Afgelopen dinsdag stond Jensen Huang op het podium van de Morgan Stanley TMT Conference en zei iets opmerkelijks.

“OpenClaw is waarschijnlijk de belangrijkste software-release ooit. Als je kijkt naar de adoptie ervan, Linux had zo’n 30 jaar nodig om dit niveau te bereiken. OpenClaw heeft Linux in drie weken al overtroffen.”

Hij noemde de adoptiecurve “recht omhoog” en “verticaal,” zelfs op een logaritmische schaal. Hij beschreef agents die handleidingen van tools on-the-fly lezen, autonoom onderzoek doen, code itereren zonder menselijk toezicht en continu op de achtergrond draaien. Hij schetste een wereld waarin elk softwarebedrijf een “agentisch bedrijf” wordt.

Hij heeft nergens ongelijk in.

Maar tussen de staande ovatie en een werkende agent gaapt een kloof waar niemand op het podium over sprak. Tienduizenden mensen zijn er al ingevallen.

Wat Jensen zei

De these van Huang is eenvoudig en gunstig voor NVIDIA. Standaard AI-prompts produceren één antwoord. Agentische taken gebruiken ruwweg 1.000 keer zoveel tokens. Persistente achtergrondagents, het type dat OpenClaw mogelijk maakt, gebruiken ruwweg 1.000.000 keer zoveel tokens. Dat is een structureel “rekenvacuüm” dat betekent dat de GPU-vraag het aanbod jarenlang zal overtreffen.

Hij heeft gelijk. OpenClaw-agents zijn geen eenmalige chatbots. Ze lopen in lussen. Ze observeren, redeneren, handelen, observeren opnieuw. Eén gebruikersprompt kan honderden LLM-aanroepen triggeren. Vermenigvuldig dat met miljoenen agents die 24/7 draaien en u krijgt het type rekenvraag dat een NVIDIA-CEO zeer gelukkig maakt.

Hij onderbouwde ook de adoptiecijfers. OpenClaw bereikte 250.000 GitHub-sterren in vier maanden en haalde React in als het meest bestearde softwareproject op GitHub. Het bereikte 190.000 sterren in de eerste 14 dagen, de snelst groeiende repository in de geschiedenis van het platform.

Die cijfers zijn reëel. De vraag is reëel. De technologie werkt.

Maar adoptiesnelheid en productierijpheid zijn niet hetzelfde.

Het deel dat niemand noemde

Beveiligingsonderzoekers volgen de gevolgen. Bitsight publiceerde een rapport over blootgestelde OpenClaw-instances dat tienduizenden documenteert die open op het publieke internet staan, de meeste met zwakke of ontbrekende authenticatie. Iedereen kon toegang krijgen tot de agent, de gekoppelde accounts, de API-sleutels en volledige shell-toegang.

Dat is geen handjevol verkeerd geconfigureerde servers. Dat is een systemisch patroon.

In dezelfde week catalogiseerden onderzoekers meer dan 800 kwaadaardige skills op ClawHub, de officiële skillmarktplaats. Dat was op dat moment ruwweg 20% van het hele register. Sommige van die skills exfiltreerden API-sleutels. Andere vestigden reverse shells. Minstens één injecteerde zichzelf in de systeemprompt van de agent om na herstarten actief te blijven.

En begin februari onthulden onderzoekers zes nieuwe kwetsbaarheden in rap tempo, waaronder CVE-2026-25253: een kwetsbaarheid voor externe code-uitvoering met één klik, met een CVSS-score van 8.8. Als uw agent op een speciaal gemaakte link in een bericht klikte, had een aanvaller shell-toegang tot uw server.

Niets hiervan kwam ter sprake op de Morgan Stanley-conferentie. Dat hoefde ook niet. Huang was er om te praten over rekenvraag, niet over operationele beveiliging. Maar de mensen die na die presentatie enthousiast genoeg waren om hun eerste agent te deployen, hadden het moeten horen.

Waarom dit blijft gebeuren

Het patroon is voorspelbaar. OpenClaw is ontworpen om eenvoudig te installeren. Volg de quickstart, voer uw API-sleutel en een kanaaltoken in, en u heeft binnen enkele minuten een werkende agent. Het probleem is dat “werkend” en “veilig” een ander niveau van inspanning vereisen.

OpenClaw wordt geleverd met zwakke authenticatiestandaarden. Dat is een ontwerpkeuze die de eerste gebruikservaring optimaliseert ten koste van beveiliging. Wanneer iemand de quickstart op een VPS volgt, krijgt diegene een werkende agent met een open webinterface, een open API en shell-toegang tot de host. Niets in de standaardflow vertelt dat authenticatie moet worden ingeschakeld, TLS geconfigureerd of netwerktoegang beperkt.

