OpenClaw sicurezza dell'IA agentica

OpenClaw: un incubo di sicurezza che riscrive le regole dell’IA agentica

A cura di:Redazione Ore

OpenClaw non è un chatbot. È un agente autonomo che esegue azioni per conto dell’utente, con accesso diretto a file system, terminale, browser, e-mail, calendari e piattaforme di messaggistica. Nato nel novembre 2025 con il nome Clawdbot dalla mente dello sviluppatore austriaco Peter Steinberger, ribattezzato prima Moltbot e poi OpenClaw dopo dispute di trademark con Anthropic, il progetto ha raggiunto oltre 180.000 stelle su GitHub e oltre 2 milioni di visitatori in una sola settimana, con download settimanali che secondo OX Security hanno toccato quota 720.000.

La promessa è affascinante: un assistente IA personale, open source, che gira in locale, comunica tramite WhatsApp, Telegram, Discord, Slack o Teams e che non si limita a rispondere – agisce. Prenota voli, gestisce la posta, automatizza workflow, controlla dispositivi smart home. Come ha sintetizzato Token Security, OpenClaw è essenzialmente “Claude con le mani”: un LLM dotato di capacità esecutive concrete sul sistema dell’utente.

Il problema è che quelle stesse mani, se compromesse, diventano le mani dell’attaccante. E la comunità della cybersecurity lo ha capito in fretta – forse non abbastanza.

La triade letale: perché OpenClaw è architetturalmente diverso

Simon Willison, lo sviluppatore che ha coniato il termine “prompt injection”, ha definito con precisione il profilo di rischio degli agenti IA autonomi attraverso il concetto di triade letale (lethal trifecta). Un sistema diventa strutturalmente pericoloso quando combina tre caratteristiche: accesso a dati privati, esposizione a contenuti non fidati e capacità di comunicare verso l’esterno. OpenClaw le possiede tutte e tre, simultaneamente e per design.

Questa non è una debolezza accidentale: è una conseguenza architettonica. L’agente legge e-mail e documenti, ingesta contenuti dal web, e può inviare messaggi o attivare automazioni senza supervisione umana continua. Dal punto di vista di un firewall enterprise, il traffico generato è un semplice HTTP 200. Per un SOC team che monitora il comportamento dei processi tramite EDR, l’attività appare legittima. La minaccia è semantica, non infrastrutturale – e questo la rende invisibile ai controlli tradizionali.

Come ha osservato Ross McKerchar, CISO di Sophos, chiunque possa inviare un messaggio all’agente ottiene di fatto gli stessi privilegi dell’agente stesso. Un’e-mail contenente istruzioni malevole, un messaggio WhatsApp con un payload nascosto, un documento condiviso con prompt injection indiretta: tutti diventano vettori di compromissione senza che sia necessario alcun exploit tecnico nel senso tradizionale del termine.

È fondamentale, tuttavia, contestualizzare questo rischio. Come ha sottolineato il team di ricerca di Trend Micro in un’analisi particolarmente lucida, OpenClaw non introduce nuove categorie di rischio: amplifica quelle già intrinseche al paradigma dell’IA agentica. Azioni non intenzionali, esfiltrazione di dati, esposizione a componenti non verificate sono problemi che riguardano tutti i sistemi agentici. La differenza è che la configurabilità senza restrizioni di OpenClaw – la possibilità di concedere permessi arbitrari senza alcun controllo di sicurezza forzato – eleva drammaticamente il livello di rischio concreto.

CVE-2026-25253: l’anatomia di un RCE in un click

La vulnerabilità più grave documentata finora su OpenClaw è la CVE-2026-25253, classificata con un punteggio CVSS di 8.8 e catalogata come CWE-669 (Incorrect Resource Transfer Between Spheres). Scoperta dal ricercatore Mav Levin di depthfirst, questa falla consente l’esecuzione remota di codice arbitrario con un singolo click.

Il meccanismo di exploit è elegante nella sua semplicità. La Control UI di OpenClaw accettava un parametro gatewayUrl  dalla query string senza alcuna validazione, stabilendo automaticamente una connessione WebSocket che includeva il token di autenticazione dell’utente. Un attaccante poteva quindi creare una pagina web malevola che, una volta visitata dalla vittima, esfiltrava il token in pochi millisecondi.

Il passaggio critico successivo sfrutta una lacuna nell’implementazione dei WebSocket: il server di OpenClaw non validava l’header Origin delle connessioni, consentendo il cosiddetto Cross-Site WebSocket Hijacking (CSWSH). Poiché i browser non applicano la Same Origin Policy ai WebSocket come fanno con le connessioni HTTP, il JavaScript dell’attaccante poteva connettersi direttamente all’istanza locale della vittima – anche se configurata per ascoltare solo su localhost.

Una volta ottenuto l’accesso al gateway con privilegi di operatore (scope operator.admin e operator.approvals ), la catena di attacco si articolava in tre passaggi:

  • Disabilitazione delle conferme utente: invio di una richiesta exec.approvals.set con parametro ask: "off" , eliminando la richiesta di permesso prima dell’esecuzione di comandi pericolosi.
  • Evasione dal container: invio di una richiesta config.patch per impostare tools.exec.host su "gateway" , forzando l’esecuzione diretta sull’host anziché all’interno del sandbox Docker.
  • Esecuzione di codice arbitrario: a questo punto, qualsiasi comando poteva essere lanciato con i privilegi del processo OpenClaw sull’host.

Come ha evidenziato lo stesso Levin, le difese di sandboxing e le safety guardrail erano progettate per contenere azioni malevole derivanti da prompt injection a livello di LLM, ma non proteggevano da questa vulnerabilità architettonica: le protezioni venivano gestite tramite la stessa API che l’attaccante aveva compromesso.

La patch, rilasciata nella versione 2026.1.29 il 30 gennaio 2026, ha introdotto un modale di conferma per la gateway URL, rimuovendo il comportamento di auto-connessione. Il Centre for Cybersecurity Belgium (CCB), l’Università di Toronto e numerosi CERT nazionali hanno emesso advisory urgenti, raccomandando l’aggiornamento immediato e la rotazione dei token.

A questa CVE si affianca la CVE-2026-25157 (GHSA-q284-4pvr-m585), una vulnerabilità di OS command injection ad alta severità nel modulo SSH dell’applicazione macOS, dove input non correttamente sanificati consentivano l’esecuzione di comandi arbitrari sull’host locale o remoto. Anch’essa è stata corretta nella stessa release.

Un audit di sicurezza condotto a fine gennaio 2026, quando OpenClaw si chiamava ancora Clawdbot, ha identificato complessivamente 512 vulnerabilità, otto delle quali classificate come critiche, secondo quanto riportato dai ricercatori di Kaspersky.

135.000 istanze esposte: la superficie d’attacco che nessun SOC vede

Se le vulnerabilità software sono gravi, il quadro delle misconfigurazioni operative è catastrofico. Il team STRIKE di SecurityScorecard ha identificato oltre 135.000 istanze di OpenClaw esposte direttamente su Internet, un numero che nelle ore successive alla pubblicazione del report è continuato a crescere esponenzialmente. Di queste, oltre 50.000 risultavano vulnerabili al bug RCE già patchato, a indicare che una porzione critica della base utenti non aveva applicato gli aggiornamenti di sicurezza.

Il problema alla radice è una configurazione di default che ascolta su 0.0.0.0:18789 , ovvero su tutte le interfacce di rete, inclusa quella pubblica. Combinata con l’assenza di autenticazione per le connessioni localhost – e con il fatto che la maggior parte dei deployment utilizza un reverse proxy (Nginx o Caddy) che maschera tutte le connessioni come provenienti da 127.0.0.1 – questa configurazione trasforma ogni istanza in un bersaglio aperto.

Distribuzione geografica e settori sensibili

I dati sulla distribuzione geografica delle istanze esposte rivelano una portata globale. Secondo Censys, al 31 gennaio 2026 erano state identificate 21.639 istanze esposte, con gli Stati Uniti come principale area di deployment, seguiti dalla Cina (dove oltre il 30% delle istanze operava su infrastruttura Alibaba Cloud) e da Singapore. Un’analisi indipendente ha successivamente rilevato che la Cina ha superato gli Stati Uniti come area con il maggior numero di deployment, con un divario di circa 14.000 istanze. La concentrazione su Alibaba Cloud suggerisce operazioni coordinate di sperimentazione o potenziali farm di bot.

Il dato più allarmante riguarda l’esposizione di settori sensibili: sono state rilevate istanze collegate a infrastrutture critiche nel settore finanziario, esposte sulla rete pubblica senza alcuna protezione.

Jamieson O’Reilly, fondatore della società di red teaming Dvuln, ha utilizzato Shodan per cercare impronte HTML caratteristiche delle istanze OpenClaw. Una query per “Clawdbot Control” ha restituito centinaia di risultati in pochi secondi. Tra le istanze esaminate manualmente, otto erano completamente aperte, senza alcuna forma di autenticazione. Al loro interno: chiavi API Anthropic, token bot Telegram, credenziali OAuth Slack e intere cronologie di conversazioni private. Il ricercatore Maor Dayan ha definito OpenClaw “il più grande incidente di sicurezza nella storia dell’IA sovrana”, riscontrando che il 93% delle istanze verificate presentava vulnerabilità critiche di bypass dell’autenticazione.

Supply chain avvelenata: quando le “skill” diventano malware

L’ecosistema di OpenClaw si estende attraverso ClawHub, un marketplace di skill – moduli funzionali che l’agente può installare e utilizzare per ampliare le proprie capacità. Il problema è che questo marketplace richiede soltanto un account GitHub di almeno una settimana per la pubblicazione, senza firma crittografica, senza verifica dell’identità dell’autore e senza revisione sistematica del codice.

Il ricercatore Paul McCarty (alias 6mile) ha documentato una campagna massiva: oltre 400 skill malevole pubblicate su ClawHub e GitHub tra fine gennaio e inizio febbraio 2026, mascherate da strumenti di trading crypto che sfruttavano brand noti come ByBit, Polymarket, Axiom, Reddit e LinkedIn. Tutte condividevano la stessa infrastruttura di comando e controllo (C2, indirizzo IP 91.92.242.30) e distribuivano infostealer mirati a macOS e Windows, rubando chiavi crypto, credenziali e file sensibili. McCarty ha segnalato che, al momento della pubblicazione del report, la grande maggioranza delle skill malevole era ancora disponibile su ClawHub e l’infrastruttura C2 risultava operativa.

Il caso emblematico è la skill denominata “What Would Elon Do?”, analizzata dal team Cisco AI Threat & Security Research. Manipolata artificialmente per raggiungere il primo posto nella classifica del repository, questa skill era a tutti gli effetti malware operativo: istruiva il bot a eseguire un comando curl che trasmetteva dati a un server esterno controllato dall’autore e utilizzava prompt injection diretta per aggirare le linee guida di sicurezza. Lo Skill Scanner open source rilasciato da Cisco ha identificato nove problemi di sicurezza, di cui due critici e cinque ad alta severità. Secondo l’analisi di Cisco, il 26% delle 31.000 skill analizzate conteneva almeno una vulnerabilità.

Il vettore non si limita al marketplace ufficiale. Attaccanti hanno sfruttato anche il VS Code Marketplace per distribuire false estensioni che impersonavano funzionalità Moltbot/OpenClaw, scaricando payload malevoli sulle workstation degli sviluppatori – una tattica classica di supply chain attack adattata all’ecosistema degli agenti IA.

Snyk ha condotto un’analisi su scala più ampia, scansionando 3.984 skill su ClawHub e identificando 283 skill con falle di sicurezza critiche che esponevano credenziali sensibili. A seguito di questa ondata, OpenClaw ha integrato Google VirusTotal per la scansione delle skill caricate, implementando un workflow che calcola l’hash SHA-256 di ogni pacchetto skill e lo verifica contro il corpus di VirusTotal, con analisi comportamentale tramite Code Insight. Il team ha definito questa misura “non una soluzione definitiva” – un’ammissione di onestà che evidenzia quanto il problema sia strutturale e non risolvibile con il solo scanning automatizzato.

Moltbook: il social network degli agenti e dei loro segreti

Accanto a OpenClaw è cresciuto un fenomeno parallelo e per certi versi surreale: Moltbook, un social network creato dallo sviluppatore Matt Schlicht e progettato esclusivamente per agenti IA. In pochissimo tempo, 1,7 milioni di agenti registrati dai rispettivi proprietari umani hanno generato quasi 7 milioni di commenti su circa un quarto di milione di post. Il rapporto tra bot e umani era di 88:1 – un dato che nessuno aveva verificato perché non esisteva alcun protocollo di autenticazione reciproca, nessuna credenziale verificabile, nessuna reputazione persistente tra piattaforme.

Il problema è che Moltbook è stato sviluppato con la stessa filosofia move fast and break things del progetto principale, seguendo l’approccio del cosiddetto vibe coding. I ricercatori di Wiz hanno scoperto che l’intero backend della piattaforma era esposto a causa di un database Supabase mal configurato, privo di Row Level Security: 1,5 milioni di chiavi API, 35.000 indirizzi e-mail e messaggi privati tra agenti erano accessibili a chiunque avesse un browser. Gli agenti, inoltre, condividevano tra loro chiavi API OpenAI.

Il 31 gennaio 2026, una vulnerabilità critica ha consentito a chiunque di prendere il controllo di qualsiasi agente sulla piattaforma. Moltbook è stato messo offline e tutte le chiavi API sono state resettate, secondo quanto riportato da Astrix Security. Ma il danno era fatto: qualsiasi contenuto pubblicato su Moltbook poteva diventare un vettore di prompt injection per ogni agente connesso, senza necessità di trovare un server Discord aperto per inviare istruzioni.

La memoria persistente come acceleratore di rischio

C’è un elemento che distingue OpenClaw da altri strumenti IA e che amplifica drammaticamente ogni vettore di attacco: la memoria persistente. Come ha analizzato in profondità il team di ricerca di Palo Alto Networks, questa funzionalità trasforma gli attacchi da exploit puntuali a minacce stateful con esecuzione differita.

Un payload malevolo non deve più attivarsi immediatamente: può essere frammentato in input apparentemente innocui che vengono scritti nella memoria a lungo termine dell’agente, per poi essere riassemblati in un set di istruzioni eseguibili quando lo stato interno dell’agente, i suoi obiettivi o la disponibilità degli strumenti lo consentono. Si tratta, in sostanza, di tre tipologie di attacco convergenti:

  • Time-shifted prompt injection: istruzioni malevole che restano dormienti nella memoria fino a quando il contesto dell’agente le rende attivabili.
  • Memory poisoning: contaminazione incrementale della base di conoscenza dell’agente attraverso input frammentati che, singolarmente, appaiono benigni.
  • Logic bomb activation: detonazione dell’exploit solo quando le condizioni interne dell’agente (stato, obiettivi, strumenti disponibili) raggiungono una configurazione specifica.

L’esempio concreto è disarmante nella sua banalità: un messaggio WhatsApp inoltrato con un “Buongiorno” può contenere istruzioni malevole nascoste. L’agente, per svolgere il proprio compito, deve accedere al contenuto decrittato del messaggio – e le istruzioni entrano nel contesto. Con la memoria persistente, quelle istruzioni rimangono disponibili anche a distanza di settimane, pronte per essere richiamate. La maggior parte delle guardrail di sistema non è progettata per rilevare questo tipo di attacco multi-turno differito.

IoT e smart home: la superficie d’attacco dimenticata

Un aspetto che merita attenzione specifica è l’integrazione di OpenClaw con sistemi IoT e smart home. L’agente supporta nativamente l’integrazione con Home Assistant e altre piattaforme di automazione domestica, consentendo il controllo di illuminazione, termostati, sistemi di sicurezza e dispositivi connessi tramite comandi in linguaggio naturale.

Come ha osservato Bitsight nella propria analisi, chiunque ottenga accesso all’assistente IA potrebbe iniziare a manipolare dispositivi fisici. Questo scenario assume una connotazione particolarmente critica quando le integrazioni IoT si estendono oltre l’ambito domestico: sistemi di building automation in contesti aziendali, controllo accessi fisici, sistemi HVAC connessi. NordVPN ha raccomandato di limitare rigorosamente le integrazioni IoT ai soli dispositivi e comandi che si intende effettivamente controllare, ma il modello di permessi di OpenClaw rende questa granularità difficile da implementare nella pratica.

Il rischio si amplifica considerando che OpenClaw è stato progettato per operare come server always-on, spesso su dispositivi come il Mac Mini – la cui domanda è aumentata al punto da generare carenze di stock in diversi punti vendita statunitensi. Un dispositivo permanentemente connesso, con accesso sia a sistemi IT (e-mail, repository, servizi cloud) sia a sistemi OT/IoT (domotica, automazione), rappresenta un punto di convergenza IT-OT che crea un canale di attraversamento laterale particolarmente insidioso.

OpenClaw in azienda: il rischio che i CISO non possono ignorare

Il fenomeno più preoccupante per i professionisti della sicurezza aziendale non è l’utente privato che sperimenta con OpenClaw sul proprio laptop. È il dipendente che, in cerca di produttività, collega l’agente alla propria e-mail aziendale, ai repository di codice o ai sistemi interni – trasformando silenziosamente un tool personale in un’identità privilegiata all’interno dell’organizzazione, completamente al di fuori dei controlli IAM, DLP e dei processi di governance.

Gartner ha utilizzato un linguaggio insolitamente diretto in un advisory intitolato “OpenClaw Agentic Productivity Comes With Unacceptable Cybersecurity Risk”, definendo il software “una preview pericolosa dell’IA agentica che dimostra alta utilità ma espone le imprese a rischi insecuri per default”. Le raccomandazioni di Gartner per le imprese sono nette:

  • Bloccare immediatamente download e traffico di OpenClaw per prevenire installazioni shadow e identificare gli utenti che tentano di aggirare i controlli di sicurezza.
  • Ruotare immediatamente tutte le credenziali aziendali a cui l’agente ha avuto accesso.
  • Consentire l’uso esclusivamente in ambienti isolati, su macchine virtuali non di produzione con credenziali usa e getta.
  • Vietare skill OpenClaw non verificate per mitigare rischi di supply chain attack e prompt injection.

CrowdStrike ha evidenziato come gli attacchi contro OpenClaw possano portare all’esfiltrazione di dati sensibili dai sistemi connessi o al dirottamento delle capacità agentiche per condurre ricognizione, movimento laterale ed esecuzione di istruzioni avversarie. Palo Alto Networks si è spinta oltre, definendo OpenClaw la potenziale più grande minaccia insider del 2026.

Un aspetto particolarmente insidioso, identificato da Noma Security, riguarda i canali di comunicazione aziendali. Se OpenClaw è connesso a un gruppo Discord, Telegram o WhatsApp aziendale, tratta le istruzioni provenienti dagli altri utenti del canale come se provenissero dal proprio proprietario. Questo trasforma ogni canale di comunicazione condiviso in un potenziale vettore di compromissione dell’agente.

Il Gartner Top Trends in Cybersecurity for 2026, pubblicato il 5 febbraio 2026, ha identificato l’IA agentica come uno dei sei trend che stanno ridefinendo il modo in cui i CISO devono operare, stimando che oltre il 57% dei dipendenti utilizza account GenAI personali per lavoro – e un terzo di loro ammette di caricare dati sensibili in strumenti non approvati dai team di sicurezza. Gartner prevede inoltre che entro il 2028 il 75% dei prodotti IA includerà capacità agentiche.

OpenClaw e il panorama regolatorio europeo

Per le organizzazioni europee, la proliferazione incontrollata di agenti IA autonomi come OpenClaw interseca direttamente almeno tre cornici normative, con implicazioni operative concrete.

NIS2

La Direttiva (UE) 2022/2555 (NIS2), pienamente applicabile, impone agli enti essenziali e importanti l’adozione di misure di gestione del rischio che includono, tra l’altro, la sicurezza della catena di approvvigionamento (art. 21, par. 2, lett. d), la gestione delle vulnerabilità e la divulgazione (art. 21, par. 2, lett. e), nonché la segnalazione degli incidenti (art. 23). Un’istanza OpenClaw connessa a sistemi aziendali critici, se compromessa, configurerebbe un incidente significativo soggetto a obbligo di notifica al CSIRT competente entro 24 ore (preallarme) e 72 ore (notifica completa).

GDPR

Il Regolamento (UE) 2016/679 (GDPR) pone questioni altrettanto rilevanti. OpenClaw con accesso a e-mail, calendari e messaggi tratta necessariamente dati personali, spesso su base giuridica non definita. L’archiviazione in chiaro delle credenziali e l’esposizione documentata di conversazioni private rappresentano violazioni potenziali del principio di integrità e riservatezza (art. 5, par. 1, lett. f), degli obblighi di sicurezza del trattamento (art. 32, con particolare riferimento alla pseudonimizzazione e cifratura dei dati personali) e del principio di minimizzazione dei dati (art. 5, par. 1, lett. c). In caso di data breach, si applicano gli obblighi di notifica di cui agli artt. 33-34.

AI Act

Il Regolamento (UE) 2024/1689 (AI Act) classifica i sistemi IA in base al livello di rischio. Un agente autonomo con accesso a dati sensibili e capacità esecutive su infrastrutture aziendali potrebbe rientrare, a seconda del contesto d’uso, nelle categorie a rischio elevato definite nell’Allegato III del Regolamento (in particolare le aree relative all’occupazione, gestione dei lavoratori, accesso a servizi essenziali).

Il Titolo III, Capo 2 (artt. 8-15) stabilisce per i sistemi ad alto rischio requisiti specifici in materia di gestione del rischio (art. 9), governance dei dati (art. 10), documentazione tecnica (art. 11), trasparenza (art. 13) e sorveglianza umana (art. 14). Un deployment enterprise di OpenClaw che operi in aree coperte dall’Allegato III senza soddisfare questi requisiti si troverebbe in potenziale violazione del Regolamento. L’applicazione dei requisiti per i sistemi ad alto rischio è prevista a partire dall’agosto 2026, il che rende urgente una valutazione preventiva.

Strategie difensive: un framework operativo per SOC e CISO

Alla luce dell’analisi condotta, è possibile delineare un framework di azioni concrete strutturato su tre livelli: rilevamento, contenimento e governance.

Rilevamento e visibilità

Network monitoring: configurare regole di detection per il traffico sulla porta 18789 (default di OpenClaw) e per connessioni WebSocket anomale verso endpoint locali. Monitorare il traffico in uscita verso i domini di ClawHub, Moltbook e le API dei provider LLM.

Asset discovery: integrare le scansioni di asset discovery con fingerprint specifici per le interfacce di controllo OpenClaw. IEEE senior member Kayne McGladrey ha suggerito l’uso di Shodan per identificare istanze accessibili, anche se le configurazioni firewall interne possono nasconderne alcune.

OpenClaw Scanner: Astrix Security ha rilasciato uno strumento open source gratuito, disponibile su PyPI, progettato per rilevare istanze OpenClaw negli ambienti enterprise. Lo scanner opera in modalità read-only sulla telemetria EDR esistente (CrowdStrike, Microsoft Defender), analizza indicatori comportamentali di attività OpenClaw sugli endpoint e produce report portabili che rimangono all’interno dell’organizzazione, senza trasmettere dati esternamente.

Detection rules per SIEM: ai team SOC si raccomanda lo sviluppo di regole di detection specifiche:

  • Regole Sigma per la correlazione di eventi nei log: monitorare la creazione di processi Node.js che accedono a directory caratteristiche ( ~/.openclaw , ~/.clawdbot ), connessioni WebSocket sulla porta 18789, e attività anomale di lettura/scrittura su file di credenziali ( credentials/*.json , auth-profiles.json ).
  • Regole YARA per l’analisi di file e memoria: creare signature per i pacchetti skill malevoli noti, basate sugli IoC pubblicati (in particolare l’indirizzo C2 91.92.242.30 e i pattern delle skill crypto-trading identificate da McCarty). VirusTotal Code Insight supporta ora nativamente l’analisi dei pacchetti skill OpenClaw, consentendo query avanzate per identificare skill classificate come malevole.
  • Indicatori di rete: monitorare connessioni verso l’infrastruttura C2 nota e verso endpoint API non autorizzati, picchi anomali nell’uso di token AI, e traffico verso gateway OpenClaw esposti.

Shadow IT detection: monitorare l’installazione di pacchetti npm correlati a OpenClaw, attività su directory caratteristiche, e traffico verso i domini dell’ecosistema.

Contenimento e hardening

  • Isolamento: qualsiasi sperimentazione con OpenClaw deve avvenire esclusivamente su macchine dedicate o VPS isolate, mai su dispositivi di lavoro, come raccomandato anche dai ricercatori di Kaspersky. Kaspersky suggerisce specificamente l’uso di account burner per le app di messaggistica connesse.
  • Principio del minimo privilegio: configurare gateway.bind su loopback , abilitare l’autenticazione del gateway tramite password ( gateway.auth.password ), restringere permessi su file e directory ( ~/.openclaw a 700, file di configurazione a 600, file di credenziali e sessioni inaccessibili ad altri utenti). Preferire Tailscale Serve rispetto ai bind su LAN.
  • Sandboxing: eseguire gli strumenti all’interno di container Docker, resistendo alla tentazione di concedere l’accesso diretto all’host. Non disabilitare mai il sistema di approvazione delle esecuzioni.
  • Skill vetting: non installare mai skill non verificate. Utilizzare lo Skill Scanner di Cisco per analizzare le skill prima dell’installazione. Impostare limiti di spesa sulle API per prevenire costi incontrollati da automazioni in loop.
  • Scelta del modello LLM: Kaspersky raccomanda l’uso di Claude Opus 4.5 come backend, attualmente il modello più efficace nel rilevare prompt injection.

Governance e policy

  • Policy aziendale esplicita: definire e comunicare una policy chiara sull’uso di agenti IA autonomi, includendo OpenClaw tra gli strumenti soggetti a restrizioni o divieto. Allineare la policy ai requisiti NIS2, GDPR e AI Act.
  • Rotazione credenziali: ruotare immediatamente tutte le credenziali che possano essere state esposte a istanze OpenClaw, incluse chiavi API, token OAuth e credenziali di messaggistica.
  • Monitoraggio della telemetria di rete: come suggerito da McGladrey (IEEE), analizzare il traffico in uscita dai dispositivi per identificare picchi anomali nell’uso di API IA e volumi di token inusuali.
  • Formazione e awareness: sensibilizzare il personale tecnico e non sui rischi specifici dell’IA agentica, con focus su prompt injection indiretta, supply chain attack e convergenza IT-OT.
  • Incident response planning: integrare gli scenari di compromissione di agenti IA autonomi nei playbook di incident response esistenti, considerando il raggio di blast esteso a tutti i sistemi, API e datastore a cui l’agente ha accesso.

La risposta della comunità open source: contromisure emergenti

È doveroso riconoscere che la comunità di OpenClaw e l’ecosistema di sicurezza più ampio stanno rispondendo con velocità notevole. Oltre all’integrazione di VirusTotal già citata, emergono diverse iniziative significative:

  • Cisco Skill Scanner: strumento open source per l’analisi statica, comportamentale, semantica (tramite LLM) e VirusTotal delle skill, rilasciato pubblicamente per consentire il vetting pre-installazione.
  • Astrix Security OpenClaw Scanner: tool open source per il rilevamento enterprise di istanze OpenClaw tramite telemetria EDR, con piani di espansione a SentinelOne e ad altri agenti IA.
  • Framework di identità per agenti: iniziative come ERC-8004 e RNWY stanno lavorando su standard di verifica dell’identità degli agenti, con firma crittografica e credenziali verificabili – un layer opzionale ma cruciale per l’ecosistema.
  • Jamieson O’Reilly come security representative: lo stesso ricercatore che per primo ha segnalato le vulnerabilità più gravi è stato nominato responsabile della sicurezza del progetto, un segnale di maturazione della governance.
  • Near.AI IronClaw: una riscrittura completa del framework in Rust, orientata a performance e sicurezza by design.

Dan Guido, CEO di Trail of Bits, ha offerto una prospettiva equilibrata sulla velocità di sviluppo del progetto: grazie all’approccio di swarm programming (con circa 350 contributori e un uso intensivo di agenti IA per la codifica), le vulnerabilità di sicurezza vengono corrette in ore o giorni. Guido ha paragonato il progetto alla costruzione di una casa senza architetto con diversi appaltatori: “sembra un grande pezzo di arte moderna” – intendendo la cosa positivamente, perché la flessibilità architetturale consente correzioni rapide a costi contenuti.

Il futuro dell’IA agentica: un paradosso da governare

Il 14 febbraio 2026, Peter Steinberger ha annunciato il proprio ingresso in OpenAI e il trasferimento del progetto a una fondazione open source. Questa transizione potrebbe portare maggiore struttura e risorse al progetto, ma non risolverà il paradosso fondamentale che OpenClaw ha messo in evidenza: più un agente IA è autonomo e potente, più è utile – e più è pericoloso.

Come ha sintetizzato Diana Kelley, CISO di Noma Security, gli agenti endpoint-nativi come OpenClaw, una volta in esecuzione, ereditano i privilegi dell’utente ed espandono il confine di fiducia ovunque operino. Non sono chatbot più intelligenti: sono attori con capacità esecutive reali che richiedono un ripensamento architetturale della sicurezza. “Alcuni di noi guardano agli assistenti agentici come fossero chatbot più intelligenti. Non lo sono”, ha scritto Kelley in un intervento su LinkedIn, sottolineando che le questioni di sicurezza di OpenClaw dovrebbero innescare una conversazione sull’architettura e sulla propensione al rischio dell’organizzazione.

La comunità della sicurezza sta già rispondendo. Emergono nuovi punti di controllo per i deployment di IA agentica: marketplace curati e verificati per le skill, interfacce locali dedicate per gli LLM (anziché consentire l’uso di GUI e CLI progettate per gli umani), framework di identità per agenti. Ma come ha osservato Colin Shea-Blymyer del Georgetown CSET, è un segnale positivo che tutto questo stia accadendo prima a livello hobbistico: “È meglio scoprire questi problemi quando gli utenti sono appassionati di tecnologia che sperimentano, piuttosto che quando sono aziende Fortune 500 con dati critici in gioco.”

OpenClaw non è il problema. È il sintomo di un’adozione tecnologica che ha superato la capacità di governarla. Per i CISO e i professionisti della sicurezza, la domanda non è se l’IA agentica arriverà nei propri ambienti – è già lì. La domanda è se saranno pronti a gestirla quando il prossimo agente autonomo busserà alla porta, e questa volta avrà le chiavi.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi