De beste manier om OpenClaw te draaien in 2026
OpenClaw is een open-source AI-agent die verbinding maakt met uw chat-apps en namens u handelt. Het ging van 9.000 naar meer dan 200.000 GitHub-sterren in een kwestie van weken. Beveiligingsonderzoekers hebben al meer dan 135.000 instanties gevonden die wijd open op het internet staan.
OpenClaw aan de praat krijgen is makkelijk. Het goed laten draaien is een ander verhaal. Deze gids behandelt elke optie, wat elk daadwerkelijk kost en welke afwegingen ertoe doen.
Wat OpenClaw nodig heeft
Voordat u een deploymentmethode kiest, is het handig om te weten waarmee u werkt.
OpenClaw is een Node.js-applicatie die als persistent achtergrondproces draait. Het maakt verbinding met een of meer berichtenkanalen (Telegram, Discord, WhatsApp en andere), routeert berichten door een LLM en voert acties uit via skills en integraties. De kernlus is: bericht ontvangen, nadenken over wat te doen, handelen, het resultaat observeren, herhalen.
Minimale vereisten:
- 2 vCPU, 2 GB RAM voor basisgebruik
- 4 vCPU, 4-8 GB RAM voor productie met browserautomatisering
- Een API-sleutel voor minimaal één LLM-provider (Anthropic, OpenAI, Google, Fireworks of elk OpenAI-compatibel endpoint)
- Persistente opslag voor workspace-gegevens, geheugenbestanden en gespreksgeschiedenis
- Een bot-token voor het berichtenkanaal van uw keuze
RAM is belangrijker dan CPU. Als een OpenClaw-instantie zonder geheugen komt te zitten, degradeert het niet geleidelijk. Het crasht.
Optie 1: Gewoon installeren
De snelste manier om OpenClaw te proberen. De officiële one-liner detecteert uw besturingssysteem, installeert Node indien nodig en start de configuratiewizard. Of als u al Node 22+ heeft:
npm install -g openclaw@latest
openclaw onboard --install-daemon
De wizard begeleidt u door API-sleutels, kanaaltokens en gateway-authenticatie. De --install-daemon vlag installeert een achtergrondservice (launchd op macOS, systemd op Linux) zodat OpenClaw blijft draaien nadat u de terminal sluit.
Zo beginnen de meeste mensen. Geen Docker, geen servers, geen configuratiebestanden. U chat binnen enkele minuten met uw agent.
Het nadeel is hetzelfde als bij alles wat op uw dagelijkse machine draait. Uw agent stopt wanneer uw laptop in slaapstand gaat of herstart. OpenClaw heeft shell-toegang by design, dus het kan alles bereiken wat uw gebruikersaccount kan bereiken. En er is geen netwerkisolatie tussen uw agent en de rest van uw systeem.
Geschikt voor: OpenClaw uitproberen, leren hoe het werkt, korte experimenten.
Niet geschikt voor: Alles wat u wilt laten draaien wanneer u niet actief toekijkt.
Kosten: € 0 (plus LLM API-kosten).
Optie 2: Docker
Docker voegt een isolatielaag toe. OpenClaw draait in een container met zijn eigen bestandssysteem, en u bepaalt precies welke mappen en poorten het kan benaderen. De officiële Docker-image werkt op elke machine met Docker geïnstalleerd.
Dit is beter dan een directe installatie voor beveiliging. De agent kan niet bij uw browserprofielen, SSH-sleutels of systeembestanden tenzij u deze expliciet koppelt. Maar het draait nog steeds op uw machine, dus de uptime hangt af van of uw laptop open blijft en Docker Desktop niet besluit te updaten.
Geschikt voor: Lokale ontwikkeling met betere isolatie, configuraties testen vóór deployment elders.
Niet geschikt voor: Always-on agents. Dezelfde uptimebeperkingen als Optie 1.
Kosten: € 0 (plus LLM API-kosten).
