Wat is OpenClaw? Een gids voor de open-source AI-assistent

De meeste AI-tools besteden tijd aan het beantwoorden van vragen. OpenClaw is gebouwd om acties uit te voeren. Dat verschil zorgde ervoor dat het binnen enkele maanden na de lancering Linux voorbijstreefde op de GitHub all-time star-lijst.

Wat het in feite is: een self-hosted runtime die AI-modellen verbindt met je terminal, bestanden, browser en berichtentoepassingen. Stuur een WhatsApp-bericht en het kan je schijf doorzoeken, een shellscript draaien, een webpagina controleren en in dezelfde thread antwoorden. Een chatbot doet dat allemaal niet.

De pitch klinkt strakker dan de realiteit. OpenClaw vereist technische setup, het veiligheidsdossier in 2026 bevat serieuze incidenten, en het publieke skill-register werd geraakt door een gecoördineerde malwarecampagne. Dat zijn dingen die je vooraf wilt weten.

Wat is OpenClaw?

OpenClaw is gratis, open-source (MIT-licentie) en ontworpen om op hardware te draaien die je zelf bezit. Het is gemaakt door Peter Steinberger, een Oostenrijkse ontwikkelaar bekend van PSPDFKit, en gelanceerd in november 2025 als Clawdbot. Anthropic diende een klacht in over het handelsmerk van de naam, waarna het op 27 januari 2026 Moltbot werd, en drie dagen later OpenClaw omdat, in Steinbergers woorden, "Moltbot rolde nooit echt lekker van de tong." De kreeftmascotte, Molty, overleefde alle naamswijzigingen.

OpenClaw verbindt modellen met lokale tools. Afbeelding door auteur.

Eén ding dat mensen vroeg in de war brengt: OpenClaw is geen AI-model. Het verbindt met een apart geconfigureerde provider, in de cloud of lokaal, en dat model doet de redenering terwijl OpenClaw het routeren, het geheugen en de uitvoering van tools afhandelt.

De kern is een Node.js-service genaamd de Gateway. Die draait op de achtergrond op poort 18789, leidt berichten tussen je chat-apps en het model, voert eventuele tool-calls uit, en bewaart je API-sleutels zodat verbonden apps die nooit direct aanraken.

Dit alles maakt het heel anders dan een chatbot. OpenClaw kan shellopdrachten uitvoeren, bestanden lezen en schrijven, een browser bedienen en taken op schema laten lopen terwijl jij niet kijkt.

Waarom OpenClaw populair werd

OpenClaw ging van 9.000 GitHub-sterren op dag één naar meer dan 195.000 binnen 66 dagen, naar verluidt 18 keer sneller dan Kubernetes.

Ontwikkelaars wilden dit al een tijd: een assistent die taken afrondt in plaats van alleen te antwoorden, op je eigen hardware draait en met apps verbindt.

Tegen april 2026 was het project de 346.000 sterren gepasseerd. Steinberger kondigde op 15 februari 2026 aan dat hij bij OpenAI ging werken, en het project bewoog richting een stichtingstructuur met steun van OpenAI. Het bleef MIT-gelicentieerd en in handen van de community, niet overgenomen in de traditionele zin.

De meningen zijn verdeeld. Sommige gebruikers vinden het idee sterk. Anderen lopen tegen setup-, betrouwbaarheid- en kostenproblemen aan. Complexe automatisering stelt vaker teleur dan het oplevert en tokenkosten verrassen mensen. Ook is de setup niet beginnersvriendelijk.

Hoe OpenClaw werkt: de Gateway, Tools en de agent-loop

Alles loopt via de Gateway, en dat ene controlepunt is wat OpenClaw onderscheidt van een simpele model-wrapper.

Wanneer je een bericht stuurt, pikt de Gateway het op uit welk kanaal je ook gebruikt, voegt context toe uit de geheugendocumenten van de agent en geladen skills, en geeft het pakket door aan het geconfigureerde AI-model. Als het model een actie wil uitvoeren (een commando draaien, een pagina bezoeken, een bestand lezen), geeft het die intentie terug aan de Gateway. De Gateway voert de actie uit op het hostsysteem, of in een sandbox als je die hebt ingesteld, en geeft het resultaat terug. Het kan meerdere stappen ketenen voordat het een eindantwoord produceert.

