Hoe een weekendproject de blauwdruk werd voor altijd actieve AI-agents

De eerste versie van Clawdbot, gebouwd in ongeveer een uur op een vrijdagavond , was een lokale assistent die berichten kon lezen, op het web kon surfen en shell-opdrachten kon uitvoeren via berichtenapps . In eerste instantie was het verbonden met de API van Claude, maar de architectuur was bewust modelonafhankelijk – gebruikers konden elk groot taalmodel (LLM) aansluiten, van OpenAI en Anthropic tot lokale modellen die via Ollama draaiden .

Virale groei en de architectuur die won

OpenClaw's architectuur rustte op drie pijlers die onweerstaanbaar bleken voor ontwikkelaars:

• Interface via berichtenapps: In plaats van een aparte app of browsertabblad, communiceerden gebruikers met hun AI-agent via WhatsApp, Telegram, Slack en meer dan een dozijn andere platformen die ze al gebruikten .
• Zelf te hosten en MIT-gelicentieerd: Geen vendor lock-in, geen cloudafhankelijkheid. Iedereen kon het op zijn eigen machine draaien .
• Modelonafhankelijke gateway: Het was niet gebonden aan één enkele AI-provider en ondersteunde alles van Claude en GPT tot Gemini en lokale modellen .

De groeicurve verbrijzelde elk patroon in de geschiedenis van open-source. Het project kreeg 190.000 sterren in de eerste 14 dagen van virale verspreiding . In februari 2026 passeerde het de 200.000 sterren . Op 3 maart 2026 overtrof het React als het meest gesterde softwareproject op GitHub – een mijlpaal waar React 13 jaar over deed; OpenClaw deed het in ongeveer 100 dagen . Begin juni 2026 staat de repository op ongeveer 377.000 GitHub-sterren, waarmee het het op vijf na meest gesterde project in de GitHub-geschiedenis is .

Big Tech springt er bovenop: Microsoft, Google en Meta

Microsoft Scout: Niet "OpenClaw-achtig" – de echte gateway

Tijdens Microsoft Build op 2 juni 2026 lanceerde Microsoft Scout, zijn eerste "Autopilot"-agent, rechtstreeks gebouwd op de OpenClaw-gateway . In tegenstelling tot eerdere AI-functies die binnen individuele apps leefden, is Scout een altijd actieve agent met een eigen identiteit die actief is in Teams, Outlook, OneDrive en SharePoint, en proactief agenda's, e-mails en taken beheert zonder hiertoe aangezet te worden .

De relatie is er niet een van inspiratie, maar van integratie. Microsoft bevestigde dat Scout de OpenClaw-gateway rechtstreeks gebruikt, geen kloon of fork . Het bedrijf heeft ook toegezegd bij te dragen aan de upstream-code, door enterprise-beveiligingsmaatregelen en functies voor naleving van beleid terug te voegen aan de open-source kern . Dit betekende een dramatische ommekeer ten opzichte van maart 2026, toen CEO Satya Nadella tegenover een publiek van Morgan Stanley verklaarde dat het vrijgeven van OpenClaw binnen Microsoft zou worden "beschouwd als het lanceren van een virus door Microsoft" .

Google Gemini Spark en Meta Hatch

Google koos een andere aanpak. Gemini Spark, zijn altijd actieve assistent, herbouwde de concepten van OpenClaw binnen het Gemini-ecosysteem, terwijl de interfacelaag onder Google's controle bleef . In plaats van de open-source gateway over te nemen, gebruikte Google hetzelfde architectuurpatroon – een autonome agent met een permanente identiteit die proactief gebruikerstaken beheert – maar koppelde het aan Gemini-apps en het eigen modelecosysteem van Gemini .

Meta bereidt naar verluidt een consumentgerichte agent voor met de naam Hatch, gebouwd op OpenClaw-achtige architectuur en gericht op persoonlijke, app-overschrijdende automatisering voor alledaagse gebruikers . De driewegstrijd tussen platformen – Microsofts enterprise-benadering, Googles gecontroleerde ecosysteem en Meta's consumentenpush – bevestigde OpenClaw's ontwerp als de feitelijke referentiearchitectuur voor de industrie .

De beveiligingscrisis: 30.000+ blootgestelde instanties en 9 CVE's in 4 dagen

OpenClaw's explosieve groei overtrof zijn beveiligingspositie ruimschoots. Het framework werd standaard geleverd met authenticatie uitgeschakeld, wat betekende dat nieuwe implementaties het volledige agent-controlepaneel blootstelden aan het internet, tenzij beheerders handmatig firewalls configureerden .

Op 31 januari 2026 brachten scans van Censys en Bitsight 21.639 blootgestelde instanties aan het licht . Vervolgscans vonden tussen de 30.000 en 135.000 unieke instanties die draaiden op openbaar toegankelijke servers . Minstens 63% hiervan had helemaal geen authenticatie geconfigureerd .

De CVE-cascade

De eerste kritieke kwetsbaarheid, CVE-2026-25253, werd op 3 februari 2026 bekendgemaakt. Met een CVSS-score van 8.8 betrof het een one-click remote code execution-lek via een WebSocket-origin-validatiegat, waardoor een aanvaller elke draaiende OpenClaw-instantie kon kapen, zelfs instanties die waren geconfigureerd om alleen op localhost te luisteren, simpelweg door de gebruiker een kwaadaardige webpagina te laten bezoeken . Ten tijde van de bekendmaking werden meer dan 40.000 instanties kwetsbaar bevonden voor misbruik op afstand .

Van 18 tot 21 maart 2026 werden er in slechts vier dagen tijd negen CVE's bekendgemaakt, waaronder kritieke privilege escalation-lekken zoals CVE-2026-32922 en zero-click exploits . De dichtheid aan kwetsbaarheden werd door beveiligingsonderzoekers omschreven als "verbijsterend" .

ClawHavoc: De plugin-marktplaats als wapen

Aanvallers exploiteerden niet alleen fouten in de code – ze vergiftigden de supply chain. De ClawHavoc-campagne plantte 1.184 kwaadaardige skills in ClawHub, de community-pluginmarktplaats van OpenClaw, wat neerkwam op ongeveer 20% van het gehele register . Eén kwaadaardige skill verzamelde 340.000 installaties voordat deze werd verwijderd .

Deze gecompromitteerde plugins exfiltreerden stilletjes API-sleutels, OAuth-tokens en omgevingsvariabelen. Sommige leverden info-stealers zoals de Atomic macOS Stealer (AMOS), terwijl andere pas na 72 uur normale werking actief werden om initiële beveiligingsscans te omzeilen . Halverwege februari 2026 zagen analisten meer dan 30.000 gecompromitteerde instanties actief gebruikt worden om inloggegevens te stelen en berichten te onderscheppen .

Het Moltbook-datalek verergerde de schade en stelde 35.000 e-mails en 1,5 miljoen agent-tokens bloot die gekoppeld waren aan OpenClaw-implementaties . Meta verbood OpenClaw op bedrijfsapparaten . Binnen drie maanden werden er meer dan 60 CVE's bekendgemaakt .

Bestuur en de overname door OpenAI

Op 14 februari 2026 plaatste Peter Steinberger drie alinea's op zijn persoonlijke blog waarin hij aankondigde dat hij bij OpenAI in dienst trad in het kader van een acqui-hire . Sam Altman bevestigde de stap de volgende dag en verklaarde dat Steinberger "de volgende generatie persoonlijke agents zal aansturen" .

In dezelfde aankondiging bracht Steinberger OpenClaw onder in een onafhankelijk, door een stichting ondersteund bestuursmodel – de OpenClaw Foundation – met OpenAI als financier . De overgang zorgde ervoor dat het project open-source en door de gemeenschap bestuurd bleef, zelfs toen de maker ervan zich ging richten op het bouwen van AI-agentinfrastructuur bij OpenAI .

Waarom OpenClaw de referentiearchitectuur werd

OpenClaw slaagde niet omdat het het meest geavanceerde of veiligste framework was, maar omdat het precies op het juiste moment een fundamentele gebruikersbehoefte oploste: een permanente, altijd actieve AI-assistent die je kunt sms'en als een persoon, met een architectuur die open genoeg is voor iedereen om te draaien, modelonafhankelijk genoeg om met elk LLM te werken, en eenvoudig genoeg om in een uur te implementeren.

De adoptie door Big Tech – Microsoft dat Scout rechtstreeks op de OpenClaw-gateway bouwt, Google dat het paradigma kloont met Gemini Spark, en Meta dat Hatch voorbereidt – valideerde die architectuur als de industriestandaard. De beveiligingscrisis en de daaropvolgende overgang naar een stichting brachten het van een hobby-experiment naar infrastructuur die ondernemingen, zij het voorzichtig, konden beginnen te vertrouwen.