Securityonderzoekers hebben een live infectie ontdekt waarbij een infostealer de configuratiebestanden van een OpenClaw AI-agent heeft buitgemaakt.
De aanval vond plaats via een breed opgezette bestandsroof-routine die automatisch zocht naar gevoelige bestandsextensies en specifieke mapnamen, waaronder .openclaw. De malware was niet specifiek ontworpen voor OpenClaw, maar kwam er per toeval uit door de operationele context van de AI-assistent van het slachtoffer te pakken te krijgen.
Wat de aanval bijzonder ernstig maakt, is de combinatie van gestolen gegevens. De aanvaller kreeg toegang tot het openclaw.json-configuratiebestand met het e-mailadres van het slachtoffer en een Gateway Token met hoge entropie. Dit token zou een aanvaller in staat kunnen stellen om op afstand verbinding te maken met de lokale OpenClaw-instance als de poort is blootgesteld.
Cryptografische sleutels en persoonlijke context gestolen
Daarnaast werd het device.json-bestand met zowel de publieke als private cryptografische sleutels buitgemaakt. Met de privateKeyPem kan een aanvaller berichten ondertekenen als het apparaat van het slachtoffer en mogelijk ‘Safe Device’-controles omzeilen.
Maar het meest verontrustende is de diefstal van soul.md en de memory files AGENTS.md en MEMORY.md. Deze bestanden bevatten de persoonlijkheid en gedragsinstructies van de AI-agent, samen met dagelijkse logs van activiteiten, privéberichten en agenda-items van de gebruiker. In het gestolen soul.md-bestand staat dat de agent ‘moedig moet zijn met interne acties’ zoals lezen, organiseren en leren.
Gespecialiseerde modules op komst
Securityexperts maken zich steeds vaker zorgen over de beveiligingsstaat van AI-agents. Hudson Rock, dat de huidige ontdekking deed, verwacht een versnelling nu AI-agents als OpenClaw meer geïntegreerd raken in professionele workflows. Infostealer-ontwikkelaars zullen waarschijnlijk specifieke modules uitbrengen die zijn ontworpen om bestanden te ontsleutelen, vergelijkbaar met hoe ze dat nu doen voor Chrome of Telegram.
Het Enki AI-systeem van Hudson Rock voerde een geautomatiseerde risicobeoordeling uit op de buitgemaakte bestanden. De analyse toont aan hoe een aanvaller de verschillende stukjes informatie (tokens, sleutels en persoonlijke context) kan combineren om een totale compromittering van de digitale identiteit van de gebruiker te orkestreren.