Het model praat nooit direct met je bestandssysteem of terminal.

Alle acties lopen via de Gateway. Afbeelding door auteur.

Geheugen en planning

OpenClaw slaat geheugen op in platte Markdown-bestanden in de agent-werkruimte (~/.openclaw/workspace). Het hoofdbestand, MEMORY.md, bevat duurzame feiten en voorkeuren die aan het begin van elke sessie worden geladen. SOUL.md definieert persoonlijkheid en toon. AGENTS.md slaat gedragsregels op. Omdat het model dit alles aan het begin van de sessie leest, blijven bewerkingen die je maakt behouden over herstarts heen.

Planning loopt op twee sporen. Heartbeats zijn periodieke check-ins in de hoofdsessie, standaard elke 30 minuten voor de meeste providers. Een HEARTBEAT.md-checklist vertelt de agent wat elke keer te bekijken. Cron-jobs draaien op exacte tijden in geïsoleerde sessies, wat is wat je wilt wanneer timing echt belangrijk is, zoals een dagelijks rapport. Beide verbruiken tokens bij elke uitvoering, dus (pro tip) open-einde taken moeten echt een duidelijke stopconditie hebben.

Ondersteunde modellen en kanalen

OpenClaw zit niet vast aan één modelprovider. Het werkt met Anthropic, OpenAI, Google, AWS Bedrock en lokale servers via Ollama of LM Studio. Lokale modellen hebben minstens een 64.000-token contextvenster nodig vanwege de hoeveelheid context die OpenClaw aan het begin van de sessie injecteert. Aan de kanaalkant ondersteunt het WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams en meer.

OpenClaw-use cases: wat het echt kan

Hoe nuttig het is, hangt af van hoe strak je de taak definieert. Brede verzoeken zwabberen. Smalle, herhaalbare taken met duidelijke input werken meestal goed.

• Persoonlijke productiviteit: De meest consistent gerapporteerde use case is een ochtendbriefing: een heartbeat-geplande taak die recente e-mails, agenda-items en nieuws ophaalt en vervolgens een samenvatting naar je telefoon stuurt.
• Ontwikkelaars-workflows: OpenClaw kan repositories inspecteren, build-scripts draaien, logs controleren en pull requests beheren via de GitHub CLI of een MCP-server. Gebruik tokens met repository-scope en vervaldatums. Brede shelltoegang is handig en ook de meest waarschijnlijke bron van een per ongeluk verwijderde file of een credentials-lek uit een .env-bestand dat toevallig in scope was.
• Webautomatisering: De agent kan pagina's browsen, data extraheren en met browserinterfaces interacteren via het Chrome DevTools-protocol. Wat het niet kan is het verschil zien tussen een echte pagina en een pagina met kwaadaardige instructies in de HTML. Zodra je de agent een browser geeft, wordt externe content een aanvalsoppervlak. Ik kom in de beveiligingssectie op een gedocumenteerd geval daarvan terug.
• Bestands- en documentbeheer: Werkt goed wanneer de werkruimte-root een dedicated map is zonder gevoelige inhoud. De faalmodus is voorspelbaar: geef toegang tot je thuismap, en het zal uiteindelijk iets lezen dat je niet wilde delen.
• Geplande automatisering: Betrouwbaar voor terugkerende, goed gedefinieerde taken. In één gedocumenteerd geval liepen de API-kosten in één dag op tot enkele duizenden dollars door een open-einde taak die zonder token-limieten draaide. Stel limieten in voordat je het schema instelt.

OpenClaw-skills en ClawHub: wat je moet weten en wat je beter mijdt

Skills zijn hoe gebruikers OpenClaw uitbreiden voorbij de ingebouwde mogelijkheden. Het is ook hoe het project geraakt werd door een serieuze supply-chain-aanval in de open-source agentruimte.

Wat een skill is

Een skill is een map met een SKILL.md-bestand met YAML-frontmatter en een Markdown-body. De frontmatter declareert de naam, beschrijving, vereiste binaries en omgevingsvariabelen van de skill. Daaronder is de Markdown-body natuurlijke taal: instructies die de agent volgt wanneer hij beslist dat de skill past bij de huidige taak.

