ClaudeBot (Multbot): hoe een handige AI-assistent kan uitgroeien tot een beveiligingsnachtmerrie

Stel je een AI-assistent voor die je e-mails leest, je agenda beheert en ’s nachts je taken uitvoert terwijl jij slaapt. Klinkt handig, toch? Zo’n tool bestaat: hij heet ClaudeBot (recent hernoemd tot Multbot) en is enorm populair. Maar beveiligingsonderzoekers ontdekten onlangs iets beangstigends. Meer dan 900 van deze AI-systemen bleken open en bloot op internet te staan, zonder enige vorm van authenticatie.

Alsof dat nog niet erg genoeg was, gebeurde er iets nóg verontrustenders. Een onderzoeker slaagde erin binnen vijf minuten een geheime cryptografische sleutel te stelen – enkel door een slim geformuleerde e-mail naar zo’n AI-agent te sturen. Hoe kon dit gebeuren? Hoe kon een assistent die ons zou helpen veranderen in een potentieel grootste beveiligingsbedreiging op internet? Laten we de waarheid achter ClaudeBot ontrafelen.

Wat is ClaudeBot en hoe werken AI-agents?

ClaudeBot is geen obscuur experiment. Het is een van de populairste open source AI-agents ter wereld. Duizenden ontwikkelaars gebruiken deze digitale assistent om hun workflows te automatiseren, chat- en mailapps te koppelen en routinetaken uit te voeren namens hen. Met ClaudeBot kan een gebruiker bijvoorbeeld zijn e-mails laten lezen en beantwoorden, afspraken in de agenda laten inplannen en allerlei klussen laten uitvoeren – zelfs terwijl hij slaapt.

Maar er is iets fundamenteels aan AI-agents dat vaak over het hoofd wordt gezien: om echt nuttig te zijn hebben ze uitgebreide toegangsrechten nodig. Zo’n agent krijgt toegang tot je bestanden, tot je inloggegevens en mag commando’s uitvoeren op je systeem. Die brede rechten maken de AI krachtig, maar brengen vanzelfsprekend ook risico’s met zich mee.

900 publiek blootgestelde ClaudeBot-systemen

In januari 2026 bleek hoe reëel die risico’s zijn. Een beveiligingsonderzoeker gebruikte Shodan – een zoekmachine voor internetapparatuur – om te zoeken naar een kenmerkende vingerafdruk van ClaudeBots beheerpaneel. Het resultaat was schokkend: binnen enkele seconden vond hij meer dan 900 ClaudeBot-instances (installaties) die voor iedereen bereikbaar waren op het openbare internet.

Bij het merendeel van die systemen was helemaal geen beveiliging ingeschakeld. De onderzoeker kon in meerdere gevallen direct inloggen op de AI-agent zonder wachtwoord of enige andere vorm van authenticatie. Hij had daarmee volledige beheerrechten over alles wat de AI controleerde. Zo kon hij bijvoorbeeld:

  • Maanden aan privé-chatgesprekken en e-mails van de gebruikers inzien.
  • API-sleutels voor cloud- en AI-diensten stelen, waarmee hij op kosten van het slachtoffer diensten kon aanroepen.
  • Authenticatie-tokens voor Slack, Telegram, Discord, WhatsApp en andere platforms buitmaken, wat toegang gaf tot interne communicatiekanalen.
  • SSH-sleutels en cloud-credentials (bijv. AWS-inloggegevens) kopiëren, om vervolgens andere servers en diensten van het slachtoffer over te nemen.
  • Bestanden en gegevens downloaden of willekeurige commando’s uitvoeren op het hostsysteem, met alle denkbare gevolgen van dien.

De hoeveelheid gevoelige informatie die op straat lag, was verbijsterend. Cryptowallet-keys, complete codebases, persoonlijke documenten – feitelijk alles wat de AI-agent onder zijn beheer had, kon door een aanvaller worden misbruikt om iemands digitale leven compleet te compromitteren.

Kwetsbare configuratie: hoe een reverse proxy voor onveiligheid zorgde

Hoe konden zóveel systemen openstaan zonder wachtwoord? De oorzaak bleek een ogenschijnlijk handige maar gevaarlijke ontwerpkeuze in ClaudeBot. Standaard vertrouwt ClaudeBot alle verbindingen vanaf “localhost” – oftewel, van dezelfde machine. Dit is bedoeld als gemak voor ontwikkelaars die de agent lokaal draaien, zodat ze tijdens het ontwikkelen niet steeds hoeven in te loggen.

Echter, veel gebruikers draaien ClaudeBot niet op hun laptop, maar op een server in de cloud. Zo’n server gebruikt meestal een reverse proxy (omgekeerde proxyserver) om verkeer van buitenaf door te sturen naar de applicatie. Die proxy zorgt er onbedoeld voor dat álle inkomende verbindingen voor ClaudeBot eruitzien alsof ze van de lokale machine komen. Het resultaat: elke externe verbinding werd door ClaudeBot vertrouwd als intern en kreeg automatisch volledige toegang – zonder enige authenticatie.

