Een ernstige kwetsbaarheid in de open-source AI-agent OpenClaw maakte het mogelijk voor willekeurige websites om ongemerkt volledige controle over de AI-assistent van ontwikkelaars over te nemen.
De kwetsbaarheid, ClawJacked genoemd, werd ontdekt door Oasis Security en zat in de kern van OpenClaw zelf. Er waren geen kwaadaardige plugins, extensies of gebruikersinteractie nodig. De ontwikkelaars van OpenClaw kwalificeerden het probleem als hoog risico en brachten binnen 24 uur een beveiligingsupdate uit.
OpenClaw is een zelfgehost AI-platform dat in korte tijd explosief in populariteit is gegroeid. Binnen enkele dagen verzamelde het project meer dan 100.000 sterren op GitHub en werd het voor duizenden ontwikkelaars een vast onderdeel van hun workflow. De software draait lokaal op laptops en heeft vaak verregaande toegang tot berichtenapps, agenda’s, ontwikkeltools en het onderliggende besturingssysteem. De AI-agent kan zelfstandig acties uitvoeren namens de gebruiker, wat het platform krachtig maar ook risicovol maakt.
De snelle opmars van OpenClaw leidde eerder al tot beveiligingsproblemen. Onlangs werd bekend dat aanvallers misbruik maakten van ClawHub, de communitymarktplaats voor OpenClaw-skills, door daar grootschalig kwaadaardige vaardigheden te verspreiden. Dat betrof een supplychainprobleem. De kwetsbaarheid die Oasis ontdekte is fundamenteel anders en treft ook standaardinstallaties van OpenClaw.
Lokale gateway als centraal controlepunt
Centraal in de architectuur staat een lokale gateway die via WebSockets communiceert en standaard is gebonden aan localhost. Deze gateway regelt authenticatie, beheert sessies, slaat configuraties op en stuurt gekoppelde nodes aan. Die nodes kunnen andere apparaten zijn en beschikken over uitgebreide mogelijkheden, waaronder het uitvoeren van systeemcommando’s en het benaderen van gevoelige gegevens. De beveiliging gaat ervan uit dat lokaal verkeer te vertrouwen is.
Die aanname blijkt onjuist. Browsers blokkeren WebSocket-verbindingen naar localhost niet via cross-origin-beperkingen. Daardoor kan JavaScript op een kwaadaardige website ongemerkt verbinding maken met de lokale OpenClaw-gateway, zonder dat de gebruiker iets merkt.
Daarnaast zijn lokale verbindingen uitgesloten van rate limiting. Die uitzondering is bedoeld om lokale tools niet te blokkeren, maar maakt het mogelijk om onbeperkt wachtwoorden te proberen. Onderzoekers konden honderden pogingen per seconde uitvoeren vanuit browser-JavaScript, zonder logging of vertraging. Veelgebruikte wachtwoorden zijn daardoor vrijwel direct te raden.
Na succesvolle authenticatie kan een aanvaller zich registreren als vertrouwd apparaat, wat automatisch wordt goedgekeurd voor localhost-verbindingen. Vanaf dat moment is volledige controle over de AI-agent mogelijk. Aanvallers kunnen configuraties uitlezen, gekoppelde apparaten inventariseren, logbestanden bekijken en opdrachten geven aan de agent.
Volledige overname van het werkstation
In de praktijk kan de agent worden ingezet om chatgeschiedenissen te doorzoeken, bestanden te exfiltreren of shell-commando’s uit te voeren op gekoppelde apparaten. Volgens BleepingComputer komt dit neer op een volledige overname van het werkstation, veroorzaakt door het bezoeken van een kwaadaardige website.
Oasis Security demonstreerde de aanval met een proof of concept en meldde het probleem met technische details bij het OpenClaw-team. Binnen 24 uur verscheen een patch die de WebSocket-beveiliging aanscherpt en het vertrouwen in localhost-verbindingen beperkt. De fix is beschikbaar vanaf OpenClaw versie 2026.2.26 en gebruikers wordt dringend aangeraden te upgraden.
Volgens Oasis laat het incident zien dat AI-agenten steeds vaker buiten het zicht van IT-afdelingen worden ingezet, terwijl ze beschikken over eigen identiteiten, credentials en uitvoerrechten. Naarmate dit soort tools standaard wordt in ontwikkelomgevingen, verschuift de uitdaging van adoptie naar governance en beveiliging. Organisaties die daar geen grip op krijgen, lopen een groeiend risico.