OpenClaw dimostra che l’intelligenza artificiale agentiva funziona. Dimostra anche che il tuo modello di sicurezza non funziona. 180.000 sviluppatori hanno appena reso questo un problema.
VB,L. Colombo
Secondo il creatore Peter Steinberger, OpenClaw , l’assistente AI open source precedentemente noto come Clawdbot e poi Moltbot , ha superato le 180.000 stelle GitHub e ha attirato 2 milioni di visitatori in una sola settimana .
I ricercatori di sicurezza che hanno scandagliato Internet hanno trovato oltre 1.800 istanze esposte che hanno fatto trapelare chiavi API, cronologie chat e credenziali dell’account. Il progetto è stato rinominato due volte nelle ultime settimane a causa di controversie sui marchi registrati.
Il movimento di base dell’intelligenza artificiale agentica rappresenta anche la più grande superficie di attacco non gestita che la maggior parte degli strumenti di sicurezza non riesce a vedere.
Breaking the Memory Wall: The Infrastructure Required for Statefulness
I team di sicurezza aziendale non hanno implementato questo strumento. Né lo hanno fatto i loro firewall, EDR o SIEM. Quando gli agenti vengono eseguiti su hardware BYOD, gli stack di sicurezza diventano ciechi. Questo è il divario.
Perché i perimetri tradizionali non riescono a rilevare le minacce dell’intelligenza artificiale agentica
La maggior parte delle difese aziendali considera l’intelligenza artificiale agentica come un ulteriore strumento di sviluppo che richiede controlli di accesso standard. OpenClaw dimostra che tale presupposto è architetturalmente errato.
Gli agenti operano con autorizzazioni autorizzate, estraggono il contesto da fonti influenzabili dagli aggressori ed eseguono azioni in modo autonomo. Il perimetro non vede nulla di tutto ciò. Un modello di minaccia errato significa controlli sbagliati, che a loro volta creano punti ciechi.
“Gli attacchi runtime di intelligenza artificiale sono semantici piuttosto che sintattici”, ha dichiarato a VentureBeat Carter Rees, vicepresidente dell’Intelligenza Artificiale di Reputation . “Una frase innocua come ‘Ignora le istruzioni precedenti’ può avere un impatto devastante quanto un buffer overflow, eppure non ha nulla in comune con le firme malware note”.
Simon Willison, lo sviluppatore software e ricercatore di intelligenza artificiale che ha coniato il termine “iniezione tempestiva”, descrive quella che definisce la “triade letale” per gli agenti di intelligenza artificiale . Queste includono l’accesso a dati privati, l’esposizione a contenuti non attendibili e la capacità di comunicare esternamente. Quando queste tre capacità si combinano, gli aggressori possono ingannare l’agente inducendolo ad accedere a informazioni private e a inviargliele. Willison avverte che tutto ciò può accadere senza che venga inviato un singolo avviso.
OpenClaw ha tutte e tre le funzionalità. Legge email e documenti, estrae informazioni da siti web o file condivisi e agisce inviando messaggi o attivando attività automatiche. Il firewall di un’organizzazione vede HTTP 200. I team SOC vedono il comportamento del processo di monitoraggio EDR, non il contenuto semantico. La minaccia è la manipolazione semantica, non l’accesso non autorizzato.
Perché questo non è limitato agli sviluppatori appassionati
Gli scienziati di IBM Research Kaoutar El Maghraoui e Marina Danilevsky hanno analizzato OpenClaw questa settimana e hanno concluso che mette in discussione l’ipotesi secondo cui gli agenti di intelligenza artificiale autonomi debbano essere integrati verticalmente . Lo strumento dimostra che “questo livello open source e flessibile può essere incredibilmente potente se ha accesso completo al sistema” e che la creazione di agenti con una vera autonomia “non è limitata alle grandi aziende”, ma “può anche essere guidata dalla comunità”.
Questo è esattamente ciò che lo rende pericoloso per la sicurezza aziendale. Un agente altamente efficiente senza adeguati controlli di sicurezza crea gravi vulnerabilità nei contesti lavorativi. El Maghraoui ha sottolineato che la questione si è spostata dalla capacità delle piattaforme agentiche aperte al “quale tipo di integrazione è più importante e in quale contesto”. Le questioni di sicurezza non sono più facoltative.