Een optionele map references/ bevat API-docs, en een optionele map scripts/ bevat hulpmiddelen-scripts. Omdat skills tekst zijn in plaats van gecompileerde code, kun je ze lezen voordat je iets uitvoert.

Elke skill volgt dit tweedelige format. Afbeelding door auteur.

Skills volgen de open standaard AgentSkills, dus het format werkt ook met Claude Code, Cursor en vergelijkbare tools. In de praktijk zijn de meeste skills op ClawHub specifiek geschreven voor het gatewaymodel van OpenClaw en leunen ze op tooltoegang die die andere omgevingen niet blootstellen.

ClawHub, het publieke register op clawhub.ai, gebruikt vectorgebaseerde semantische zoekfunctie, zodat je skills kunt vinden met natuurlijke-taalzoekopdrachten. Publiceren vereist een GitHub-account dat minstens een week oud is. Het register groeide tot meer dan 44.000 skills begin 2026.

Het skillregister van ClawHub, georganiseerd per categorie. Afbeelding door auteur.

De ClawHavoc supply-chain-aanval

Op 1 februari 2026 auditte Koi Security-onderzoeker Oren Yomtov alle 2.857 skills op ClawHub en vond er 341 kwaadaardig, waarvan 335 uit één gecoördineerde campagne genaamd ClawHavoc. Die gebruikte social engineering: een valse sectie "Prerequisites" vertelde gebruikers shellopdrachten te plakken. Op macOS was de payload de Atomic macOS Stealer, die browserwachtwoorden, keychain-items, cryptowallets, SSH-sleutels en Telegram-sessiedata oogst.

Het bleef oplopen. Half februari passeerde het register 10.700 skills, en latere analyses plaatsten het kwaadaardige totaal op meer dan 1.000 over meerdere accounts. Een bredere audit van 31.000+ skills markeerde ongeveer 7,6% als risicovol, en een Snyk-scan vond dat 36% detecteerbare prompt-injectie bevatte.

ClawHub draait nu geautomatiseerde scans en heeft een VirusTotal-integratie, wat veel opvangt, maar prompt-injectie in instructietekst kan nog steeds doorheen glippen. Lees de SKILL.md voordat je iets installeert, en als die je opdraagt commando's te plakken of binaries te installeren buiten het normale proces om, sla dan over. Laad op dag één ook niet vol met third-party skills. Begin met het minimum dat je nodig hebt en houd onbekende skills weg van gevoelige bestanden en accounts.

Hoe OpenClaw-skills zich verhouden tot Claude Skills

Beide formats gebruiken dezelfde SKILL.md-structuur. Het verschil zit in waar de skill wordt uitgevoerd. Claude Skills draaien binnen de beheerde infrastructuur van Anthropic. OpenClaw-skills draaien op jouw machine, binnen de volledige trust boundary van de agent, met toegang tot lokale bestanden, shellopdrachten en browsersessies. Dat verschil in impactradius is waarom het supply-chainrisico hier zwaarder weegt dan in een gehoste omgeving.

Hoe je OpenClaw instelt

De stappen hieronder dekken de flow op hoofdlijnen. Als je screenshots en stap-voor-stap commando's wilt, doorloopt onze OpenClaw-tutorial het volledige proces vanaf nul.

Voor je installeert

Je hebt Node.js 24 nodig (Node 22.19 werkt ook) en óf een API-sleutel van een ondersteunde modelprovider óf een lokale modelserver die voldoet aan de eerder genoemde minimum context van 64.000 tokens. Op Windows is WSL2 met Ubuntu het aanbevolen pad; native Windows heeft beperkingen rond de gateway-daemon. Hardware-eisen zijn licht voor basisgebruik, al zijn lokale modelopzetten een ander verhaal.

Eén beslissing vooraf: waar gaat dit draaien? Een lokale machine is prima om te experimenteren, maar voor iets dat altijd aan moet staan, gebruik een dedicated VPS of een aparte machine in plaats van je primaire werkstation.

Setup-flow op hoofdlijnen

curl -fsSL https://openclaw.ai/install.sh | bash

Draai daarna de onboarding-wizard:

openclaw onboard --install-daemon

Dit loopt door de selectie van modelprovider, API-sleutelsetup en Gateway-configuratie. Controleer na afloop of de Gateway draait:

openclaw gateway status

Open daarna het dashboard:

openclaw dashboard

Stuur eerst een testbericht vanuit een laagdrempelig kanaal voordat je iets gevoeligs koppelt.

