135.000+ OpenClaw-Instanties Staan Bloot aan het Internet. Waarom Professionele Installatie Ertoe Doet.

OpenClaw is een van de krachtigste open-source tools die de afgelopen jaren zijn uitgebracht. Het is ook een van de gevaarlijkste wanneer het verkeerd is geconfigureerd.

In de weken na de virale adoptie begin 2026 publiceerden beveiligingsonderzoekers van Microsoft, Cisco, Kaspersky, CrowdStrike en Trend Micro gedetailleerde analyses van OpenClaw’s beveiligingspositie. De bevindingen waren consistent en alarmerend: de overgrote meerderheid van OpenClaw-deployments draait met kritieke beveiligingslacunes die ze kwetsbaar maken voor aanvallen op afstand, data-exfiltratie en volledige systeemcompromittering.

Dit is geen theoretisch risico. Het gebeurt op grote schaal, op dit moment.

De cijfers

Meerdere onafhankelijke scanteams hebben de omvang van het probleem gedocumenteerd. Censys volgde een groei van ongeveer 1.000 naar meer dan 21.000 publiek blootgestelde OpenClaw-instanties in één week in januari 2026. Bitsight observeerde meer dan 30.000 instanties en stelde vast dat 63% van de waargenomen deployments kwetsbaar was. Beveiligingsonderzoeker Maor Dayan bevestigde onafhankelijk meer dan 42.000 blootgestelde instanties, waarvan meer dan 5.000 actief kwetsbaar waren, met 93% die authenticatie-bypass-condities vertoonden.

Het STRIKE-team van SecurityScorecard vond meer dan 135.000 blootgestelde instanties in 82 landen, waarvan er meer dan 15.200 direct kwetsbaar waren voor remote code execution. Van deze instanties draait 98,6% op cloudinfrastructuur: zakelijke deployments, geen hobbyprojecten thuis.

De oorzaak is de standaardconfiguratie van OpenClaw: de gateway bindt aan 0.0.0.0:18789, wat alle netwerkinterfaces omvat inclusief het publieke internet. De onboarding-wizard configureert geen firewallregels, TLS-terminatie of containerisolatie. Basisinstallatie duurt 5–10 minuten. Productiehardening kost 40–80 uur engineeringwerk.

Dit zijn geen uitzonderlijke gevallen. Ze vertegenwoordigen de norm voor hoe OpenClaw wordt ingezet.

Waarom de standaardinstellingen gevaarlijk zijn

OpenClaw wordt geleverd met verschillende standaardinstellingen die beveiligingsonderzoekers hebben bestempeld als ongeschikt voor elke productie-deployment.

Authenticatie is standaard uitgeschakeld. Wanneer je een nieuwe OpenClaw-instantie opstart, is de gateway direct toegankelijk zonder inloggegevens. Iedereen die de poort kan bereiken, kan communiceren met je agent, je gegevens en je verbonden services.

Inloggegevens worden opgeslagen in platte tekst. API-sleutels, OAuth-tokens en botcredentials voor elke verbonden service staan in onversleutelde configuratiebestanden. Het Defender-team van Microsoft heeft opgemerkt dat versies van de RedLine en Lumma infostealers de OpenClaw-bestandspaden al hebben toegevoegd aan hun doellijsten.

De gateway maakt zijn configuratie bekend via mDNS. Simpelweg een instantie starten kan de aanwezigheid ervan al adverteren op het lokale netwerk.

Het beveiligingsteam van Microsoft stelde het direct: “OpenClaw moet worden beschouwd als niet-vertrouwde code-uitvoering met persistente inloggegevens. Het is niet geschikt om te draaien op een standaard persoonlijk of zakelijk werkstation.”

De kritieke kwetsbaarheden

Naast configuratieproblemen heeft OpenClaw sinds zijn lancering te maken gehad met verschillende ernstige kwetsbaarheden.

CVE-2026-25253, beoordeeld met CVSS 8.8, maakte remote code execution mogelijk via een browsergebaseerde aanval. Wanneer de OpenClaw-agent een pagina met kwaadaardige JavaScript bezocht, of een gebruiker op een kwaadaardige link klikte, lekte het gateway-authenticatietoken weg. De aanvaller kreeg zo in milliseconden volledige administratieve controle. Geen voorafgaande toegang vereist.

Deze kwetsbaarheid werd verholpen in versie 2026.1.29, maar de patch was aanvankelijk onvolledig. Een Docker sandbox-bypass (CVE-2026-24763) werd snel ontdekt, waarvoor een aanvullende fix nodig was in versie 2026.1.30. Er werden ook twee extra command injection-kwetsbaarheden verholpen.

Elke OpenClaw-instantie die een versie ouder dan 2026.1.30 draait, moet als gecompromitteerd worden beschouwd.