Optie 3: Dedicated hardware
De Mac Mini als always-on OpenClaw-server is een populaire opzet geworden. Apple Silicon verbruikt weinig stroom (minder dan 10W in rust), draait geruisloos en macOS handelt slaap/wake goed af voor headless gebruik. De unified memory-architectuur helpt ook als u lokale modellen via Ollama naast OpenClaw wilt draaien.
Aanbevolen configuraties:
- Mac Mini M2 (8 GB) werkt prima voor cloud-only modellen (Anthropic, OpenAI, Google)
- Mac Mini M4 (16-32 GB) als u lokale modellen (7B-34B parameters) naast OpenClaw wilt draaien
- Een HDMI dummy-plug (€ 8-10) wordt aanbevolen voor headless gebruik. Zonder kan macOS schermopnamerechten en GUI-rendering verstoren.
Dezelfde aanpak werkt met elke compacte pc of thuisserver. De Mac Mini treft simpelweg het optimale punt van energiezuinigheid, stilte en iMessage-integratie dat geen Linux-machine biedt.
De afweging is dat u alle beveiligings- en onderhoudsverantwoordelijkheden behoudt. U patcht het, u bewaakt het, u maakt er back-ups van.
Geschikt voor: Mensen die een dedicated always-on agent willen die ze fysiek controleren, iMessage-integratie, lokale modelinferentie.
Niet geschikt voor: Mensen die geen extra machine willen onderhouden. Ook niet ideaal als u externe toegang nodig heeft van buiten uw thuisnetwerk zonder aanvullende tooling (Tailscale, Cloudflare Tunnel, etc.).
Kosten: € 500-800 eenmalig voor de hardware, plus elektriciteit (~€ 2-5/maand), plus LLM API-kosten.
Optie 4: VPS
Huur een VPS bij DigitalOcean, Hetzner, Contabo of Hostinger. Installeer OpenClaw direct of pull de Docker-image. Configureer uw API-sleutels en kanalen. Stel een systemd-service of Docker restart policy in om het draaiend te houden.
Het werkt. Duizenden mensen draaien OpenClaw op deze manier. Maar het komt met een lijst verantwoordelijkheden die met de tijd groeit.
Wat u zelf moet regelen:
- TLS en reverse proxy. Als u de OpenClaw-webinterface op afstand wilt benaderen, heeft u een domein, een reverse proxy (nginx of Caddy) en SSL-certificaten nodig. Let’s Encrypt is gratis maar vereist correct geconfigureerde automatische vernieuwing. Een verkeerd geconfigureerde proxy is hoe de meeste van die 135.000 blootgestelde instanties zijn ontstaan.
- Authenticatie. OpenClaw wordt geleverd met authenticatie standaard uitgeschakeld. Als u poort 18789 blootstelt zonder authenticatie toe te voegen, kan iedereen bij uw agent, en alles waar het toegang toe heeft.
- Beveiligingspatches. OpenClaw had zes kwetsbaarheden in één enkele disclosure begin februari 2026, waaronder CVE-2026-25253 (remote code execution met één klik, CVSS 8.8). Elke patch betekent de nieuwe image pullen, testen en uw container herstarten. Mis er één en u bent kwetsbaar.
- Monitoring. Geen ingebouwde health checks. Als uw agent om 3 uur ‘s nachts crasht, komt u erachter wanneer u merkt dat het niet meer reageert.
- Back-ups. Geen ingebouwd back-upsysteem. De workspace-directory (
~/.openclaw) bevat het geheugen, de skills en de configuratie van uw agent. Verlies het en uw agent begint van nul. - Kostenbeheer. Dit is wat veel mensen op de harde manier leren. Een verkeerd geconfigureerde agentlus kan honderden API-calls per minuut versturen. Communityleden hebben nachtelijke rekeningen van $200 of meer gemeld door ongecontroleerde lussen. Er zijn geen ingebouwde beveiligingsmaatregelen.
Geschikt voor: Mensen die vertrouwd zijn met Linux-beheer, volledige controle willen en bereid zijn de doorlopende onderhoudstijd te investeren.
Niet geschikt voor: Mensen die gewoon een werkende agent willen zonder het ops-werk.