De Control UI op poort 18789. Afbeelding door auteur.

Veilige standaarden om meteen te configureren

Twee firewall-commando's zijn belangrijker dan alle andere. Draai ze voordat je iets anders doet:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Het eerste bindt de Gateway alleen aan loopback. Het tweede blokkeert de poort extern. Op het hoogtepunt waren meer dan 220.000 OpenClaw-instances publiek bereikbaar vanaf internet, meestal omdat gebruikers deze stap oversloegen na oudere tutorials. Gebruik een apart browserprofiel voor elke browserautomatisering. Draai openclaw security audit --deep na installatie van een skill. Gebruik authenticatietokens. Houd gevoelige bestanden uit de werkruimte-root.

Lokaal draaien betekent niet automatisch veilig draaien. Een lokale instance met shelltoegang, bestandstoegang en gekoppelde berichtapps is een echt aanvalsoppervlak, ongeacht waar het model draait.

OpenClaw-veiligheidsrisico's

Deze risico's zijn specifiek voor OpenClaw, en meerdere van de onderstaande incidenten zijn daadwerkelijk misbruikt bij echte gebruikers.

Het CVE-dossier

CVE-2026-25253 (CVSS 8.8) is degene die actief werd uitgebuit. Voor versie 2026.1.29 kon een kwaadaardige link stilletjes de WebSocket-verbinding van de bedieningsinterface omleiden naar een door de aanvaller beheerde server. Het authenticatietoken en de apparaat-sleutels van het slachtoffer werden automatisch verstuurd tijdens de handshake, dus één klik op een geprepareerde link was genoeg. Een aanvaller die ze in handen had, had volledige controle over de Gateway en kon willekeurige shellopdrachten uitvoeren. De patch 2026.1.29 voegde een bevestigingsprompt toe om dit te sluiten.

CVE-2026-32922 (CVSS 9.9) werd bekendgemaakt op 29 maart 2026. Een aanroeper met minimale token-scope kon escaleren naar volledige admin-toegang en remote code execution bereiken over alle verbonden nodes. Gepatcht in 2026.3.11. Als je instance ouder is dan 2026.3.11, update dan nu. Er zijn sinds de lancering meer dan 60 security-advisories ingediend tegen het project.

Internetblootstelling en prompt-injectie

Zoals eerder genoemd, waren op het hoogtepunt meer dan 220.000 instances publiek blootgesteld, waarvan meer dan 17.500 kwetsbaar voor de klasse aanvallen van CVE-2026-25253. De huidige standaard bindt aan loopback, maar oudere configs en community-tutorials weerspiegelen dat niet altijd.

Prompt-injectie is het subtielere probleem. OpenClaw leest webpagina's, e-mails, documenten en logs als onderdeel van zijn werk. Als een van die bronnen kwaadaardige instructies bevat, kan de agent die volgen. De Promptfoo-casestudy van maart 2026 liet een agent zien die controleerde waar hij toegang toe had, lokale bestanden las, bestanden schreef en ongeautoriseerde berichten stuurde, allemaal getriggerd door het bezoeken van één webpagina. Het werkte omdat browsen, bestandstoegang en uitgaande berichten één trust boundary deelden zonder scheiding.

Erger nog, instructies van kwaadaardige bronplanten in SOUL.md of AGENTS.md overleven over sessies en herstarts heen. De agent draagt ze voort zonder externe trigger.

Hoe je risico verkleint

Het meeste is wat eerder bij de veilige standaarden stond: update regelmatig, houd de Gateway op localhost met de poort geblokkeerd, gebruik auth-tokens, houd gevoelige bestanden buiten de werkruimte en audit na wijzigingen. Gebruik Docker-sandboxing voor taken die externe input aanraken, gebruik fijnmazige API-tokens met vervaldatums, en behandel SOUL.md en AGENTS.md als configbestanden die je monitort, niet als tekst die je negeert.

Audit-uitvoer na installatie van een skill. Afbeelding door auteur.

OpenClaw is niet risicovol omdat het open source is. Het is risicovol omdat het bevoorrechte acties kan uitvoeren als je het zo configureert.

