Personal AI-agents zijn - voorlopig - een cybernachtmerrie

Laatst liet Alexander Klöpping bij Eva Jinek zien dat AI-agents veel meer zijn dan eenvoudige chatbots die antwoord geven op vragen van gebruikers. Ze kunnen zelfstandig computers aansturen, en dus taken automatiseren, agenda’s beheren, mails beantwoorden en zelfs een restaurant reserveren, gewoon via WhatsApp. Bovendien vormen deze personal agents een community waarin ze elkaar nieuwe functies aanleren. Agentic AI at your service. Toch niet helemaal tot je dienst, want de security is nog zo lek als een zeef.

Persoonlijke agenten maken gebruik van ‘skills’ in combinatie met AI zoals Claude en OpenAI. De skills zijn geen ‘vaardigheden’ als het ware, maar instructies, metadata, scripts en sjablonen die de kunstmatige intelligentie gebruikt om de agent te specialiseren voor bepaalde taken.

De voorbije weken kreeg OpenClaw – een van die personal AI-agents – veel aandacht op GitHub (een platform waar softwareontwikkelaars informatie en code uitwisselen). De tool kreeg in korte tijd twee miljoen bezoekers. OpenClaw heeft shell-toegang en bewaart al je API-keys en credentials in lokale configuratiebestanden. Je geeft de agent dus de digitale sleutels tot al je accounts.

Authenticatie is een optie

Die onbeperkte toegang is echter een ‘recipe for disaster’. Dat blijkt ook uit nader onderzoek. Cryptosleutels werden binnen enkele minuten vrijgegeven via een kwaadaardige mail en een kwart van de 31.000 gescande skills bevatte ten minste één kwetsbaarheid. Eén skill blijkt functioneel malware, die actieve data-exfiltratie mogelijk maakt.

Internetscans via Shodan hebben ook honderden onbeschermde instanties gevonden: de volledige chatgeschiedenis lag voor het grijpen, maar ook alle credentials en dus de mogelijkheid om namens jou berichten te sturen. Authenticatie is bij OpenClaw in de standaardconfiguratie optioneel. Dat lees je goed.

OpenClaw beschouwt standaard ‘localhost’-verkeer als een vertrouwde verbinding. Het maakt dat cybercriminelen eenvoudig externe verbindingen als veilig, intern verkeer kunnen maskeren. Inmiddels gaf het SANS Technology Institute wel al advies om zulk verkeer te detecteren. De kern van het probleem is dat de dreiging semantische manipulatie is, veel meer dan ongeautoriseerde toegang. Daarmee blijkt Agentic AI het grootste, onbeheerde aanvalsoppervlak te zijn.

Gebruiker is zich nergens van bewust

AI-onderzoeker Simon Willison, die eerder al de term prompt injection bedacht, beschrijft in een blog een drievoudige kwetsbaarheid van AI-agents: toegang tot privégegevens, blootstelling aan onbetrouwbare inhoud en de mogelijkheid om extern te communiceren. OpenClaw vinkt de drie vakjes af. De gebruiker is zich werkelijk nergens van bewust. Sommige skills kunnen de assistent dwingen interne veiligheidsrichtlijnen te omzeilen en commando’s uit te voeren zonder erom te vragen.

Het is daarom belangrijk om agents te behandelen als infrastructuur, niet als een productiviteitsapp. Verplicht authenticatie bij elke integratie en end-to-end controle. Voer onmiddellijk Shodan-scans uit op je IP-adressen en activeer een skillscanner. Identificeer systemen die privé-gegevenstoegang, onbetrouwbare contentblootstelling en externe communicatie combineren. Als je ontwikkelaars experimenteren, wil je het weten voordat aanvallers dat doen.

OpenClaw is niet de bedreiging. Het is het signaal. AI-agents ontstaan als paddenstoelen uit de grond. Vermijd dat je blootgesteld wordt aan shadow AI en versterk je beveiligingsmodel.