Cosa hanno rivelato le scansioni di Shodan sui gateway esposti
Il ricercatore di sicurezza Jamieson O’Reilly, fondatore dell’azienda di red-teaming Dvuln , ha identificato i server OpenClaw esposti utilizzando Shodan ricercando le impronte digitali HTML caratteristiche. Una semplice ricerca per “Clawdbot Control” ha prodotto centinaia di risultati in pochi secondi. Delle istanze esaminate manualmente, otto erano completamente aperte, senza autenticazione. Queste istanze fornivano a chiunque le scoprisse l’accesso completo per eseguire comandi e visualizzare i dati di configurazione.
O’Reilly ha trovato chiavi API di Anthropic. Token di bot di Telegram. Credenziali OAuth di Slack. Cronologie complete delle conversazioni su ogni piattaforma di chat integrata. Due istanze hanno restituito mesi di conversazioni private al completamento dell’handshake WebSocket. La rete rileva il traffico localhost. I team di sicurezza non hanno visibilità su cosa stanno chiamando gli agenti o quali dati stanno restituendo.
Ecco perché: OpenClaw si fida di localhost per impostazione predefinita, senza richiedere autenticazione. La maggior parte delle distribuzioni si basa su nginx o Caddy come proxy inverso, quindi ogni connessione sembra provenire da 127.0.0.1 e viene trattata come traffico locale attendibile. Le richieste esterne entrano direttamente. Il vettore di attacco specifico di O’Reilly è stato corretto, ma l’architettura che lo consentiva non è cambiata.
Perché Cisco lo definisce un “incubo per la sicurezza”
Il team di ricerca sulla sicurezza e le minacce all’intelligenza artificiale di Cisco ha pubblicato questa settimana la sua valutazione , definendo OpenClaw “rivoluzionario” dal punto di vista delle capacità, ma “un incubo assoluto” dal punto di vista della sicurezza.
Il team di Cisco ha rilasciato uno Skill Scanner open source che combina analisi statica, flusso di dati comportamentale, analisi semantica LLM e scansione VirusTotal per rilevare le competenze degli agenti dannosi. Ha testato una competenza di terze parti chiamata “What Would Elon Do?” contro OpenClaw. Il verdetto è stato un fallimento decisivo. Sono emersi nove problemi di sicurezza, tra cui due critici e cinque di elevata gravità.
La skill era funzionalmente un malware. Istruiva il bot a eseguire un comando curl, inviando dati a un server esterno controllato dall’autore della skill. Esecuzione silenziosa, senza alcuna consapevolezza da parte dell’utente. La skill implementava anche l’iniezione diretta di prompt per aggirare le linee guida di sicurezza.
“L’LLM non è in grado di distinguere tra istruzioni utente attendibili e dati recuperati non attendibili”, ha affermato Rees. “Potrebbe eseguire il comando incorporato, diventando di fatto un ‘vice confuso’ che agisce per conto dell’aggressore”. Gli agenti di intelligenza artificiale con accesso al sistema diventano canali segreti di fuga di dati che aggirano i tradizionali DLP, proxy e monitoraggio degli endpoint.
Perché la visibilità dei team di sicurezza è appena peggiorata
Il divario di controllo si sta allargando più velocemente di quanto la maggior parte dei team di sicurezza si renda conto. Da venerdì, gli agenti basati su OpenClaw stanno creando i propri social network. Canali di comunicazione che esistono completamente al di fuori della visibilità umana.
Moltbook si definisce “un social network per agenti di intelligenza artificiale” dove “gli esseri umani sono benvenuti a osservare”. I post passano attraverso l’API, non attraverso un’interfaccia visibile agli esseri umani. Scott Alexander di Astral Codex Ten ha confermato che non è una banale invenzione . Ha chiesto al suo Claude di partecipare e “i commenti sono stati piuttosto simili a tutti gli altri”. Un essere umano ha confermato che il suo agente ha avviato una community a tema religioso “mentre dormivo”.