Het supply chain-probleem

De ClawHub skills-marketplace, het ecosysteem van OpenClaw voor het uitbreiden van functionaliteit, is een aanhoudend beveiligingspunt van zorg. Het Talos-team van Cisco stelde vast dat 12% van het volledige skills-register kwaadaardige code bevatte, voornamelijk de Atomic macOS Stealer (AMOS). Bijgewerkte scans rapporteerden het cijfer later op 20% van het register: meer dan 820 kwaadaardige skills van in totaal ruim 4.100 gepubliceerde.

Het project heeft sindsdien samengewerkt met VirusTotal om alle uploads te scannen, maar de schade voor vroege gebruikers was al aangericht. Voor zakelijke deployments moet elke skill worden gecontroleerd voor installatie, en mogen alleen geverifieerde en beoordeelde componenten worden toegestaan.

Hoe goede hardening eruitziet

Een productiewaardige OpenClaw-deployment vereist aandacht voor meerdere lagen.

Netwerkisolatie. De gateway mag nooit rechtstreeks aan het publieke internet worden blootgesteld. Toegang moet worden verleend via een VPN (Tailscale wordt vaak aanbevolen), SSH-tunnel, of een correct geconfigureerde reverse proxy met TLS-beveiliging en authenticatie.

Authenticatie afdwingen. Gateway-authenticatie moet direct na installatie worden ingeschakeld. Standaard tokens moeten worden geroteerd. Koppelcodes moeten tijdgebonden zijn.

Credentialbeheer. API-sleutels en tokens moeten waar mogelijk uit platte tekstconfiguratiebestanden worden verwijderd. Als minimum moeten bestandsrechten op de configuratiemap worden beperkt om ongeautoriseerde toegang te voorkomen.

Containerisolatie. Docker-sandboxing moet zijn ingeschakeld voor skill-uitvoering, met strikte resourcelimieten en geen toegang tot het hostnetwerk.

Permissie-beperking. De agent moet werken met de minimale rechten die nodig zijn voor zijn beoogde taken. Volledige systeemtoegang mag nooit de standaard zijn.

Monitoring en auditlogging. Alle agentacties moeten worden gelogd. Afwijkend gedrag (onverwachte bestandstoegang, ongebruikelijke API-aanroepen, nieuwe netwerkverbindingen) moet waarschuwingen triggeren.

Regelmatige updates. OpenClaw staat onder actieve ontwikkeling. Beveiligingspatches worden regelmatig uitgebracht. Het draaien van een verouderde versie is een van de meest voorkomende risicofactoren.

Wat dit betekent voor bedrijven

Het patroon met OpenClaw is duidelijk: de tool is buitengewoon krachtig, maar wordt geconfigureerd voor gemak, niet voor beveiliging. De verantwoordelijkheid voor hardening valt volledig op de persoon die het inzet.

Voor individuele ontwikkelaars die experimenteren op persoonlijke machines is deze risicocalculatie mogelijk acceptabel. Voor bedrijven die OpenClaw draaien op productiedata, klantinformatie, financiële systemen of operationele infrastructuur liggen de belangen fundamenteel anders.

Een verkeerd geconfigureerde deployment is niet slechts een ongemak. Het is een potentieel pad naar een datalek, diefstal van inloggegevens en systeemcompromittering. Gezien de gedocumenteerde activiteit van infostealers en kwaadaardige skills die OpenClaw al als doelwit hebben, zijn dit geen theoretische risico’s.

Voor Nederlandse bedrijven komt hier nog een extra dimensie bij: de AVG. Een verkeerd geconfigureerde OpenClaw-installatie die klantgegevens verwerkt en onbedoeld toegankelijk is via het internet, is niet alleen een beveiligingsrisico. Het is potentieel een AVG-overtreding. De boetes voor non-compliance kunnen oplopen tot 4% van de jaaromzet.

Het argument voor professionele deployment

CrowdStrike merkte op dat als medewerkers OpenClaw op zakelijke machines installeren en het verkeerd geconfigureerd laten, het kan worden omgebouwd tot een AI-backdoor die instructies van kwaadwillenden kan ontvangen. Gartner karakteriseerde OpenClaw als “een gevaarlijke preview van agentische AI, die hoge bruikbaarheid demonstreert maar ondernemingen blootstelt aan onveilige standaardrisico’s.”

Dit is precies waarom professionele installatie ertoe doet. De hardening die nodig is voor een productiewaardige OpenClaw-deployment gaat ver verder dan het volgen van de officiële documentatie. Het vereist inzicht in netwerkarchitectuur, credentialbeheer, containerisolatie, permissiemodellen en de specifieke manieren waarop de ontwerpkeuzes van OpenClaw aanvalsoppervlak creëren.

Het verschil tussen een correct beveiligde OpenClaw-installatie en een standaardinstallatie is het verschil tussen een krachtig bedrijfsinstrument en een aansprakelijkheid.