Tutti hanno probabilmente sentito parlare di OpenClaw, precedentemente noto come \u201cClawdbot\u201d o \u201cMoltbot\u201d, l\u2019assistente IA open source che pu\u00f2 essere distribuito in una macchina in locale. Si collega alle famose piattaforme di chat come WhatsApp, Telegram, Signal, Discord e Slack, che gli consente di accettare comandi dal proprietario e spostarsi in citt\u00e0 sul file system locale. Ha accesso al calendario, all\u2019e-mail e al browser del proprietario e pu\u00f2 persino eseguire comandi del sistema operativo tramite la shell.<\/p>\n
Dal punto di vista della sicurezza, quella descrizione da sola dovrebbe essere sufficiente per dare una scossa. Ma quando le persone iniziano a provare a utilizzarlo per il lavoro in un ambiente aziendale, l\u2019ansia si trasforma rapidamente nella convinzione di un caos imminente. Alcuni esperti hanno gi\u00e0 soprannominato OpenClaw la pi\u00f9 grande minaccia interna del 2026. I problemi con OpenClaw coprono l\u2019intero spettro dei rischi evidenziati nella recente OWASP Top 10 for Agentic Applications<\/a>.<\/p>\n OpenClaw consente di collegare qualsiasi LLM locale o basato su cloud e l\u2019utilizzo di un\u2019ampia gamma di integrazioni con servizi aggiuntivi. Il fulcro \u00e8 un gateway che accetta comandi tramite app di chat o un\u2019interfaccia utente Web per instradarli agli agenti di intelligenza artificiale appropriati. La prima iterazione, soprannominata Clawdbot, \u00e8 stata rilasciata a novembre 2025; a gennaio 2026 era diventato virale e portava con s\u00e9 un mucchio di grattacapi relativi alla sicurezza. In una sola settimana sono state rivelate diverse vulnerabilit\u00e0 critiche<\/a>, competenze dannose sono emerse nella directory delle competenze e sono stati divulgati segreti da Moltbook (essenzialmente \u201cReddit for bots\u201d). Per finire, Anthropic ha richiesto il marchio per rinominare il progetto per evitare di violare \u201cClaude\u201d, e il nome dell\u2019account X del progetto \u00e8 stato violato per sventare criptovalute.<\/p>\n Sebbene lo sviluppatore del progetto sembri riconoscere l\u2019importanza della sicurezza, poich\u00e9 si tratta di un progetto per hobbisti, non ci sono risorse dedicate per la gestione delle vulnerabilit\u00e0 o altri elementi essenziali per la sicurezza del prodotto.<\/p>\n Tra le vulnerabilit\u00e0 note di OpenClaw, la pi\u00f9 pericolosa \u00e8 la CVE-2026-25253<\/a> (CVSS 8.8). Il suo sfruttamento porta a una totale compromissione del gateway, consentendo a un utente malintenzionato di eseguire comandi arbitrari. \u00c8 molto facile peggiorare le cose: se l\u2019agente visita il sito di un utente malintenzionato o l\u2019utente fa clic su un collegamento dannoso, il token Authenticator primario viene divulgato. Con tale token a disposizione, l\u2019utente malintenzionato ha il controllo amministrativo completo sul gateway. Questa vulnerabilit\u00e0 \u00e8 stata corretta nella versione 2026.1.29.<\/p>\n Sono state inoltre rilevate due pericolose vulnerabilit\u00e0 di inserimento dei comandi (CVE-2026-24763 e CVE-2026-25157).<\/p>\n Numerose impostazioni predefinite e peculiarit\u00e0 dell\u2019implementazione rendono un attacco al gateway una passeggiata:<\/p>\n La configurazione di OpenClaw, la \u201cmemoria\u201d e i registri della chat archiviano chiavi API, password e altre credenziali per LLM e servizi di integrazione come testo normale. Si tratta di una minaccia critica, nella misura in cui le versioni degli infostealer RedLine e Lumma sono gi\u00e0 state individuate con percorsi file OpenClaw aggiunti ai relativi elenchi di oggetti da rubare. Inoltre, l\u2019infostealer Vidar \u00e8 stato sorpreso a rubare segreti<\/a> da OpenClaw.<\/p>\n La funzionalit\u00e0 di OpenClaw pu\u00f2 essere estesa con le \u201ccompetenze\u201d disponibili nell\u2019archivio ClawHub<\/a>. Poich\u00e9 chiunque pu\u00f2 caricare una competenza, non ci \u00e8 voluto molto prima che gli autori delle minacce iniziassero a \u201craggruppare\u201d l\u2019infostealer AMOS macOS nei propri caricamenti. In breve tempo il numero di competenze dannose ha raggiunto le centinaia<\/a>. Ci\u00f2 ha spinto gli sviluppatori a stringere rapidamente un accordo<\/a> con VirusTotal per garantire che tutte le competenze caricate non vengano solo confrontate con i database di malware, ma anche sottoposte all\u2019analisi del codice e del contenuto tramite LLM. Detto questo, gli autori sono molto chiari: non \u00e8 una pallottola d\u2019argento.<\/p>\n Le vulnerabilit\u00e0 possono essere corrette e le impostazioni rafforzate, ma alcuni dei problemi di OpenClaw sono fondamentali per la progettazione. Il prodotto combina diverse funzionalit\u00e0 critiche che, se raccolte insieme, sono decisamente pericolose:<\/p>\n Vale la pena notare che sebbene OpenClaw sia un esempio particolarmente estremo, questo elenco di \u201cCinque terrificanti\u201d \u00e8 in realt\u00e0 caratteristico di quasi tutti gli agenti di IA multiuso.<\/p>\n Se un dipendente installa un agente come questo in un dispositivo aziendale e lo aggancia anche a una suite di servizi di base (si pensi a Slack e SharePoint), la combinazione di esecuzione autonoma dei comandi, ampio accesso al file system e autorizzazioni OAuth eccessive crea terreno fertile per un profondo compromesso di rete. In effetti, l\u2019abitudine del bot di accumulare token e segreti non criptati in un unico posto \u00e8 un disastro in attesa di verificarsi, anche se l\u2019agente di intelligenza artificiale stesso non viene mai compromesso.<\/p>\n Inoltre, queste configurazioni violano i requisiti normativi in pi\u00f9 paesi e settori, causando potenziali sanzioni ed errori di revisione. Gli attuali requisiti normativi, come quelli della legge UE sull\u2019IA o del NIST AI Risk Management Framework, impongono esplicitamente un rigoroso controllo degli accessi per gli agenti di IA. L\u2019approccio alla configurazione di OpenClaw non \u00e8 chiaramente all\u2019altezza di tali standard.<\/p>\n Ma il vero problema \u00e8 che, anche se ai dipendenti \u00e8 vietato installare questo software sui computer del lavoro, OpenClaw pu\u00f2 comunque finire nei propri dispositivi personali. Questo crea anche rischi specifici per l\u2019intera organizzazione:<\/p>\n A seconda delle capacit\u00e0 di monitoraggio e risposta del team SOC, questo pu\u00f2 tenere traccia dei tentativi di connessione al gateway OpenClaw nei dispositivi personali o nel cloud. Inoltre, una specifica combinazione di avvisi pu\u00f2 indicare la presenza di OpenClaw in un dispositivo aziendale:<\/p>\n Un set di pratiche di igiene della sicurezza pu\u00f2 ridurre efficacemente la footprint sia della shadow IT che della shadow IA, rendendo molto pi\u00f9 difficile la distribuzione di OpenClaw in un\u2019organizzazione:<\/p>\n Se un\u2019organizzazione consente agli agenti di IA a titolo sperimentale, ad esempio per test di sviluppo o pilota di efficienza, o se casi d\u2019uso di IA specifici hanno ottenuto il via libera per il personale generico, dovrebbero essere implementate solide misure di monitoraggio, registrazione e controllo dell\u2019accesso:<\/p>\n Un divieto assoluto di tutti gli strumenti di IA \u00e8 un percorso semplice ma raramente produttivo. I dipendenti di solito trovano soluzioni alternative: scacciare il problema nell\u2019ombra, dove \u00e8 ancora pi\u00f9 difficile da controllare. \u00c8 invece meglio trovare un equilibrio sensato tra produttivit\u00e0 e sicurezza.<\/p>\n Attuare criteri trasparenti sull\u2019utilizzo degli agentic AI.<\/strong> Definire quali categorie di dati possono essere elaborate dai servizi di IA esterni e quali sono rigorosamente vietate. I dipendenti devono capire perch\u00e9 qualcosa \u00e8 vietato. Un \u201cs\u00ec, ma con vincoli\u201d \u00e8 sempre meglio di un \u201cno\u201d generale.<\/p>\nProblemi noti di OpenClaw<\/h2>\n
Vulnerabilit\u00e0 di OpenClaw<\/h3>\n
Impostazioni predefinite e funzionalit\u00e0 non sicure<\/h3>\n
\n
Segreti in chiaro<\/h3>\n
Abilit\u00e0 dannose<\/h3>\n
Problemi strutturali nell\u2019agente di intelligenza artificiale di OpenClaw<\/h3>\n
\n
Rischi OpenClaw per le organizzazioni<\/h2>\n
\n
Come rilevare i rootkit<\/h2>\n
\n
Controllo della shadow AI<\/h2>\n
\n
Distribuzione sicura dell\u2019agentic AI<\/h2>\n
\n
Politiche aziendali e formazione dei dipendenti<\/h2>\n