27.000 developers gaven een AI-agent de sleutels van hun hele machine. En jij?

Ik zag de GitHub-stats en mijn koffie werd koud. 27.200 sterren. 2.600 forks. 5.400 commits. De populairste AI-agent desktop-app ter wereld heet AionUi, en hij heeft een YOLO-modus die élke actie van je agent automatisch goedkeurt.

Niet "vraag eerst even." Niet "bevestig met een klik." Gewoon: YOLO. Auto-approve. Doorgaan.

Combineer dat met Telegram remote access, een cron scheduler, volledige file read/write, 20 auto-detected agents, MCP tools, en een Dockerfile die poort 3000 naar buiten gooit, en je hebt niet een handige tool, maar een architecturale vertrouwenscrisis met een mooie UI.

Wat AionUi is, en wat het níet is

AionUi noemt zichzelf een "Cowork app", een werkplek waar jij en AI-agents naast elkaar werken. Het is géén coding agent, géén model-API, géén chat-client. Het is een agent orkestratie-cockpit die bovenop al je bestaande CLI-agents draait: Claude Code, Codex, Hermes Agent, OpenClaw, Gemini CLI, OpenCode en 15+ anderen.

De README legt het haarscherp uit in een tabel die ik waardeer om z'n eerlijkheid:

Traditionele AI-chatclients kunnen niet of nauwelijks aan je bestanden komen. AionUi zegt: ja, built-in agent met volledige file access. Traditionele tools kunnen geen multi-step autonome taken uitvoeren. AionUi zegt: ja, autonoom met jouw goedkeuring. Scheduled automation? Cron, 24/7 unattended. Remote access vanaf je telefoon? WebUI + Telegram + Lark + DingTalk + WeChat.

De architectuur is een Electron monorepo (desktop, web-cli, web-host, shared-scripts) op Vite + React + Bun. De package.json bevestigt het plaatje: Agent Client Protocol SDK, Anthropic SDK, AWS Bedrock, Google GenAI, MCP SDK, Office/Aion CLI core, Sentry Electron, bcryptjs, jsonwebtoken, better-sqlite3, croner, cookie/cookie-parser, CORS en Electron updater.

Met andere woorden: alles wat je nodig hebt om een agent volledige controle over je machine te geven, plus remote access, plus scheduled execution, plus Office-documentgeneratie. In één binary.

De stack die indruk maakt, en zorgen baart

AionUi heeft vier lagen die het onderscheidend maken:

Agent cockpit. Claude Code, Codex, OpenClaw, Hermes, Gemini CLI, OpenCode, auto-detected, unified interface. Geen losse terminals meer. MCP-beheer centraal: configureer één keer, sync naar alle agents.

Office automation. AionUi integreert OfficeCLI en produceert bewerkbare PPTX, DOCX, XLSX, XLSM en CSV. Niet "hier is een idee voor een presentatie", hier is het bestand. PPT Morph met slide-overgangen. Word-documenten met opmaak. Excel met formules en charts.

Multi-agent Team Mode. Een Leader-agent deelt werk op, delegeert via een Team MCP Server naar Teammates. Die werken parallel, delen resultaten via async mailbox, schrijven naar een shared task board. Het ACP (Agent Communication Protocol) is AionUi's eigen multi-agent coördinatielaag.

Cron + remote kanalen. Scheduled tasks in natural language, vertaald naar cron. Telegram-bot voor remote control vanaf je telefoon. Lark, DingTalk, WeChat, WeCom, enterprise chatkanalen waarvan de meeste CISOs niet eens wéten dat hun developers ze gebruiken.

Deze vier lagen samen maken AionUi tot de meest capabele agent desktop-app die ik ken. En precies dát is het probleem.

Waar het misgaat

Ik ga nu vijf risico's benoemen die geen theoretische edge cases zijn. Dit is wat er gebeurt als je AionUi installeert zoals de README aanraadt.

