Toen ClawHub werd gelanceerd, leek het de voor de hand liggende manier om een AI-agent runtime uit te breiden. Een marketplace van skills: installeer wat je nodig hebt, sla over wat je niet nodig hebt, draag je eigen bij. Het model werkte voor browserextensies, voor VS Code-plugins, voor npm-pakketten. Waarom niet voor AI-agents?
Begin 2026 was het antwoord duidelijk. Beveiligingsonderzoekers ontdekten dat 41,7% van de gepubliceerde ClawHub-skills kwetsbaarheden bevatten. Honderden waren ronduit kwaadaardig. Het plugin-model heeft een fundamenteel probleem wanneer het wordt toegepast op software die draait met verhoogde rechten op je machine.
ZeroClaw is ontworpen met dit faalscenario in gedachten. In plaats van een plugin-systeem gebruikt het Rust-traits.
Wat er mis is met runtime plugin-systemen
Het kernprobleem met traditionele plugin-systemen is niet de implementatiekwaliteit, het is het model zelf. Wanneer je een plugin installeert, download je code van het internet en voer je die uit binnen het proces van je applicatie, met de rechten van je applicatie. De plugin kan je bestanden lezen, je netwerk benaderen, je omgevingsvariabelen lezen en alles doen wat je applicatie kan doen.
Dit is prima voor een teksteditor-plugin die syntax highlighting toevoegt. Het is niet prima voor een AI-agent runtime die toegang heeft tot je credentials, je bestandssysteem en je chatkanalen.
OpenClaw ClawHub demonstreerde elk van deze faalscenarios in 2026. De kwaadaardige skills waren niet geavanceerd: het waren gewoon pakketten die toevallig werden geïnstalleerd door gebruikers die de marketplace vertrouwden.
Traits: Een Ander Model
Een Rust-trait is een interface-contract dat door de compiler wordt afgedwongen. Het definieert welke methoden een implementatie moet bieden, welke typen die methoden accepteren en retourneren, en welke thread-safety garanties ze moeten naleven.
Elk kanaal, Telegram, Discord, WhatsApp, Signal, Matrix, IRC, implementeert dit trait. De compiler garandeert type-veiligheid, thread-veiligheid en volledigheid.
Kritisch: nieuwe kanalen worden gecompileerd in de binary, niet geladen tijdens runtime. Er is geen code-injectie, geen dynamisch laden, geen vertrouwensbeslissing om te nemen bij installatie. De extensie wordt geverifieerd door de compiler voordat deze ooit wordt uitgevoerd.
Een Nieuw Kanaal Toevoegen
De praktische ervaring van het uitbreiden van ZeroClaw is het implementeren van het trait. Een Matrix-kanaaladapter is ongeveer 50 regels code. De compiler verifieert dat de implementatie correct is voordat de code wordt verzonden. Als je een methode vergeet te implementeren, of het verkeerde type retourneert, of een thread-safety beperking schendt, krijg je een compilatiefout, geen runtime-crash in productie.
Hetzelfde Patroon voor Elk Uitbreidingspunt
ZeroClaw gebruikt traits voor elk punt waar het systeem uitbreidbaar moet zijn. AI-providers implementeren een Provider-trait. Overschakelen van OpenAI naar Anthropic naar Ollama is het implementeren van hetzelfde trait met verschillende HTTP-aanroepen.
Tools implementeren een Tool-trait die vereist dat rechten van tevoren worden gedeclareerd. Elke tool declareert wat het nodig heeft, bestandstoegang, netwerktoegang, specifieke paden, voordat het wordt uitgevoerd. Een tool die beweert leestoegang nodig te hebben tot ~/documents kan niet stilletjes ~/.ssh benaderen.
De Beveiligingsvergelijking
| Aspect | Plugin-systeem | Trait-systeem | |--------|--------------|-------------| | Code-oorsprong | Gedownload tijdens runtime | Gecompileerd bij build time | | Verificatie | Vertrouwensgebaseerd | Compiler-geverifieerd | | Rechten | Runtime, vaak niet gecontroleerd | Gedeclareerd in typen, afgedwongen | | Supply chain | Kwetsbaar | Geen externe code-loading | | Type-veiligheid | Runtime-fouten | Compilatietijdfouten |
De sleutelinzicht is eenvoudig: je kunt geen supply chain-aanval hebben als je geen supply chain hebt. De extensies van ZeroClaw zijn gecompileerd, niet gedownload. Er is geen marketplace om te compromitteren, geen pakketten om te typosquatten.