Le implicazioni per la sicurezza sono immediate. Per partecipare, gli agenti eseguono script shell esterni che riscrivono i loro file di configurazione. Pubblicano informazioni sul loro lavoro, sulle abitudini dei loro utenti e sui loro errori. La perdita di contesto è una condizione necessaria per la partecipazione. Qualsiasi iniezione di prompt in un post di Moltbook si ripercuote sulle altre funzionalità dell’agente tramite connessioni MCP.
Moltbook è un microcosmo del problema più ampio. La stessa autonomia che rende gli agenti utili li rende vulnerabili. Più possono fare in modo indipendente, maggiori sono i danni che un set di istruzioni compromesso può causare. La curva di capacità sta superando di gran lunga la curva di sicurezza. E chi sviluppa questi strumenti è spesso più entusiasta di ciò che è possibile che preoccupato di ciò che è sfruttabile.
Cosa devono fare i responsabili della sicurezza lunedì mattina
I firewall per applicazioni web vedono il traffico degli agenti come un normale HTTPS. Gli strumenti EDR monitorano il comportamento dei processi, non il contenuto semantico. Una tipica rete aziendale vede il traffico localhost quando gli agenti chiamano i server MCP .
“Considerate gli agenti come infrastrutture di produzione, non come app di produttività: privilegi minimi, token con ambito, azioni consentite, autenticazione forte su ogni integrazione e verificabilità end-to-end”, ha dichiarato a VentureBeat in un’intervista esclusiva Itamar Golan, fondatore di Prompt Security (ora parte di SentinelOne).
Controlla la tua rete per individuare gateway di IA agentici esposti. Esegui scansioni Shodan sui tuoi intervalli IP per le firme OpenClaw, Moltbot e Clawdbot. Se i tuoi sviluppatori stanno sperimentando, vuoi saperlo prima che lo facciano gli aggressori.
Mappa dove si trova la tripletta letale di Willison nel tuo ambiente. Identifica i sistemi che combinano accesso a dati privati, esposizione a contenuti non attendibili e comunicazione esterna. Presumi che qualsiasi agente con tutte e tre le caratteristiche sia vulnerabile fino a prova contraria.
Segmenta l’accesso in modo aggressivo. Il tuo agente non ha bisogno di accedere a tutta Gmail, a tutto SharePoint, a tutto Slack e a tutti i tuoi database contemporaneamente. Tratta gli agenti come utenti privilegiati. Registra le azioni dell’agente, non solo l’autenticazione dell’utente.
Analizza le tue skill agente per individuare comportamenti dannosi. Cisco ha rilasciato il suo Skill Scanner come open source . Usalo. Alcuni dei comportamenti più dannosi si nascondono all’interno dei file stessi.
Aggiorna i tuoi playbook di risposta agli incidenti . L’iniezione rapida non assomiglia a un attacco tradizionale. Non c’è alcuna firma malware, nessuna anomalia di rete, nessun accesso non autorizzato. L’attacco avviene all’interno del ragionamento del modello. Il tuo SOC deve sapere cosa cercare.
Stabilisci una policy prima di vietare. Non puoi proibire la sperimentazione senza diventare il blocco della produttività che i tuoi sviluppatori aggirano. Crea barriere che canalizzino l’innovazione anziché bloccarla. L’intelligenza artificiale ombra è già presente nel tuo ambiente. La domanda è se ne hai visibilità.
La conclusione
OpenClaw non è la minaccia. È il segnale. Le falle di sicurezza che espongono queste istanze espongono ogni implementazione di intelligenza artificiale agentica che la vostra organizzazione realizzerà o adotterà nei prossimi due anni. La sperimentazione a livello di base è già avvenuta. Le falle di controllo sono documentate. I modelli di attacco sono pubblicati.
Il modello di sicurezza basato sull’intelligenza artificiale agentica che costruirai nei prossimi 30 giorni determinerà se la tua organizzazione otterrà guadagni di produttività o se sarà la prossima vittima di violazioni. Convalida subito i tuoi controlli.