1. YOLO-modus. De README zegt letterlijk: "auto-approve all agent actions without manual confirmation." Eén klik, en je agent vraagt nooit meer toestemming. File delete? Goedgekeurd. Shell command met rm -rf? Goedgekeurd. API key in een environment variable dumpen? Goedgekeurd. Dit is geen convenience feature, dit is "ik vertrouw een niet-deterministisch taalmodel met root access op mijn machine." Voor power users die weten wat ze doen: oké, in een disposable VM. Voor de 27.200 mensen die het installeren omdat een YouTuber zei dat het "insane" was: dit is een ongeluk dat wacht om te gebeuren.

2. Telegram remote access. Je kunt je agent bedienen vanaf je telefoon via een Telegram bot. Setup: "AionUi Settings → WebUI Settings → Channel, configure the Bot Token." Dat is een bot token, in een Electron-app, met file access op je hele machine, en jij zit in de trein te chatten met je agent. Telegram bot tokens lekken, dat is geen hypothese, dat gebeurt. Als die token lekt, heeft een aanvaller remote shell op jouw machine via jouw eigen agent. En jij hebt YOLO aan. En het is 03:00. En de cron job draait nog.

3. Cron scheduler op volledige filesysteem. "Set it up once, the AI agent runs automatically on schedule, truly 24/7 unattended operation." Dus je agent draait 's nachts taken met volledige file access. Wat gebeurt er als een taak om 03:00 faalt, een hallucinatie produceert, en je projectdirectory overschrijft? Niemand die ernaar kijkt. Met YOLO aan: geen approval gate. Met remote access uit: geen notificatie.

4. 20 agents, 20 permission-modellen. AionUi scant je systeem en detecteert automatisch welke CLI agents je hebt geïnstalleerd. Elk van die agents heeft z'n eigen permission model en security posture. De zwakste agent in je set bepaalt de security van je hele setup. En AionUi's MCP unified management abstraheert dat weg achter één interface.

5. Geen threat model. 27.2K stars, 5.459 commits, en geen SECURITY.md. Geen responsible disclosure policy. Geen dreigingsmodel. Voor een tool die file-access, Telegram bots, cron, en auto-approve combineert, is dit meer dan een gemis. Het is een signaal dat security niet op de roadmap staat.

De trust boundary die niemand in kaart heeft gebracht

Traditioneel is je trust boundary: jij → CLI agent → tools → bestanden. Met AionUi wordt dat: jij → Electron-app → 20 agents → MCP laag → tools → bestanden. En via Telegram: jij → Telegram servers → bot token → AionUi → agents → bestanden.

Elke extra laag is een potentiële compromis-vector. De Telegram-laag introduceert een derde partij, Telegram/Meta, die geen contractuele relatie heeft met jouw data.

De claim "all data is stored locally in SQLite, nothing is uploaded to any server" is positief. Maar zodra je cloudmodellen, web search, Telegram, Bedrock, OpenAI, Anthropic of Gemini gebruikt, is dat "niets verlaat je machine" niet langer waar. Prompt, context, en gegenereerde output gaan naar externe API's. Dat moet je modelleren als datastroom, niet wegwuiven met "lokale SQLite."

De enterprise readiness: niet bestaand

Ik ga hier hard in zijn omdat het nodig is:

Dimensie	Score	Oordeel
Gebruikerservaring	9/10	Install & go. Unified interface. 21 assistants. Indrukwekkend.
Community	9/10	27.2K stars. Actieve Discord/WeChat. 456 issues, 117 PRs.
Volwassenheid	7/10	Snel bewegend, 5.459 commits, release v2.1.7. Maar consument-gericht.
Security-by-default	4,5/10	Machtig, maar permissief en complex. YOLO-modus zegt genoeg.
Governance-ready	4/10	Geen RBAC, geen audit logging, geen least privilege, geen data classificatie.
Productiegeschikt (enterprise)	5/10	Alleen na hardening en containment.
Demo/prototype-waarde	9/10	Uitstekend, zolang je dummy data en disposable VMs gebruikt.