Is OpenClaw het waard? Een eerlijke inschatting

Dit deel is mijn eigen oordeel, geen feitelijke claim. Agents die acties uitvoeren in plaats van alleen antwoorden geven, zijn een andere categorie dan chatbots, en OpenClaw is daar een duidelijk voorbeeld van.

Of het de moeite waard is, hangt bijna volledig af van wie het gebruikt. Een ontwikkelaar die zich prettig voelt bij terminaltools, logs, API-monitoring en sandboxing kan het nuttig maken in smalle workflows. Zoals ik eerder besprak, houden de setups die standhouden het smal. Waar het misgaat is wanneer iemand elke tool aanknoopt, een dozijn skills installeert zonder ze te lezen, en heartbeats laat draaien op open-einde prompts, in de verwachting dat het goed gaat.

Mijn inschatting: complexe automatisering kan meer onderhoud kosten dan ze oplevert, en de meest betrouwbare use case is misschien een dagelijkse nieuwssamenvatting. Dat is een magere opbrengst voor de setup-inspanning. De juiste framing is infrastructuur, niet een assistent. Behandel het zo, begin klein en houd strikte limieten aan. Als je een slimme consumentenapp wilt, is dit het nog niet.

OpenClaw vs. ChatGPT, Claude, Cursor en Zapier

ChatGPT en Claude zijn stateless chatinterfaces: geen persistente geplande taken, geen lokale bestandstoegang standaard.

Claude Code en Cursor zijn beperkt tot softwareontwikkeling binnen een repository; ze zijn beter in code dan OpenClaw, maar dat is ook alles wat ze doen. Claude Code voegde in april 2026 ook een cloud-gehoste planningsfunctie toe, Routines genaamd, die een deel dekt van wat de HEARTBEAT van OpenClaw doet, zonder de infrastructuuroverhead.

Zapier en n8n zijn deterministische workflowtools waarbij elke stap vooraf is gedefinieerd, wat ze beter te auditen maakt maar minder geschikt om vage verzoeken aan te kunnen dan een agent die natuurlijke taal interpreteert.

Een framing uit de gemeenschap van 2026 is hier nuttig: OpenClaw als de redeneerlaag voor dubbelzinnige taken, n8n of Zapier als de uitvoeringslaag voor grootvolume, voorspelbare taken, verbonden via webhooks. Ze zijn niet altijd concurrenten.

Voor wie OpenClaw past

Ontwikkelaars die terugkerende technische workflows automatiseren en onderzoekers die tool-gebruikende agents bestuderen, zijn de duidelijkste match. Homelab-gebruikers die al zelfgehoste services beheren zullen de setup herkenbaar vinden.

Wie OpenClaw beter kan vermijden

Iedereen die niet vertrouwd is met terminalcommando's, bestandsrechten en het beheer van API-sleutels kan beter wachten. De setup is niet beginnersvriendelijk.

Ook iedereen die met gevoelige bestanden werkt zonder een gesandboxte omgeving kan beter wachten. Teams met compliance-eisen hebben mogelijk beheerde alternatieven nodig zoals AWS Bedrock Agents. En als je niet bereid bent community-skillcode te inspecteren voor installatie, draai dan liever geen ClawHub-skills op een machine met echte inloggegevens.

Conclusie

OpenClaw is relevant omdat het laat zien hoe persoonlijke AI-agents eruitzien wanneer ze dingen kunnen doen: geen slimmere chatbots, maar systemen met toegang tot je bestanden, je shell, je browser en je berichtapps.

De risico's zijn om dezelfde reden echt. De toegang die een ochtendbriefing of een PR-reviewworkflow mogelijk maakt, is dezelfde toegang die ClawHavoc in credentialdiefstal omzette.

Begin met één taak. Laat die draaien in een geïsoleerde omgeving. Stel limieten in. Zoals eerder genoemd, bekijk skills voordat je ze installeert. OpenClaw is geen product dat je uitrolt en vergeet. Het is infrastructuur, en het vanaf het begin als infrastructuur behandelen zorgt ervoor dat het experiment geen incident wordt.

Voor verwante artikelen behandelen onze OpenClaw-projecten-gids en ClawHub-skills-gids wat mensen bouwen. De AI-Assisted Coding for Developers-cursus behandelt bredere agent-skills.