Voeg browserautomatisering toe en het aanvalsoppervlak groeit. Chromium heeft gedeeld geheugen nodig, sandboxconfiguratie en voldoende RAM om OOM-kills te voorkomen. De meeste VPS-handleidingen slaan deze details over. Het resultaat: agents die stilletjes crashen, in een gedegradeerde staat herstarten en verweesde processen ophopen.

Dan zijn er de doorlopende verantwoordelijkheden. Bijwerken wanneer er CVE’s verschijnen. Het monitoren van ontspoorde API-lussen die in één nacht honderden euro’s verbranden. Back-ups maken van de werkdirectory die het geheugen en de configuratie van uw agent bevat. Skills controleren voordat u ze installeert.

Jensen Huang beschreef een wereld waarin agents “de handleiding van het gereedschap lezen” en zelfstandig dingen uitzoeken. Dat klopt voor de agent. Het klopt niet voor de persoon die verantwoordelijk is voor het draaiend, gepatcht en veilig houden van die agent.

Het rekenvacuüm is reëel, maar het operationele vacuüm ook

Huangs framing van het “rekenvacuüm” is nuttig. Hier is het gevolg dat hij niet noemde: er is ook een operationeel vacuüm.

Elk van die miljoenen agents heeft infrastructuur nodig. Niet alleen een server, maar TLS-terminatie, authenticatie, netwerkisolatie, geautomatiseerde updates, gezondheidsmonitoring, kostenbeheersing en back-upsystemen. Dat is een voltijdse baan voor één agent. Voor een organisatie die er vijf of tien draait, is het een heel team.

De ironie is dat de mensen die na Jensens speech het meest enthousiast zijn over OpenClaw, het minst waarschijnlijk over die infrastructuur beschikken. Ze hoorden “belangrijkste software ooit” en gingen rechtstreeks naar de VPS-quickstart-handleiding. Sommigen van hen maken nu deel uit van dat getal van blootgestelde instances.

Wat wij in plaats daarvan hebben gebouwd

Wij draaien OpenClaw-agents als ons vak. Elke agent die via OpenClaw.rocks wordt gedeployd, draait op onze Kubernetes-infrastructuur met de open-source operator die wij speciaal hiervoor hebben gebouwd.

Elke agent krijgt:

  • Authenticatie standaard ingeschakeld. Gateway-authenticatie met ondertekende cookies, nul blootgestelde poorten. Er is geen optie “authenticatie uitschakelen” omdat die er niet zou moeten zijn.
  • Netwerkisolatie. Elke agent draait in zijn eigen namespace met default-deny egress. Geen laterale beweging, geen toegang tot andere tenants.
  • Geautomatiseerde beveiligingspatches. Wanneer er een CVE verschijnt, rollen wij de update uit over alle agents. U hoeft geen nieuwe image te pullen, te testen, uw container te herstarten en te hopen dat er niets kapotgaat.
  • Resourcelimieten en kostenbeheersing. Gegarandeerde QoS met CPU- en geheugenlimieten. Geen ontspoorde lussen die om 3 uur ‘s nachts uw API-budget leegzuigen.
  • Gezondheidsmonitoring. Liveness- en readiness-probes. Als een agent crasht, herstart deze automatisch. U komt erachter via een statuspagina, niet via stilte.
  • Browserautomatisering die werkt. Chromium draait als een dedicated sidecar met eigen resourcetoewijzing, juist gedeeld geheugen en lifecycle-management. Geen OOM-kills, geen verweesde processen, geen snap-conflicten.

Jensen Huang heeft gelijk dat OpenClaw transformatieve software is. Hij heeft gelijk dat elk bedrijf AI-agents zal willen. Hij heeft gelijk dat de vraag naar rekenkracht enorm zal zijn.

Maar rekenkracht is het makkelijke deel. NVIDIA zal de GPU’s verkopen. Het moeilijke deel is alles tussen de GPU en een werkende, veilige, betrouwbare agent die uw API-sleutels niet lekt naar het internet.

Dat is het deel dat wij verzorgen.

Neem de uwe

Als Jensen Huang u heeft overtuigd dat u een OpenClaw-agent nodig heeft, had hij gelijk. Als u op het punt staat een VPS van $5 op te starten om er een te draaien, stop.

Neem een beheerde agent die standaard veilig is, automatisch wordt bijgewerkt en draait op infrastructuur die speciaal hiervoor is gebouwd. Uw agent zou handleidingen moeten lezen en werk voor u moeten doen, niet op een open poort moeten zitten wachten tot iemand hem vindt.