Schrikbarend genoeg was dit kritieke beveiligingslek niet eens verborgen of onbekend. ClaudeBot had zelf gedocumenteerd hoe je dit kon voorkomen: via de instellingen kon je specifieke vertrouwde proxy-adressen opgeven of simpelweg wachtwoordbeveiliging inschakelen. Maar de standaardinstellingen stonden wagenwijd open en veel gebruikers – vooral minder technisch onderlegde enthousiastelingen – lieten alles op default staan. Het gevolg was een rampzalige situatie. Itamar Gholar, CEO van beveiligingsbedrijf Prompt Security, verwoordde het treffend: dit was “een ramp in wording.” Honderden AI-agents op publieke servers, direct via een open poort toegankelijk en zonder ook maar enige beveiliging – een droomscenario voor elke aanvaller.

Prompt Injection: de AI-aanval met woorden

Nog zorgwekkender is een geheel nieuw type aanval dat bij AI-oplossingen om de hoek komt kijken: prompt injection. Hierbij misleidt een aanvaller de AI door kwaadaardige instructies te verstoppen in een normaal lijkend bericht of verzoek. In plaats van een traditionele hack (waarbij een programmeerfout wordt uitgebuit) richt de aanvaller zich op de logica van de AI zelf.

Stel, een aanvaller stuurt een ogenschijnlijk onschuldige e-mail naar iemand die ClaudeBot heeft draaien. De menselijke ontvanger ziet niets verdachts, maar de e-mail bevat verborgen commando’s die alleen de AI oppikt. Bijvoorbeeld een regel die de AI vertelt eerdere instructies te negeren en vervolgens geheime informatie prijs te geven of een bepaald systeemcommando uit te voeren.

Omdat ClaudeBot je e-mail voor je doorneemt (op zoek naar taken om uit handen te nemen), leest het onbewust ook de verborgen kwaadaardige instructies – en voert ze uit. Een onderzoeker demonstreerde zo’n aanval: binnen vijf minuten na het ontvangen van een slim geprepareerde e-mail had de AI-agent een private cryptografische sleutel uit het systeem gefilterd en doorgespeeld aan de aanvaller.

Het angstaanjagende is dat hier geen enkele traditionele exploit voor nodig was – alleen zorgvuldig gekozen woorden. Prompt injection vormt daarmee een geheel nieuwe aanvalsvector. De toonaangevende beveiligingsorganisatie OWASP heeft ‘prompt injection’ inmiddels bestempeld als risk nummer 1 voor AI-toepassingen in 2025. Sommige varianten van deze aanval slagen in bijna 98% van de gevallen, en geavanceerde versies kunnen zelfs de ingebouwde veiligheidsfilters van AI-modellen omzeilen. Met andere woorden: als een AI-agent niet stevig beperkt en gefilterd wordt, kan een simpele tekstboodschap hem veranderen in een bedreiging voor zijn eigenaar.

Gevaarlijke plug-ins: ClaudeHub en supply-chain risico’s

Zoals veel moderne tools is ClaudeBot uitbreidbaar via plug-ins. Het project heeft een openbare bibliotheek genaamd ClaudeHub, waar ontwikkelaars nieuwe “skills” en extensies voor ClaudeBot kunnen delen. Wil je dat jouw AI je Gmail inbox beheert? Er is een plug-in op ClaudeHub te vinden. Automatisch Slack-berichten laten versturen? Download een skill uit ClaudeHub.

Helaas ontbreekt elke vorm van controle of moderatie op deze plugin-marktplaats. Er is geen beveiligingsaudit of review van de aangeboden uitbreidingen. In principe kan iedereen een pakket uploaden – en wanneer een ander het installeert, draait die code met volledige systeemrechten op de machine van de gebruiker. Met andere woorden: een kwaadwillende ontwikkelaar kan via een populair ogende plug-in ongemerkt een Trojaans paard binnenloodsen.

Dat dit scenario niet vergezocht is, bewees de onderzoeker O’Reilly met een experiment. Hij plaatste een onschuldige proefplug-in op ClaudeHub en manipuleerde de downloadstatistieken zodat het leek alsof deze plug-in razend populair was. Het resultaat: binnen enkele dagen hadden ontwikkelaars uit verschillende landen de plug-in meer dan 4.000 keer gedownload. Stel dat dit een kwaadwillige extensie was geweest – al die gebruikers zouden de aanvaller daarmee vrijwillig volledige toegang tot hun systemen hebben gegeven (inclusief hun SSH-sleutels, cloud-credentials, complete codebases, noem maar op).

Dit is een klassiek voorbeeld van een supply chain-aanval (aanval via de toeleveringsketen) dat ligt te wachten om misbruikt te worden. Op dit moment staat niets een aanvaller in de weg om daadwerkelijk een boosaardige plug-in in omloop te brengen via ClaudeHub en zo massaal toeslaan.

Malware jaagt op AI: lokale installaties zijn niet veilig

Misschien denkt u: “Dan draai ik ClaudeBot alleen lokaal op een afgesloten pc, dan loop ik geen risico.” Helaas is ook een lokale installatie niet automatisch veilig. Security-onderzoekers van Hudson Rock ontdekten namelijk dat bestaande malware-varianten inmiddels specifiek op ClaudeBot gericht zijn. Sommige veelvoorkomende malware (die via phishing-mails of besmette downloads op computers belandt) is aangepast om actief te zoeken naar ClaudeBots gegevens op een geïnfecteerd systeem.

Waarom zouden criminelen zich richten op een AI-assistent op uw pc? Simpel: ClaudeBot slaat zijn gevoelige data, zoals API-sleutels en tokens, ongecodeerd op in een voorspelbare map op de harde schijf. Er is geen encryptie of extra bescherming; het gaat om gewone JSON-bestanden met elk geheim dat de agent gebruikt. Een standaard info-stealer virus dat dit weet, kan bij infectie moeiteloos alle waardevolle sleutels en tokens uit ClaudeBots opslag plunderen.

Uit een veiligheidsaudit van ClaudeBot bleek bovendien dat het programma op veel fronten tekortschiet: men vond in totaal 512 kwetsbaarheden, waaronder talloze hardcoded geheimen in de broncode en honderden gevoelige tokens die onversleuteld in de codegeschiedenis (Git) waren achtergebleven. Met andere woorden, de software is nooit met security als prioriteit ontwikkeld. Elke installatie – zelfs op een lokaal systeem – brengt risico’s met zich mee als dat systeem ooit malware binnenkrijgt.

AI-agents ondermijnen klassieke beveiligingsprincipes

De problemen met ClaudeBot staan niet op zichzelf. Dit voorbeeld is symptomatisch voor een breder probleem: we implementeren steeds meer AI-agents die goddelijke toegang tot onze systemen krijgen, en dat ondermijnt de gevestigde beveiligingsprincipes van de afgelopen decennia.

In essentie moeten AI-assistenten voor hun taken overal bij kunnen: ze lezen documenten, gebruiken inloggegevens, voeren commando’s uit en praten met externe diensten. Dat maakt ze nuttig, maar ook gevaarlijk bij misbruik. Want als zo’n agent wordt gecompromitteerd, erft een aanvaller alle toegangsrechten die de AI heeft – in één klap.

Beveiligingsexperts noemen dit een “blast radius”-probleem: de potentiële schade als het misgaat. Bij traditionele software blijft een hack meestal beperkt tot die ene applicatie of server; de impactradius is klein. Maar een gehackte AI-agent opent de deur naar alle diensten, bestanden en systemen waar de agent toegang toe had. Eén enkele inbraak kan zo een kettingreactie van compromittering door de hele organisatie veroorzaken. Onderzoek laat zien dat AI-agents in ~90% van de gevallen meer rechten hebben dan nodig (zogenoemd overprivileged zijn). Dat betekent dat een aanvaller via één zo’n agent een buitensporig grote greep op de omgeving kan krijgen.

Dit druist in tegen twintig jaar aan vooruitgang in cybersecurity. We hebben hard gewerkt aan sandboxing, proces-isolatie, fijnmazige permissiemodellen en firewalls – allemaal bedoeld om de impact van één incident te beperken. AI-agents gooien deze verdedigingslagen echter overboord door hun allesomvattende toegangsmodel. En we rollen deze tools uit sneller dan we ze veilig kunnen maken. Niet voor niets moest ClaudeBot na alle ophef (en een conflict over de naam met AI-bedrijf Anthropic) snel rebranden tot “Multbot”. De naam veranderde, maar de onderliggende uitdaging bleef: hoe gaan we om met superkrachtige AI-assistenten die de traditionele grenzen van onze beveiliging doorbreken?

Conclusie: wat kunnen organisaties hieruit leren?

De affaire rond ClaudeBot/Multbot is een duidelijke wake-up call voor CISO’s en security-teams. Het toont aan dat een innovatieve AI-oplossing onverwachte en ernstige kwetsbaarheden kan bevatten. Organisaties die AI-agents willen omarmen, moeten hieruit belangrijke lessen trekken. Ten eerste: vertrouw niet op standaardinstellingen. Zet altijd zelf basisbeveiliging op, zoals authenticatie en toegangsrestricties, in plaats van uit te gaan van veilige defaults. Ten tweede: wees bedacht op nieuwe aanvalstechnieken zoals prompt injection – dit vergt zowel technische maatregelen (input filtering, monitoring) als gebruikersbewustzijn. Verder is het cruciaal om voorzichtig om te gaan met plug-ins en extensies: beperk het gebruik van onbeoordeelde add-ons en voer waar mogelijk een code-review uit voordat dergelijke software in uw omgeving wordt toegelaten. Tot slot: behandel AI-agents als hooggeprivilegieerde systemen. Dat betekent strenge toegangscontrole, draaien in een geïsoleerde omgeving als het kan, en nauwgezette monitoring op hun activiteiten.

Kortom, de opkomst van AI-assistenten biedt geweldige kansen, maar brengt ook nieuwe risico’s met zich mee. Het is aan organisaties om net zo innovatief en waakzaam te zijn in hun verdediging als in hun adoptie van deze technologie. Wie de lessen van ClaudeBot ter harte neemt, kan profiteren van AI-automatisering zónder de fundamenten van beveiliging uit het oog te verliezen.