Kosten: € 5-24/maand voor de VPS, plus € 20-80/maand aan LLM API-kosten, plus uw tijd (geschat 2-8 uur initiële setup, 1-4 uur per maand doorlopend).
Optie 5: Kubernetes
Als u meerdere agents draait, sterke isolatie tussen hen nodig heeft, of echte productie-infrastructuur wilt, is Kubernetes het juiste gereedschap.
Kubernetes geeft u alles wat een VPS niet biedt: automatische herstarts, resourcelimieten, netwerkisolatie, rolling updates, health probes en scheduling. De afweging is complexiteit. Een Kubernetes-cluster vanaf nul opzetten is een aanzienlijke investering, en het beheren ervan is een vaardigheid op zich.
We hebben een Kubernetes-operator open-sourced specifiek voor OpenClaw. Het maakt van één YAML-bestand een volledig beveiligd deployment: StatefulSet, NetworkPolicy, ServiceAccount, PVC, PDB, ConfigMap, health probes, gateway-authenticatie en drift-reconciliatie. Elke agent draait als UID 1000, alle Linux-capabilities verwijderd, seccomp ingeschakeld, read-only root-bestandssysteem, default-deny egress.
Ik heb een volledige deployment-gids geschreven als u deze route wilt volgen.
Geschikt voor: Teams, multi-agent setups, mensen die al een Kubernetes-cluster hebben, en iedereen die sterke beveiligingsgaranties nodig heeft.
Niet geschikt voor: Mensen die niet vertrouwd zijn met Kubernetes. De leercurve is reëel, en het debuggen van een falende pod is moeilijker dan het debuggen van een Docker-container.
Kosten: Afhankelijk van uw cluster. Een minimale k3s-setup op een enkele VPS begint bij ongeveer € 15/maand. Een degelijk multi-node cluster bij een cloudprovider kost € 50-200/maand vóór API-kosten.
Optie 6: Managed hosting
Managed hosting betekent dat iemand anders de infrastructuur, beveiliging, updates, monitoring en uptime afhandelt. U meldt zich aan, verbindt een kanaal, en uw agent is live. Geen servers om te beheren, geen patches om toe te passen, geen crashes om 3 uur ‘s nachts om te debuggen.
Sinds januari 2026 zijn er meerdere managed OpenClaw hosting-diensten gelanceerd, met prijzen variërend van ongeveer € 18 tot € 49/maand.
We hebben OpenClaw.rocks gebouwd omdat we denken dat de beveiligings- en operationele last van self-hosting het grootste obstakel is voor OpenClaw-adoptie. Ik ben hier bevooroordeeld, uiteraard. Maar ik denk ook dat de vergelijking eerlijk moet zijn.
Wat u opgeeft bij managed hosting:
- Volledige root-toegang tot het onderliggende systeem
- De mogelijkheid om willekeurige wijzigingen op systeemniveau door te voeren
- De laagst mogelijke prijs (een VPS van € 5 is goedkoper dan elke managed service)
Wat u krijgt:
- Geen beveiligingspatches. Wanneer een CVE uitkomt, handelt de hostingprovider het af.
- Geen monitoring-setup. Health checks, herstarts en alerting zijn ingebouwd.
- Geen TLS-configuratie. HTTPS werkt direct.
- Geen authenticatieproblemen. Toegangscontrole wordt afgehandeld.
- Updates zonder downtime. Nieuwe OpenClaw-versies worden automatisch uitgerold.
Geschikt voor: Iedereen die een werkende agent wilt zonder het infrastructuurwerk. Ook geschikt voor mensen die self-hosting hebben geprobeerd en het moe werden om te onderhouden.
Niet geschikt voor: Mensen die volledige controle op systeemniveau nodig hebben of het absolute minimum willen uitgeven.
Kosten: € 18-49/maand afhankelijk van de provider, plus LLM API-kosten (tenzij inbegrepen in het abonnement).
De beveiligingsvraag
Dit onderwerp verdient een eigen sectie omdat het de belangrijkste factor is bij de keuze hoe u OpenClaw draait.
OpenClaw is ontworpen om op localhost te draaien. Het beveiligingsmodel ging ervan uit dat u het vanaf dezelfde machine zou benaderen. Toen ging het viraal, en honderdduizenden mensen stelden het bloot aan het internet.
