Beveiligingsonderzoekers melden een nieuw lek in AI-crypto agents dat “ClawJacked” heet. Het lek maakt het mogelijk om privésleutels en seed phrases van wallets te stelen via de agent-workflow. De kwetsbaarheid treft toepassingen die kunstmatige intelligentie koppelen aan cryptowallets, zowel in webbrowsers als in bots. Dit vergroot de druk op naleving van de Europese AI-verordening en de Cyber Resilience Act, ook voor partijen in Nederland.
Lek geeft sleutels prijs
ClawJacked is een aanvalsketen op AI-agents die transacties voorbereiden en ondertekenen. Een AI-agent is software die zelfstandig stappen uitvoert, zoals het lezen van data en het aanroepen van een wallet. Door die keten te kapen kan een aanvaller geheime gegevens wegsluizen. Het gevolg is dat de aanvaller de volledige controle over de wallet kan krijgen.
Het lek speelt in op hoe agents context en hulpmiddelen gebruiken. Geheime gegevens kunnen onbedoeld in logs, geheugen of externe API-calls terechtkomen. Als een agent transacties “autogoedkeurt”, is de schade extra groot. Daarom is het risico het hoogst bij bots die direct aan een hot wallet zijn gekoppeld.
Op het moment van schrijven is onduidelijk hoeveel geld hierdoor is buitgemaakt. Wel is duidelijk dat veel agent-architecturen vergelijkbare zwakke plekken hebben. Het probleem zit dus minder in één merk of model, en meer in het ontwerp. Dat maakt snelle aanpassingen in ontwikkelpraktijken nodig.
Aanval misbruikt agent-workflows
De aanval combineert prompt-injectie met tool-misbruik. Prompt-injectie is een misleidende opdracht die een model tot ongewenst gedrag verleidt. In agents kan zo’n opdracht leiden tot het aanroepen van plug-ins of API’s die toegang geven tot de wallet. Daarna kan de aanvaller data wegschrijven naar eigen servers.
Veel agents orkestreren tools via frameworks zoals LangChain Agents of Microsoft AutoGen. Ze koppelen aan wallet-interfaces zoals WalletConnect of browserextensies zoals MetaMask. Die bouwstenen zijn op zichzelf niet per se lek. Het risico ontstaat wanneer de agent gevoelige data in de context stopt of transacties zonder extra controle tekent.
Een extra zwak punt is “geheugen” en logging. Als seed phrases of privésleutels ooit in prompts, notities of foutmeldingen belanden, zijn ze niet meer veilig. Ook callback-URL’s en webhooks kunnen misbruikt worden om gegevens stilletjes te exfiltreren.
Een seed phrase is een reeks van 12 of 24 woorden die volledige toegang tot een cryptowallet geeft. Deel deze nooit, ook niet met een bot of model.
Europese regels vergroten druk
De Europese AI-verordening (AI Act) vereist risicobeheer, logging en beveiliging voor AI-systemen. Voor financiële toepassingen en handelssystemen zijn de verwachtingen extra hoog. Overheden die met AI-assets of pilots werken, moeten dit meenemen in hun inkoop en toezicht. Zoekterm: Europese AI-verordening gevolgen overheid.
De Cyber Resilience Act verplicht leveranciers van digitale producten tot beveiliging “by design” en kwetsbaarheidsbeheer. Dit raakt agent-frameworks en wallet-plugins die in de EU worden aangeboden. MiCA stelt aanvullend eisen aan crypto-dienstverleners. Samen dwingen deze regels tot beter sleutelbeheer en incidentrespons.
In Nederland hebben AFM en DNB eerder gewaarschuwd voor crypto-risico’s. Organisaties die AI-agents inzetten voor treasury of experimenten moeten een DPIA uitvoeren onder de AVG. De AVG vereist dataminimalisatie en het vermijden van opslag van gevoelige gegevens, zoals privésleutels, in systemen die daarvoor niet zijn ontworpen.
Acties voor ontwikkelaars nu
Scheid geheimen strikt van het model en de agent-context. Stop nooit een seed phrase of privésleutel in prompts, geheugen of logs. Gebruik hardwarebeveiliging of een dedicated signer, en laat de agent alleen een “intentie” maken. Laat het ondertekenen buiten het model gebeuren met een aparte, streng bewaakte module.
Zet expliciete toestemming en limieten op elke tool-call. Schakel “auto-approve” uit, simuleer transacties eerst en waarschuw bij ongebruikelijke adressen of bedragen. Gebruik allowlists voor bestemmingsadressen en drempels per asset. Log alleen wat strikt nodig is en versleutel alles wat gevoelige metadata kan bevatten.
Beperk prompt-injectie met inputfilters en strikte rolinstructies. Gebruik gescheiden agents met minimale bevoegdheden in plaats van één alleskunner. Controleer afhankelijkheden en plug-ins op supply-chain-risico’s en update snel. Documenteer incidentprocessen en publiceer release-notes over security-fixes.
Veiligheidsstappen voor gebruikers
Gebruik bij voorkeur een hardware wallet zoals Ledger of Trezor voor opslag. Koppel AI-bots alleen aan een aparte wallet met kleine bedragen. Zet lage uitgavenlimieten, schakel “auto-traden” uit en controleer elke transactie handmatig. Trek ongebruikte token-approvals in en monitor adressen op afwijkende activiteiten.
Geef een agent nooit je seed phrase of privésleutel. Deel deze ook niet voor “debuggen” of support. Gebruik waar mogelijk read-only sleutels of API’s zonder schrijfrechten. Overweeg multisig-oplossingen, zoals Safe (voorheen Gnosis Safe), voor bedrijfsfondsen.
Update agent-software en extensies meteen wanneer beveiligingsupdates verschijnen. Controleer changelogs en beveiligingsadviezen van de leverancier. Test nieuwe versies in een sandbox met testnet-tegoeden. Meld verdachte activiteit direct bij de aanbieder en, bij bedrijven, bij het interne CSIRT.
