Wat je moet weten over OpenClaw

OpenClaw is een AI-agent die lokaal draait en niet alleen antwoorden geeft, zoals ChatGPT, maar ook uit zichzelf handelingen uitvoert. De agent kan afspraken in online agenda’s maken, informatie opzoeken via de browser, zelf mail- en chatberichten versturen en bestanden op computers opzoeken.

Toepassingen genoeg

In organisaties kan OpenClaw wellicht bij veel processen helpen. De agents kunnen IT- en DevOps-teams assisteren bij het reageren op incidenten, helpen bij het uitrollen van nieuwe software of het uitvoeren van standaardroutines (runbooks). OpenClaw kan de communicatie vereenvoudigen door het binnenkomen van nieuwe berichten te signaleren in verschillende kanalen, zoals Slack, Jira, Microsoft 365 en sociale media, én automatisch antwoorden versturen op standaardvragen zoals de status van een bestelling of een supportticket. Voor sales en inkoop kan de agent offertes opvolgen en automatisch afspraken inplannen. De administratie krijgt door OpenClaw de mogelijkheid rapportages te laten voorbereiden, herinneringen uit te sturen en documenten te verzamelen.

Op internet circuleren al voorbeelden van het succesvol gebruik van OpenClaw in de persoonlijke sfeer. Zo gaf een Amerikaanse software-engineer de agent een opdracht om een nieuwe auto, een Hyundai Palisade te kopen. Terwijl hij sliep zocht de AI-agent naar de voorraad bij lokale dealers, onderhandelde door ze tegen elkaar uit te spelen en kreeg zo een korting van 4200 dollar op de catalogusprijs. De agent vulde alle benodigde gegevens op het contractformulier in, zodat de koper alleen nog naar de dealer hoefde te gaan om een handtekening te zetten.

Een zakelijk voorbeeld komt van Zilliz, het bedrijf achter de open-source vector database Milvus. Het team koppelde OpenClaw aan hun Slack als community support-assistent voor Milvus. De agent beantwoordt inmiddels veelgestelde vragen over de database, helpt bij troubleshooting en verwijst naar relevante documentatie.

Grote risico's

“Het gebruik van agents om workflows te automatiseren lijkt onvermijdelijk”, zegt Ahmed Abugharbia, Certified Instructor bij SANS Institute. “Tegelijkertijd moeten organisaties erkennen dat deze agents mogelijk verhoogde toegangsniveaus nodig hebben, waardoor de risico’s groter zijn dan bij traditionele applicaties. Daarom is het essentieel om vooraf een dreigingsmodel op te stellen voor deze agents voordat ze worden ingevoerd.”

Omdat de agent toegang heeft tot publieke netwerken kan de schade groot zijn wanneer er iets misgaat. Kwaadwillenden kunnen bijvoorbeeld in een interactie met de agent gemakkelijk opdrachten geven om malware te installeren of in berichten prompts mee te sturen om gevoelige data te kunnen stelen. Omdat de agent 24 uur per dag actief is en er geen menselijke controle plaatsvindt, kunnen deze acties ongemerkt plaatsvinden. Een ander probleem kan zijn dat de agent met zijn autonome acties veelvuldig betaalde diensten aanroept zoals het gebruik van API’s, wat tot hoge rekeningen kan leiden.

“Installeer agents niet rechtstreeks op een persoonlijk systeem”, adviseert Abugharbia. “Maak in plaats daarvan een geïsoleerde virtuele machine die speciaal voor de agent is bedoeld.” Zo zorg je dat je een ‘kill switch’ hebt in een noodsituatie. Verder moet bij alle acties die onomkeerbaar zijn, zoals betalingen, acties waarbij data worden gewist of wanneer er cruciale informatie in externe communicatie wordt gezet, altijd een mens toestemming geven (human-in-the-loop-gate). Ook moet een blokkade voorkomen dat code van derden wordt uitgevoerd voor er een grondige analyse op is uitgevoerd. Een alarm en een kostenmaximum instellen bij externe dienstverleners wanneer een agent daar toegang toe heeft, kan het risico op onbedoelde uitgaven beperken. Abugharbia: “Organisaties die agents in hun processen willen integreren, moeten fundamentele beveiligingsprincipes volgen, zoals ‘defense in depth’ en het principe van minimale privileges.”

Moltbook demonstreerde het gevaar

OpenClaw kreeg eind januari opeens veel aandacht doordat ondernemer Matt Schlicht demonstreerde wat er zou gebeuren wanneer veel OpenClaw-achtige agents autonoom op elkaar gaan reageren zonder menselijke tussenkomst. Hij creëerde een Reddit-achtig sociaal network, genaamd Moltbook, waar alleen AI-agents mogen posten en de mensen die agents aanmaken enkel toekijken. Binnen een week had Moltbook meer dan 1,5 miljoen agents actief. Vervolgens bleek dat een database verkeerd geconfigureerd was, waardoor de backend van Moltbook blootstond aan het publieke internet met ongeauthenticeerde lees- én schrijftoegang tot alle tabellen. Daarbij kwamen ongeveer 1,5 miljoen agent API keys, meer dan 35.000 e-mailadressen en duizenden privéberichten op straat te liggen.