De cijfers zijn ontnuchterend:
- 42.665 blootgestelde instanties gevonden door beveiligingsonderzoekers
- 93,4% had authenticatie-bypass-condities
- Zes kwetsbaarheden in één enkele disclosure, waaronder een kritische RCE
- 1.184 kwaadaardige skills geïdentificeerd in ClawHub (data-exfiltratie, SSH-sleuteldiefstal, crypto-walletversleuteling)
- Overheidswaarschuwingen uit België en China
- Geen bug bounty-programma en geen dedicated beveiligingsteam per februari 2026
Een onbeveiligde OpenClaw-instantie is niet alleen een datalek. Het is een proxy die als u kan handelen: berichten sturen in uw naam, toegang krijgen tot uw accounts, uw geld uitgeven en code uitvoeren op uw server.
Als u zelf host, moet u beveiliging serieus nemen: authenticatie inschakelen, een reverse proxy met TLS opzetten, netwerktoegang beperken, de image up-to-date houden en alle skills van derden auditen vóór installatie. De Adversa AI hardening-gids is een goed startpunt. We schreven een volledige analyse van de OpenClaw-beveiligingscrisis met een praktische checklist en een uitleg waarom statische gateway-tokens niet genoeg zijn.
Als u managed hosting gebruikt, zijn dit andermans problemen. Dat is de kern van de waardepropositie.
Kostenvergelijking
Hier is een realistische uitsplitsing voor het draaien van één always-on OpenClaw-agent:
| Dedicated hardware | Self-hosted (VPS/K8s) | Managed hosting | |
|---|---|---|---|
| Infrastructuur | € 500-800 eenmalig | € 5-200/mnd | € 18-49/mnd |
| LLM API-kosten | € 20-80/mnd | € 20-80/mnd | € 20-80/mnd (of inbegrepen) |
| Domein + TLS | N.v.t. (lokaal) | ~€ 1/mnd | Inbegrepen |
| Opzettijd | 1-3 uur | 2-20 uur | Minuten |
| Doorlopend onderhoud | 1-2 uur/mnd | 1-6 uur/mnd | Geen |
| Beveiligingspatches | Handmatig | Handmatig | Automatisch |
De tijdsinvestering is de verborgen kostenpost. Elk uur dat u besteedt aan het debuggen van een Docker-netwerkprobleem, het vernieuwen van een SSL-certificaat of het toepassen van een beveiligingspatch is een uur dat u aan iets anders had kunnen besteden. Voor sommige mensen is dat sleutelen precies het doel. Voor anderen is het een belasting.
Wat is de juiste keuze voor u?
Er is geen enkele “beste manier.” Het hangt af van wat u belangrijk vindt.
Wilt u OpenClaw gewoon uitproberen? Installeer het op uw machine met de one-liner. Geen kosten, geen verplichtingen. U weet binnen een uur of het nuttig voor u is.
Wilt u een dedicated always-on setup die u fysiek controleert? Een Mac Mini of thuisserver brengt u daar. Voeg Docker toe voor isolatie als u een vangnet wilt tussen OpenClaw en de rest van uw systeem.
Wilt u volledige controle op externe infrastructuur? Host zelf op een VPS. Gebruik onze Kubernetes deployment-gids als u goede isolatie en beveiligingsstandaarden wilt. Lees in elk geval de security hardening-gidsen voordat u iets aan het internet blootstelt.
Wilt u een agent die gewoon werkt, online blijft en veilig blijft? Gebruik managed hosting. OpenClaw.rocks brengt u in minder dan een minuut van nul naar een draaiende agent, met beveiliging geregeld, updates geautomatiseerd en alles draaiend op EU-infrastructuur.
De beste manier om OpenClaw te draaien is de manier die u laat focussen op wat de agent daadwerkelijk voor u doet, in plaats van op hoe het draait.
Klaar om het te proberen? Begin op OpenClaw.rocks of verken de open-source Kubernetes-operator als u liever uw eigen infrastructuur beheert.