Open Design: de agentic artifact factory die laat zien dat design tools voorgoed veranderen

Een tijdje terug zat ik met een UX-directeur van een overheidsorganisatie te praten. Ze hadden net een rebranding gedaan — Rijkshuisstijl, NL Design System, toegankelijkheidsrichtlijnen, het hele pakket. "En nu?" vroeg ik. "Nu moet iedere afdeling het handmatig toepassen. Elke PDF, elke presentatie, elke webpagina." Ze hadden de design tokens, de componentenbibliotheek, de WCAG-checklist. Maar de vertaling van "design system" naar "werkend artifact" was nog steeds een menselijk knelpunt.

Dat is precies de kloof die Open Design dicht. Niet met nóg een ontwerptool, maar met een fundamenteel andere benadering: een agentic artifact factory die ontwerpkennis uitvoerbaar maakt. En met 55.000 GitHub stars, 259 skills, 142 design systems en ondersteuning voor 17 verschillende coding-agent CLI's, is het geen niche-experiment — het is een signaal dat design tools voorgoed aan het veranderen zijn.

Wat Open Design écht is

Open Design is geen Figma-kloon. Het is geen Claude Design met een open-source sticker. Het is een local-first design automation platform dat bestaande coding-agent CLI's op je machine detecteert — Claude Code, Codex, Gemini CLI, OpenCode, Cursor Agent, Qwen, Copilot, OpenClaw, Hermes, Kimi — en die agents aanstuurt met een prompt-stack van drie lagen: een base prompt, een actief design system, en een actieve skill.

Het resultaat is geen chat-antwoord. Het is een renderbaar artifact — HTML, deck, media, prototype — dat live in een sandboxed iframe previewt, met export naar HTML, PDF, PPTX of MP4.

De architectuur is helder opgebouwd in lagen:

• Presentation: een Next.js 16 webapp met React 18, artifact preview, pickers en chat UI
• Local control plane: een Express daemon die agent spawning, project storage, proxy routes en media generation afhandelt
• Optional desktop: een Electron shell met sidecar IPC voor wie een native ervaring wil
• Workflow assets: SKILL.md-gebaseerde ontwerp-, deck-, prototype- en media-workflows
• Brand layer: DESIGN.md systemen met product aesthetics, typografie, palettes
• Persistence: SQLite voor projecten, conversaties, messages, tabs en templates
• Runtime integration: agent adapters voor 17 CLI's, plus een BYOK API fallback voor Anthropic, OpenAI, Azure, Gemini, Ollama Cloud

Wat dit architectonisch interessant maakt: Open Design probeert niet zelf één AI-agent te zijn. Het is een agent runtime en artifact orchestrator. Het is model-agnostisch, BYOK, en geschikt voor lokale én hybride AI-workflows.

De fundamentele verschuiving: van "design tool" naar "artifact operating layer"

Trail of Bits leerde me vorige week dat de grootste securityfirma's van "scanners naar executable governance" bewegen. Open Design laat hetzelfde patroon zien in de designwereld: van "teken het zelf" naar "definieer de regels, laat de agent het uitvoeren."

De prompt stack — BASE_SYSTEM_PROMPT + DESIGN.md + SKILL.md — is architectonisch het meest interessante deel. Je stuurt niet één vrije prompt naar een model. Je combineert herbruikbare instructies, design tokens, layouts en output contracts. Designkwaliteit wordt geen gok, maar een reproduceerbaar proces.

Dat maakt Open Design fundamenteel anders dan zowel Figma (handmatig ontwerpen) als Claude Design (black-box AI-generatie). Het is een derde weg: programmeerbare ontwerp-executie met menselijke controle over de regels.

De claims zijn indrukwekkend: 259+ skills, 142+ design systems. De velocity is hoog — 1.741 commits, 525 branches, 196 open issues, 171 pull requests. Dit is geen hobbyproject dat stilstaat. Dit is een project dat sneller beweegt dan de meeste enterprise-organisaties comfortabel kunnen absorberen.

De olifant in de kamer: security

Open Design is technisch indrukwekkend. Maar het is géén productieplatform voor gereguleerde omgevingen. En dat weten de makers zelf ook — het label "0.8.0-preview" en de snelle iteratie op main zeggen genoeg.

Het fundamentele veiligheidsprobleem zit niet in de iframe-sandbox waar het artifact in rendert. Het zit in de daemon plus agentprocessen plus filesystem plus API keys. Dat is een hoog-risico control plane die op je eigen machine draait.

De zeven belangrijkste dreigingsscenario's:

Prompt injection naar agent. Een onvertrouwde prompt, geïmporteerd project, design system of skill kan de agent aansturen tot file writes, command execution of data leakage. Mitigatie vereist project sandboxing, denylist voor secrets, allowlisted tools en human approval voor mutaties.

API key leakage. BYOK keys in configuratie, proxy of logs kunnen bij een compromis leiden tot provider-misbruik en kostenexplosies. Secret store, redaction, no-log policies en scoped keys zijn geen nice-to-haves.

SSRF. Een custom baseUrl of gegenereerde media asset URL kan interne services bereiken. Open Design heeft hier wél bewustzijn van — in connectionTest.ts zit een DNS-aware companion die publieke hostnames die naar interne infrastructuur resolven blokkeert. Een goed teken, maar het moet door onafhankelijke review gevalideerd worden.

Malicious artifacts. Gegenereerde HTML/JS in de preview kan XSS, data exfiltratie of browser abuse veroorzaken. Strikte iframe sandbox, CSP en geen ambient credentials zijn de minimale baseline.

Malicious skills en design systems. Een SKILL.md of DESIGN.md kan system instructions injecteren en de agent policy omzeilen. Signed skills, provenance en review workflows zijn nodig voor vertrouwen.

Supply-chain compromise. npm, Docker images, Electron dependencies — allemaal potentiële RCE-vectoren op de developer machine. SBOM, lockfile audit, provenance, pinned images en SLSA zijn vereist.

Telemetry en privacy. Zowel de daemon als de webapp bevatten PostHog dependencies. Voor de publieke sector moet je exact vaststellen wat verzonden wordt, of telemetry opt-in is, en hoe consent werkt onder AVG.

Enterprise readiness: de harde cijfers

Open Design is geen productieplatform. Het is een innovation-lab product. En die eerlijkheid is precies wat het bruikbaar maakt:

| Domein | Score | Oordeel | |--------|-------|---------| | Innovatiewaarde | 9/10 | Zeer sterk concept, raakt aan de toekomst van agentic design | | Developer experience | 8/10 | Goede quickstart, Docker, monorepo structuur | | Architectuurhelderheid | 7/10 | Duidelijke lagen, maar de daemon is breed en complex | | Security maturity | 5/10 | Enkele goede controls, maar attack surface is fors | | Governance readiness | 4/10 | Onvoldoende voor gereguleerde productie zonder hardening | | Sovereignty potential | 8/10 | Local-first en BYOK zijn sterke fundamenten | | Operational maturity | 5/10 | Preview/rapid-iteration karakter, grote dependency surface | | Fit voor publieke sector | 5/10 | Geschikt voor lab en controlled pilot, niet voor productie |

Het eindoordeel is helder: geschikt voor R&D, design acceleration, prototyping en agentic workflow-experimenten. Niet als onbeheerde designomgeving met gevoelige data zonder aanvullende controls.

De kans: een Public Sector Open Design Workbench

Voor DjimIT is Open Design vooral interessant als patroon, niet als kant-en-klare oplossing. Het laat zien hoe je een "artifact factory" bouwt rond agentic AI — en dát is direct relevant voor de publieke sector.

De propositie: een Public Sector Open Design Workbench, gebouwd op of geïnspireerd door dit patroon, met:

• NL Design System en Rijkshuisstijl als gecontroleerde design systems — geen vrije prompt, maar governed output
• WCAG 2.2 AA checks geïntegreerd in de artifact pipeline
• Digitoegankelijkheid validatie als verplichte gate voor publicatie
• BIO2/NIS2 security controls op de gehele stack
• Prompt en artifact audit trail voor Woo-verzoeken en verantwoording
• OIDC-login met RBAC per project
• No-cloud / local model mode voor soevereine verwerking
• Signed skills en approved design-system registry — geen onvertrouwde injecties
• Export naar HTML, PDF, Markdown, PowerPoint voor bestuurlijke besluitvorming
• Automatische beleids-, project-, portfolio- en architectuurvisualisaties

Dit is geen generieke AI-design tool. Het is een gecontroleerde, soevereine artifact generator voor overheid, architectuur, beleid en digitale dienstverlening. En het raakt direct aan DjimIT's kernpropositie: "Van Data naar Doen."

De adoptie-roadmap: van lab naar productie

Voor een serieuze pilot zou ik vijf fases doorlopen:

Fase 1, week 1-2: Isolated lab fork. Fork de repo, pin alle dependencies, genereer SBOM, run pnpm audit, Semgrep en CodeQL, en verwijder of disable telemetry totdat de DPIA is afgerond. Draai uitsluitend lokaal of achter VPN.

Fase 2, week 3-4: Security boundary. Containeriseer de daemon, mount alleen de projectdirectory (niet home, niet ~/.ssh, niet ~/.aws), egress allowlist voor modelproviders, secrets via vault of runtime injection — nooit in projectbestanden.

Fase 3, week 5-6: Identity en authorization. OIDC, RBAC per project, audit log voor prompt, agent, tool call, file write, export en publish. Human approval gates voor shell commands, external fetches, plugin installs en publicatie.

Fase 4, week 7-10: Trusted skills registry. Alleen signed skills, review op prompt injection, versioneer skills, onderscheid tussen system skills, org skills en user skills. Policy checks voor SKILL.md en DESIGN.md.

Fase 5, doorlopend: Compliance overlays. AVG DPIA template, AI Act usage classification, BIO2 control mapping, ISO 27001 Annex A mapping, WCAG checks, en export van evidence package per artifact.

Conclusie

Open Design is geen gewone design tool. Het is een vroege, snelle, en technisch interessante vorm van een agentic artifact operating layer — een laag die ontwerpkennis uitvoerbaar maakt via AI-agents die je zelf kiest, op infrastructuur die je zelf beheert.

Het is nog niet klaar voor gereguleerde productie. De attack surface is groot, de governance controls zijn beperkt, en de velocity maakt het lastig om bij te houden. Maar het patroon dat het demonstreert — local-first, BYOK, skill-driven, artifact-first, model-agnostisch — is precies de richting waarin agentic design tools zich ontwikkelen.

De beste route is niet blind adopteren. Het is het patroon gebruiken als basis voor een soevereine, gecontroleerde, auditbare "AI Artifact Factory" die wél voldoet aan de eisen van de Nederlandse publieke sector. Want de UX-directeur van die overheidsorganisatie verdient een antwoord op haar vraag. En "laat iedere afdeling het maar handmatig doen" is het niet.

---

Dit artikel is gebaseerd op analyse van de nexu-io/open-design repository (v0.8.1, 55.400 stars, mei 2026). De architectuuranalyse, het dreigingsmodel, de enterprise readiness score en de adoptie-roadmap zijn gebaseerd op de technische documentatie en broncode zoals publiek beschikbaar.