Kort: prima voor lab, demo en gecontroleerde pilots. Niet voor onbeheerde productie in publieke sector of gereguleerde omgevingen.

Drie hardening-profielen

Als je AionUi toch wilt gebruiken, en ik begrijp waarom je dat zou willen, dan zijn dit de profielen waar ik mee werk:

Profiel 1: Lab Mode. Doel: experimenteren. Lokale testdata, geen klantdata, geen productie-secrets. YOLO alleen binnen disposable folders. WebUI alleen LAN/VPN. Logging aan. Modelrouting via Ollama/LM Studio en eventueel cloud-API's met lage privileges.

Profiel 2: Consultant Mode. Doel: klantdeliverables produceren. Geen YOLO. Alleen projectfolder. Inputdata eerst classificeren. Cloudmodel alleen met expliciete dataclassificatie. Output altijd reviewen. OfficeCLI-output is concept, geen finale waarheid. MCP's alleen allowlisted.

Profiel 3: Regulated Pilot Mode. Doel: overheid/enterprise demonstratie. OIDC voor WebUI, mTLS of VPN, geen publieke exposure, geen Telegram/WeChat, secrets in vault, SBOM, SCA, container scan, egress filtering, audit export, human approval gates, DPIA, AI Act/GDPR/NIS2 mapping.

De commerciële kans

De kans zit niet in "AionUi installeren." Die dienst is te klein. De kans zit in een Secure Agentic Workbench Blueprint.

Mijn propositie: "Wij helpen organisaties een veilige, auditeerbare agentic workbench in te richten voor softwareontwikkeling, documentproductie en kenniswerk, met lokale en cloudmodellen, governance, Zero Trust, evidence trails en concrete deliverables."

Daarin is AionUi één van de referentiecomponenten, naast Claude Code, Codex, OpenCode, OpenClaw, MCP gateways, local LLMs, GitOps, policy-as-code en secure SDLC.

Vijf concrete pakketten:

• Agentic Workbench Quickscan, risicoanalyse, toolmapping, dataclassificatie, roadmap
• Secure AionUi Lab, werkende labopstelling met sandbox, local models, MCP allowlist
• Agentic SDLC Pilot, repo-analyse, code review, testgeneratie, PR evidence
• AI Office Automation Pilot, Word/PPT/Excel workflows met review gates
• Public Sector Agent Governance, DPIA, AI Act mapping, NIS2/BIO2 controls, auditmodel

Mijn advies

Gebruik AionUi als experimentele cockpit voor agentic-AI werk. Het sluit goed aan op je bestaande stack met OpenClaw, Hermes Agent, Claude Code, OpenCode, MCP, Office automation, en local LLMs.

Maar behandel het als een krachtige operator-console, niet als een vertrouwde enterprise-control-plane. De combinatie van file access, MCP, remote WebUI, scheduled tasks, multi-agent execution en YOLO-modus vereist harde governance. Zonder containment is dit exact het type tool dat van productiviteitsversneller naar datalek-, supply-chain- of sabotagevector kan kantelen.

Bouw een AionUi Secure Lab Blueprint. Maak een referentie-installatie met sandboxing, modelrouting, MCP allowlisting, auditlog, Office-output review gates en een demo-flow: van repo naar risicoanalyse, code review, Word-rapport, Excel-register en PowerPoint-besluitnotitie. Dat is "Van Data naar Doen", concreter dan generieke AI-governance.

En zet alsjeblieft YOLO uit.

---

Dit artikel is onderdeel van DjimIT's doorlopende analyse van agentic tooling en security. Lees ook: wat AI-agents in 2026 kunnen, de agentic dreiging, en waarom je geen idee hebt hoe goed je AI-developer is.