Een rapport van Certik wijst op ernstige beveiligingslekken in Openclaw, een open-source AI-platform, met name de afhankelijkheid van "skill scanning", waardoor gebruikers onvoldoende worden beschermd tegen kwaadaardige extensies van derden.
Openclaw AI-functies zijn kwetsbaar voor kwaadaardige aanvallen, waarschuwen onderzoekers van Certik
GESCHREVEN DOOR
DELEN
Beperkingen van de Clawhub-moderatiepijplijn
Een rapport van cyberbeveiligingsbedrijf Certik heeft aanzienlijke beveiligingslacunes aan het licht gebracht in OpenClaw, een open-sourceplatform voor kunstmatige intelligentie, en waarschuwt dat de afhankelijkheid van "skill scanning" onvoldoende is om gebruikers te beschermen tegen kwaadaardige extensies van derden.
De bevindingen, gepubliceerd op 16 maart 2026, suggereren dat het beveiligingsmodel van het platform te sterk leunt op detectie en waarschuwingen in plaats van op robuuste runtime-isolatie, waardoor gebruikers kwetsbaar blijven voor compromittering op hostniveau.
Volgens het rapport maakt Clawhub, de marktplaats van OpenClaw, momenteel gebruik van een gelaagde moderatiestroom om "skills" te beoordelen – applicaties van derden die de AI-agent mogelijkheden bieden zoals systeemautomatisering of cryptocurrency-wallet-operaties. Deze pijplijn omvat Virustotal voor het scannen van bekende malware en de Static Moderation Engine, een tool die op 8 maart 2026 werd geïntroduceerd om verdachte codepatronen te markeren. Het omvat ook wat het rapport een "incoherentiedetector" noemt, ontworpen om discrepanties op te sporen tussen het opgegeven doel van een skill en het daadwerkelijke gedrag ervan.
Onderzoekers van Certik zeiden echter dat statische regels die op zoek zijn naar "rode vlaggen" werden omzeild door middel van eenvoudige herschrijving van de code. Ze beweerden ook dat de AI-beoordelingslaag effectief bleek in het opsporen van duidelijke intenties, maar moeite had met het identificeren van exploiteerbare kwetsbaarheden die verborgen waren in code die er verder plausibel uitzag.
De 'in behandeling'-kloof
Een van de meest kritieke tekortkomingen die door Certik is vastgesteld, is de behandeling van in behandeling zijnde scanresultaten. Onderzoekers ontdekten dat een skill actief en installeerbaar kon blijven op de marktplaats, zelfs terwijl de resultaten van Virustotal nog in behandeling waren – een proces dat uren of dagen kan duren. In de praktijk werden deze in behandeling zijnde skills als onschadelijk behandeld, waardoor ze konden worden geïnstalleerd zonder dat de gebruiker werd gewaarschuwd.
Om de kwetsbaarheid aan te tonen, creëerden Certik-onderzoekers een proof-of-concept (PoC)-skill genaamd "test-web-searcher". De skill leek functioneel en onschadelijk, maar bevatte een verborgen "kwetsbaarheidsvormige" bug die het mogelijk maakte om willekeurige commando's uit te voeren op de hostmachine. Toen de skill via Telegram werd aangeroepen, omzeilde deze met succes de optionele sandboxing van Openclaw en "opende een rekenmachine" op de machine van de onderzoeker – een klassieke demonstratie van volledige systeemcompromittering.
Autonome AI: Openclaw Bot Laat een 'Kind'-Agent Ontstaan en Financier het Met Bitcoin
Leer over de innovatieve Openclaw-agent die autonoom infrastructuur koopt met bitcoin zonder menselijke tussenkomst. read more.
Lees nu
Autonome AI: Openclaw Bot Laat een 'Kind'-Agent Ontstaan en Financier het Met Bitcoin
Leer over de innovatieve Openclaw-agent die autonoom infrastructuur koopt met bitcoin zonder menselijke tussenkomst. read more.
Lees nuAutonome AI: Openclaw Bot Laat een 'Kind'-Agent Ontstaan en Financier het Met Bitcoin
Lees nuLeer over de innovatieve Openclaw-agent die autonoom infrastructuur koopt met bitcoin zonder menselijke tussenkomst. read more.
Het rapport concludeert dat detectie nooit een vervanging kan zijn voor een echte beveiligingsgrens. Certik dringt er bij Openclaw-ontwikkelaars op aan om skills van derden standaard in geïsoleerde omgevingen uit te voeren, in plaats van te vertrouwen op optionele gebruikersconfiguratie. Ontwikkelaars zouden ook een model moeten implementeren waarbij skills vooraf specifieke resourcebehoeften moeten aangeven, vergelijkbaar met moderne mobiele besturingssystemen.
Voor gebruikers had Certik een strenge waarschuwing: een "goedaardig" label op Clawhub is geen bewijs van veiligheid. Totdat sterkere isolatie de standaard is, mag het platform alleen worden gebruikt in omgevingen met een lage waarde, ver weg van gevoelige inloggegevens of activa.
Veelgestelde vragen ❓
- Welk beveiligingsprobleem heeft Certik in Openclaw gevonden? Certik meldde dat Openclaw's afhankelijkheid van "skill scanning" gebruikers onvoldoende beschermt tegen kwaadaardige extensies van derden.
- Hoe werkt de moderatieprocedure van Openclaw? Openclaw maakt gebruik van een gelaagde moderatieprocedure, met tools zoals Virustotal en een incoherentiedetector om "skills" van derden te beoordelen.
- Wat is de kritieke fout met betrekking tot uitstaande scanresultaten? Skills kunnen actief en installeerbaar blijven terwijl scanresultaten nog in behandeling zijn, wat een risico vormt omdat gebruikers onbewust kwaadaardige extensies kunnen installeren.
- Wat moeten gebruikers doen om hun gegevens op Openclaw te beschermen? Gebruikers wordt aangeraden Openclaw alleen te gebruiken in omgevingen met een lage waarde totdat ontwikkelaars strengere isolatiemaatregelen hebben geïmplementeerd.
