming.

Bovendien kunnen de verhoogde rechten van deze agenten, nu OpenClaw steeds vaker wordt ingezet op eindpunten van werknemers zonder formele IT- of beveiligingsgoedkeuring, shell-toegang, gegevensverplaatsing en netwerkconnectiviteit buiten de standaard beveiligingscontroles mogelijk maken, waardoor een nieuwe klasse van Shadow AI-risico’s voor ondernemingen ontstaat.

“OpenClaw en soortgelijke tools zullen in uw organisatie verschijnen, of u ze nu goedkeurt of niet”, zegt Astrix Security-onderzoeker Tomer Yahalom. “Medewerkers zullen ze installeren omdat ze echt nuttig zijn. De vraag is alleen of jij ervan op de hoogte bent.”

Enkele van de opvallende veiligheidsproblemen die de afgelopen dagen naar voren zijn gekomen, staan ​​hieronder:

  • Een nu opgelost probleem dat in eerdere versies werd geïdentificeerd en ertoe kon leiden dat proxyverkeer verkeerd werd geclassificeerd als lokaal, waardoor de authenticatie voor sommige op internet blootgestelde instanties werd omzeild.
  • “OpenClaw bewaart inloggegevens in leesbare tekst, gebruikt onveilige coderingspatronen, waaronder directe evaluatie met gebruikersinvoer, en heeft geen privacybeleid of duidelijke verantwoordelijkheid”, aldus Moshe Siman Tov Bustan en Nir Zadok van OX Security. “Gemeenschappelijke verwijderingsmethoden laten gevoelige gegevens achter – en het volledig intrekken van de toegang is veel moeilijker dan de meeste gebruikers beseffen.”
  • Een zero-click-aanval die misbruik maakt van de integraties van OpenClaw om een ​​achterdeur op het eindpunt van een slachtoffer te plaatsen voor permanente controle wanneer een ogenschijnlijk onschadelijk document wordt verwerkt door de AI-agent, resulterend in de uitvoering van een indirecte prompt-injectie-payload waarmee deze kan reageren op berichten van een door de aanvaller bestuurde Telegram-bot.
  • Een indirecte promptinjectie ingebed in een webpagina, die, wanneer deze wordt geparseerd als onderdeel van een onschadelijke prompt waarin het grote taalmodel (LLM) wordt gevraagd de inhoud van de pagina samen te vatten, ervoor zorgt dat OpenClaw een door de aanvaller bestuurde reeks instructies aan het bestand ~/.openclaw/workspace/HEARTBEAT.md toevoegt en in stilte verdere opdrachten van een externe server afwacht.
  • Uit een beveiligingsanalyse van 3.984 vaardigheden op de ClawHub-marktplaats is gebleken dat 283 vaardigheden, ongeveer 7,1% van het gehele register, kritieke beveiligingsfouten bevatten die gevoelige inloggegevens in leesbare tekst blootleggen via het contextvenster en de uitvoerlogboeken van de LLM.
  • Uit een rapport van Bitdefender is gebleken dat kwaadaardige vaardigheden vaak op grote schaal worden gekloond en opnieuw worden gepubliceerd met behulp van kleine naamvariaties, en dat payloads worden geënsceneerd via plakservices zoals glot.io en openbare GitHub-repository’s.
  • Een nu gepatcht beveiligingslek met betrekking tot het uitvoeren van externe code met één klik die OpenClaw treft en waardoor een aanvaller een gebruiker had kunnen misleiden om een ​​kwaadaardige webpagina te bezoeken, waardoor de Gateway Control UI het OpenClaw-authenticatietoken over een WebSocket-kanaal zou kunnen lekken en dit vervolgens zou kunnen gebruiken om willekeurige opdrachten op de host uit te voeren.
  • De gateway van OpenClaw bindt standaard aan 0.0.0.0:18789, waardoor de volledige API aan elke netwerkinterface wordt blootgesteld. Volgens gegevens van Censys zijn er op 8 februari 2026 ruim 30.000 blootgestelde exemplaren toegankelijk via internet, hoewel de meeste een symbolische waarde nodig hebben om ze te kunnen bekijken en ermee te kunnen communiceren.
  • In een hypothetisch aanvalsscenario kan een snelle injectie-payload die is ingebed in een specifiek vervaardigd WhatsApp-bericht worden gebruikt om de “.env”- en “creds.json”-bestanden te exfiltreren, waarin inloggegevens, API-sleutels en sessietokens voor verbonden berichtenplatforms worden opgeslagen vanaf een blootgestelde OpenClaw-instantie.
  • Een verkeerd geconfigureerde Supabase-database van Moltbook die zichtbaar bleef in JavaScript aan de clientzijde, waardoor geheime API-sleutels van elke op de site geregistreerde agent vrij toegankelijk werden en volledige lees- en schrijftoegang tot platformgegevens mogelijk werd. Volgens Wiz omvatte de blootstelling 1,5 miljoen API-authenticatietokens, 35.000 e-mailadressen en privéberichten tussen agenten.
  • Er zijn bedreigingsactoren gevonden die de platformmechanismen van Moltbook misbruiken om het bereik te vergroten en andere agenten naar kwaadaardige threads te leiden die snelle injecties bevatten om hun gedrag te manipuleren en gevoelige gegevens te extraheren of cryptocurrency te stelen.
  • “Moltbook heeft mogelijk onbedoeld ook een laboratorium gecreëerd waarin agenten, die waardevolle doelwitten kunnen zijn, voortdurend onbetrouwbare gegevens verwerken en gebruiken, en waarin geen vangrails in het platform zijn geplaatst – allemaal door het ontwerp”, aldus Zenity Labs.

