Dit is een machinevertaling van het originele Engelstalige document. In het geval van een conflict tussen deze vertaling en de originele Engelse versie, is de Engelse versie doorslaggevend. Lees de originele Engelse versie
Benioff over OpenClaw: Wat ontbreekt is vertrouwen, veiligheid, betrouwbaarheid en beschikbaarheid.
2026-04-12 · Caiioo Team
Salesforce-CEO Marc Benioff kocht een speciale machine alleen om OpenClaw te testen — de open-source AI-agent die OpenAI naar verluidt voor $1-5 miljard heeft overgenomen. Zijn oordeel? Het is niet te vertrouwen.
"OpenClaw is geweldig. Maar het is niet enterprise-geweldig," zei Benioff. "Wat ontbreekt is vertrouwen, veiligheid, betrouwbaarheid en beschikbaarheid."
Het beveiligingsonderzoek dat volgde gaf hem gelijk — en de problemen zitten dieper dan de meeste mensen beseffen.
De kwetsbaarheden zijn niet theoretisch
Sinds OpenClaw viraal ging, hebben beveiligingsonderzoekers een opvallend patroon van real-world exploits gecatalogiseerd:
- CVE-2026-25253 (CVSS 8.8): Een one-click remote code execution kwetsbaarheid via de niet-gevalideerde WebSocket-verbindingen van de beheer-UI. Twee extra command injection-fouten werden op dezelfde dag onthuld.
- ClawJacked (Oasis Security): Elke website kan geruisloos de volledige controle over een OpenClaw-agent overnemen via JavaScript — de rate limiter stelt localhost vrij, wat brute-forcing van wachtwoorden mogelijk maakt.
- 42.900+ blootgestelde instanties gevonden door het STRIKE-team van SecurityScorecard, waarvan 15.200 kwetsbaar voor remote code execution. Bitsight bevestigde onafhankelijk 30.000+ blootgestelde instanties in een scan van twee weken.
- 1.184 kwaadaardige skills op ClawHub — 12% van het volledige skill-register. 335 installeerden Atomic Stealer (AMOS), een macOS-infostealer die API-sleutels, cryptocurrency-wallets, SSH-credentials en browserwachtwoorden oogstte.
- 7,1% van de ClawHub-skills lekt inloggegevens in platte tekst via het contextvenster van het LLM, volgens een audit van Snyk. Geen isolatie van inloggegevens tussen skills — de ene skill kan geheimen lezen die door een andere zijn ingesteld.
Cisco, Microsoft en CrowdStrike hebben allemaal waarschuwingen gepubliceerd. Microsofts beveiligingsblog merkte op dat OpenClaw-agents "standaard draaien met host-gebruikersrechten zonder strikte sandboxing."
De architecturale grondoorzaak
De beveiligingsproblemen van OpenClaw zijn geen bugs die gepatcht kunnen worden — het zijn gevolgen van de architectuur:
De Gateway bindt standaard aan alle netwerkinterfaces (0.0.0.0:18789), waardoor de agent wordt blootgesteld aan het hele lokale netwerk. Deze ene ontwerpbeslissing veroorzaakte de massale blootstelling die SecurityScorecard en Bitsight documenteerden.
Alle gegevens stromen door een gecentraliseerd Gateway-proces dat eigenaar is van berichten, authenticatie, sessiebeheer en verzending. Compromitteer de Gateway en u erft elk inloggegeven, elk gesprek, elke verbonden dienst — e-mail, cloud-API's, berichtenplatforms, interne systemen.
Geen gebruikersgoedkeuring voor acties van de agent. OpenClaw voert shell-commando's uit, leest en schrijft bestanden en draait scripts als onderdeel van het kernontwerp. Kwaadaardige skills gebruikten prompt-injectie om veiligheidscontroles te omzeilen en commando's geruisloos uit te voeren.
Geen isolatie van inloggegevens. API-sleutels leven in omgevingsvariabelen en .clawdbot/.env — toegankelijk voor elke skill in de context van de agent. Een enkele kwaadaardige skill kan elk geheim exfiltreren waar de agent toegang toe heeft.
Hoe de architectuur van Caiioo verschilt
Caiioo en OpenClaw zijn beide local-first, beide BYOK en beide provider-agnostisch. Het verschil zit niet in waarmee ze verbinding maken — het zit in hoe ze omgaan met vertrouwen, transparantie en gebruikerscontrole.
Elke schrijf-, verzend- of verwijderactie vereist expliciete goedkeuring
Caiioo gebruikt een systeem met drie machtigingsniveaus voor elke tool die gegevens kan schrijven, wijzigen, verzenden of verwijderen (read-only tools zoals zoeken, browsen en samenvatten werken zonder onderbreking):
- Eenmalig goedkeuren — sta een enkele uitvoering toe en vraag het daarna opnieuw
- Goedkeuren voor gesprek — sta acties alleen toe binnen deze thread, wordt gereset wanneer het gesprek eindigt
- Altijd goedkeuren — permanente globale toestemming (rood weergegeven voor tools met een hoog risico)
Goedkeuring is blokkerend — de agent wacht op uw reactie. Er is geen "auto-run" vlag voor tools met neveneffecten. Externe MCP tools zonder metadata vereisen standaard goedkeuring (fail-secure). Elke tool heeft een risiconiveau (laag/medium/hoog) met kleurgecodeerde waarschuwingen in het goedkeuringsvenster.
Volledige transparantie in real-time
Elke tool-aanroep verschijnt in het zijpaneel met de bijbehorende status: in behandeling, wachtend op goedkeuring, uitvoerend, geslaagd of mislukt. U ziet precies wat de agent doet, welke argumenten worden doorgegeven en welke resultaten er terugkomen — terwijl het gebeurt. U kunt de intentie lezen, de ruwe details uitvouwen en een geïnformeerde beslissing nemen voordat er iets wordt uitgevoerd.
Onmiddellijke stop op elk moment
Caiioo controleert abort-signalen op meerdere punten: tussen tool-uitvoeringen, tijdens het wachten op goedkeuring en binnen langdurige operaties. Druk op stop en de agent stopt direct, ruimt openstaande goedkeuringen op en sluit alle actieve browser-sessies. Geen achtergebleven processen, geen op hol geslagen uitvoeringen.
Geen gecentraliseerde gateway
Caiioo heeft geen equivalent van de Gateway van OpenClaw. Uw apparaat communiceert rechtstreeks met de AI-provider die u kiest — Anthropic, Google, OpenRouter, Ollama of een andere. Caiioo onderschept, proxiet of bewaart uw API-aanroepen nooit. Er is geen centraal punt van kwetsbaarheid dat al uw inloggegevens overneemt.
Isolatie van inloggegevens door ontwerp
API-keys worden opgeslagen in de beveiligde opslag van de browser (of Keychain op macOS/iOS) — niet in plaintext configuratiebestanden. Tools hebben alleen toegang tot de inloggegevens die ze nodig hebben. Er is geen gedeelde globale context waarin de ene tool de geheimen van een andere tool kan lezen.
Probeer Caiioo
Als u AI-agents evalueert voor professioneel gebruik, is de vraag niet of een agent krachtig is, maar of u deze kunt vertrouwen. Caiioo biedt u dezelfde AI-mogelijkheden met goedkeuringscontroles, realtime transparantie en een architectuur die geen enkelvoudig storingspunt creëert.
Aan de slag voor GRATIS — beschikbaar als browserextensie, native macOS-app en desktop-app voor Windows en Linux.
Bronnen: