OpenClaw mette a rischio la sicurezza dei sistemi locali, e diventa un problema di sicurezza per decine di migliaia di persone in tutto il mondo. Questo agente AI è diventato virale per la sua capacità di eseguire operazioni concrete sui dispositivi, ma la sua architettura aperta ha attirato immediatamente l'attenzione dei cybercriminali; questi ultimi hanno trovato gioco facile grazie a un software ricco di vulnerabilità.
Il software, sviluppato da Peter Steinberger, permette di controllare applicazioni e file tramite chat come Telegram o WhatsApp, agendo con permessi amministrativi che superano i chatbot tradizionali. Lo si installa su un computer, e lui è in grado di fare molte azioni in autonomia; diventa un assistente digitale fantastico, se non si considerano i problemi di sicurezza.
Si parla di agente perché siamo nel pieno del passaggio dall'IA conversazionale a quella agentica. E si parla di “agenti” perché sono software dotati di agency: non si limitano a rispondere, ma agiscono, gestendo email, prenotazioni e flussi di lavoro complessi. Tuttavia, delegare il controllo totale del sistema operativo a un software open-source ancora acerbo crea una superficie di attacco senza precedenti, dove la comodità dell'automazione collide con la fragilità della data governance aziendale (ma anche per i privati è un tema serissimo).
La genesi di OpenClaw è strettamente legata a Moltbot, precedentemente noto come Clawdbot. Questa evoluzione non è solo nominale ma funzionale, inserendosi in un ecosistema che comprende anche Moltbook, il social network solo per agenti AI, dove le macchine interagiscono tra loro senza supervisione umana. Proprio su Moltbook sono stati osservati agenti che discutono di ottimizzazione energetica e, in alcuni casi, di protocolli crittografici per comunicare in modo più efficiente, spesso escludendo la comprensione dei creatori umani. Hanno persino fondato una religione, pare.
Tuttavia lo stesso Moltbook ha scarsi controlli all’accesso ed è molto probabile che qualche essere umano, o molti, siano entrati a fare “cerchi nel grano”, se mi consentite il parallelismo.
OpenClaw e le skills pericolose
Tornando a OpenClaw Il problema principale risiede nelle cosiddette skills, moduli di terze parti che estendono le capacità dell'agente. Ricercatori di Bitdefender e SOC Prime hanno rilevato che circa il 17% di queste estensioni presenta comportamenti malevoli. Molte di esse, spacciate per strumenti di trading crypto o utilità di sistema, contengono payload progettati per scaricare Atomic Stealer (AMOS); questo malware è in grado di esfiltrare chiavi private, dati del browser e credenziali memorizzate in chiaro.
Le tecniche di attacco sfruttano il prompt injection, manipolando l'agente tramite messaggi costruiti ad arte che ne deviano il comportamento originale. In ambito aziendale, questo scenario è particolarmente allarmante: secondo Palo Alto Networks, gli agenti AI sono la nuova minaccia interna per le aziende nel 2026, poiché agiscono come superuser con privilegi spesso troppo estesi. Una singola istruzione malevole può innescare l'esecuzione di script shell non autorizzati, compromettendo l'intera rete.
Architettura autonoma e rischi di esecuzione remota
Un punto di rottura critico è rappresentato dalla vulnerabilità CVE-2026-25253. Questa falla permette l'esecuzione di codice remoto (RCE) tramite un semplice click su un link WebSocket malevolo, colpendo le versioni di OpenClaw fino alla 2026.1.29. Con un punteggio CVSS di 8.8, la vulnerabilità evidenzia come l'integrazione tra interfacce web e comandi di sistema sia un terreno fertile per attacchi che bypassano i firewall tradizionali e le difese basate su sandbox.
L'analisi di SOC Prime indica che gli attaccanti pubblicano abilità apparentemente innocue su repository pubblici come GitHub o servizi di paste come glot.io. Una volta installate, queste abilità istruiscono l'utente a scaricare file eseguibili trojanizzati, come openclaw-agent.exe su Windows o binari Mach-O su macOS. L'uso di password per gli archivi ZIP e l'offuscamento in Base64 servono a eludere le scansioni automatiche degli antivirus, rendendo l'infezione silente.
Nonostante gli avvertimenti degli esperti, l'adozione di OpenClaw continua a crescere, superando le 160.000 stelle su GitHub. Questo entusiasmo riflette una domanda insoddisfatta di automazione personale, ma ignora i principi base della cybersicurezza.
E se ognuno di noi è libero di mettersi a rischio in casa propria, il problema è più serio quando si tratta di persone che voglio automatizzare il proprio lavoro senza aspettare le verifiche e i controlli necessari. È una forma di Shadow AI: le aziende si trovano oggi a dover gestire strumenti che i dipendenti installano autonomamente, spesso ignorando che la cybersicurezza nel 2026 va oltre i deepfake e tocca la sovranità dei dati residenti sui terminali.
L'integrazione di OpenClaw con piattaforme come Polymarket o Binance rende i profili degli utenti particolarmente appetibili. Quale criminale non vorrebbe prendere il controllo di un bot che ha accesso diretto al denaro delle persone?
Gli attaccanti mirano specificamente alle variabili d'ambiente come SOLANA_KEYPAIR_PATH, dove le chiavi private sono spesso salvate come array numerici in chiaro. Una volta che l'agente ha accesso al file, il furto dei fondi avviene senza che la vittima riceva alcun avviso di sicurezza, poiché l'azione è tecnicamente eseguita da un processo "autorizzato" dall'utente stesso.
L'approccio di Steinberger è stato quello di rilasciare correzioni rapide, ma la natura stessa del progetto rende difficile una bonifica completa. Probabilmente impossibile se OpenClaw, com’è probabile, eredita i problemi degli LLM, le cui vulnerabilità sono note e impossibili da correggere.
Il rischio è che OpenClaw diventi una backdoor persistente all'interno delle infrastrutture digitali. Basta che una persona lo installi, magari solo per curiosità, ed ecco che tutti i flussi informativi potrebbero essere esposti; magari lo metti sul tuo computer personale, poi però usi quel computer anche per i messaggi Whatsapp o per le mail di lavoro... e la frittata è fatta.
La mancanza di meccanismi di isolamento dei dati e di logging granulare impedisce ai team di sicurezza di tracciare le attività sospette prima che il danno sia irreversibile, confermando che l'automazione senza governance è una scommessa persa in partenza.
Troppo entus-IA-smo può metterci tutti nei guai
L'euforia per l'IA agentica sta oscurando una verità scomoda: stiamo costruendo un ecosistema di automazione su fondamenta di argilla. Il caso OpenClaw dimostra che la velocità di rilascio delle funzionalità ha sistematicamente la meglio sulla sicurezza per design.
Delegare decisioni e accesso ai dati a script open-source non verificati è un atto di fede che il mercato non può permettersi, specialmente quando gli attaccanti dimostrano una coordinazione superiore a quella dei difensori.
Dobbiamo chiederci se il risparmio di pochi minuti in una procedura di prenotazione o nella sintesi di una riunione valga la potenziale compromissione di un intero patrimonio digitale. La risposta, per chiunque gestisca asset critici, dovrebbe essere un netto rifiuto verso l'uso di agenti non sandboxati. Il futuro dell'automazione non può prescindere da una supervisione umana che non sia solo spettatrice, ma garante dell'integrità dei processi.