“Het eerste en misschien wel meest flagrante probleem is dat OpenClaw voor veel veiligheidskritieke beslissingen afhankelijk is van het geconfigureerde taalmodel”, merkten HiddenLayer-onderzoekers Conor McCauley, Kasimir Schulz, Ryan Tracey en Jason Martin op. “Tenzij de gebruiker proactief OpenClaw’s Docker-gebaseerde tool sandboxing-functie inschakelt, blijft volledige systeembrede toegang de standaard.”

Andere architectuur- en ontwerpproblemen die door het AI-beveiligingsbedrijf zijn geïdentificeerd, zijn het onvermogen van OpenClaw om niet-vertrouwde inhoud uit te filteren die controlesequenties bevat, ineffectieve bescherming tegen indirecte promptinjecties, aanpasbare herinneringen en systeemprompts die blijven bestaan ​​in toekomstige chatsessies, opslag in platte tekst van API-sleutels en sessietokens, en geen expliciete gebruikersgoedkeuring vóór het uitvoeren van tooloproepen.

In een vorige week gepubliceerd rapport betoogde Persmiso Security dat de veiligheid van het OpenClaw-ecosysteem veel belangrijker is dan app-winkels en marktplaatsen voor browserextensies, vanwege de uitgebreide toegang van de agenten tot gebruikersgegevens.

“AI-agenten krijgen inloggegevens voor je hele digitale leven”, benadrukt veiligheidsonderzoeker Ian Ahl. “En in tegenstelling tot browserextensies die in een sandbox met een zekere mate van isolatie draaien, werken deze agenten met de volledige rechten die u ze verleent.”

“De skills-marktplaats versterkt dit. Wanneer je een kwaadaardige browserextensie installeert, breng je één systeem in gevaar. Wanneer je een kwaadaardige agent-vaardigheid installeert, breng je mogelijk elk systeem in gevaar waarvoor de agent inloggegevens heeft.”

De lange lijst met beveiligingsproblemen in verband met OpenClaw heeft het Chinese ministerie van Industrie en Informatietechnologie ertoe aangezet een waarschuwing te geven over verkeerd geconfigureerde instanties, waarbij gebruikers worden aangespoord om beschermingsmaatregelen te implementeren ter bescherming tegen cyberaanvallen en datalekken, meldde Reuters.

“Wanneer agentplatforms sneller viraal gaan dan beveiligingspraktijken volwassen worden, wordt verkeerde configuratie het belangrijkste aanvalsoppervlak”, vertelde Ensar Seker, CISO bij SOCRadar, via e-mail aan The Hacker News. “Het risico is niet de agent zelf; het stelt autonome tools bloot aan openbare netwerken zonder verharde identiteit, toegangscontrole en uitvoeringsgrenzen.”

“Wat hier opvalt, is dat de Chinese toezichthouder het configuratierisico expliciet aan de orde stelt in plaats van de technologie te verbieden. Dat komt overeen met wat verdedigers al weten: agentframeworks vergroten zowel de productiviteit als de explosieradius. Een enkel blootgesteld eindpunt of een te tolerante plug-in kan van een AI-agent een onbedoelde automatiseringslaag voor aanvallers maken.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

AI-datacenters veroorzaken een tekort aan telefoon-RAM

Xiaomi HyperOS 4 bereidt een Zero Legacy-toekomst voor via zelfontwikkelde architectuur

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]