← Terug naar blog

Zero-Trust Agent-architectuur: Waarom Sandboxes Niet Genoeg Zijn

Julian Brooks

Door Julian Brooks

MyClaw-redactie

MyClaw

Start OpenClaw nu

Zie hoe hosting, automatisering, betalingen, support en OpenClaw-beheer samenkomen in één beheerde productervaring.

Kevin Lin omschreef OpenClaw onlangs als het "Universele Besturingssysteem voor Agents" — de Linux van het agent-tijdperk. Hij heeft gelijk. Maar dit is wat Linux ons 30 jaar geleden leerde: een universeel besturingssysteem zonder universele beveiligingsarchitectuur is een universeel aanvalsoppervlak.

De afgelopen maand hebben we die les in real time zien uitspelen.

De sandbox-illusie

Claude Code CVE-2026-39861 (CVSS 9.8): Een symlink-exploit brak uit de sandbox. Anthropics oplossing? "Gebruikers moeten niet op bevestigen klikken." De beveiligingsonderzoeker die het reproduceerde noemde het patroon "overal aanwezig in gesloten agents."

Cursor Agent verwijderde een productiedatabase in 10 seconden. Geen prompt. Geen bevestiging. Geen rollback. PocketOS verloor alle gebruikersgegevens.

MCP-protocol — alle 5 aanvalscategorieën succesvol. Een beveiligingswhitepaper bewees dat het vertrouwensmodel dat agents met externe tools verbindt fundamenteel gebroken is. Een aparte scan classificeerde 22% van de MCP-servers als kwaadaardig.

Dit zijn geen bugs. Het zijn architecturale fouten. De "sandboxen" waarin deze agents draaien waren nooit ontworpen voor programma's die autonoom je inloggegevens beheren, beslissingen nemen en commando's uitvoeren.

Waarom firewalls alleen het probleem niet oplossen

Deno heeft zojuist Claw Patrol uitgebracht — een firewall op protocolniveau voor AI-agents. Runtime (YC P26) lanceerde gesandboxte agentomgevingen. Het zijn stappen in de goede richting, maar ze lossen slechts één laag op:

  • Een firewall blokkeert ongeautoriseerde netwerkoproepen. Het voorkomt niet dat een agent rm -rf uitvoert op lokale data.
  • Een sandbox isoleert processen. Het draait schade niet terug als de agent ontsnapt.
  • Geen van beide voorkomt het lekken van inloggegevens wanneer je agent infrastructuur deelt met agents van andere gebruikers.

Verdediging op één laag veronderstelt dat die laag niet faalt. De geschiedenis leert dat het wél zal falen.

Drie lagen: hoe Zero-Trust Agent-architectuur in de praktijk werkt

Bij MyClaw draait elke agent onder één aanname: het zal falen. De architectuur moet de explosieradius beperken.

Laag 1: Volledige serverisolatie

De agent van elke gebruiker krijgt een eigen serverinstantie. Geen container. Geen namespace. Een volledig geïsoleerde omgeving waar:

  • Je inloggegevens alleen op jouw machine bestaan — niet in een gedeelde cloud
  • Een beveiligingsincident bij één gebruiker niet overslaat naar anderen
  • De agent geen toegang heeft tot systemen buiten zijn grens

Dit is geen verdediging in de diepte. Dit is verdediging door ontwerp — er is geen gedeeld aanvalsoppervlak om te compromitteren.

Laag 2: Netwerkinperking + Guardian

Guardian zit tussen je agent en elke actie die het onderneemt:

  • Real-time onderschepping van destructieve commando's vóór uitvoering
  • Filtering op protocolniveau (HTTP, database, SSH) — vergelijkbaar met Deno's Claw Patrol, maar ingebouwd in de hostinglaag
  • Detectie van gedragsanomalieën: als je agent plotseling probeert toegang te krijgen tot 50 bestanden die het nooit eerder heeft aangeraakt, markeert Guardian het

Het cruciale verschil met "klik niet op bevestigen": Guardian vertrouwt er niet op dat jij de juiste beslissing neemt op het juiste moment. Het is geautomatiseerd, altijd actief en werkt op machinesnelheid.

Laag 3: Instant snapshot-rollback

Wanneer (niet als) er iets misgaat:

  • Automatische snapshots vóór riskante operaties
  • Rollback met één klik naar elke vorige staat
  • Volledige audittrail van elke actie

Cursor Agent verwijderde een database in 10 seconden. Met snapshot-rollback duurt herstel ook 10 seconden.

Waarom dit nu belangrijk is

De markt staat op een keerpunt:

  • Google heeft de categorie zojuist gevalideerd met Project Remy — een 24/7 persoonlijke agent voor 3 miljard gebruikers. Maar TechCrunch wijst op hun "merkverwarring en fragmentatie" — vier verschillende agentproducten, vier verschillende ingangen.
  • Anthropic draaide het OpenClaw-verbod terug maar koppelde er vereisten voor datadeling en telemetrie aan. Daarna schrapte het de Stainless SDK. Het patroon: "open de deur, installeer daarna camera's."
  • Runtime en Cursor bouwen enterprise agent-sandboxen. Geweldig voor ontwikkelteams. Niet voor de rest.

Het universele besturingssysteem voor agents bestaat. Wat ontbrak was een universele beveiligingsarchitectuur die op elke laag rekening houdt met falen.

Wij hebben die gebouwd.

MyClaw geeft je de volledige kracht van OpenClaw — het Universele Agent-Besturingssysteem — met een Zero-Trust-architectuur die ervan uitgaat dat je agent zal falen en de explosieradius beperkt wanneer het gebeurt.

  • 1,5 miljoen maandelijkse bezoekers
  • $30 miljoen jaarlijkse omzet
  • Nul incidenten met gelekte inloggegevens
  • Nul infrastructuur-CVE's

Jouw agent. Jouw server. Je gegevens verlaten nooit het systeem.

Aan de slag →

Leo Ye is de oprichter en CEO van MyClaw.ai, het grootste beheerde AI-agentplatform ter wereld.

Sla de installatie over. Start OpenClaw nu.

MyClaw biedt u een volledig beheerde OpenClaw (Clawdbot) instantie — altijd online, zonder DevOps. Abonnementen vanaf $19/maand.

Zero-Trust Agent-architectuur: Waarom Sandboxes Niet Genoeg Zijn | MyClaw.ai