OpenClaw: la sicurezza è il vero banco di prova per l’era degli agenti AI

Il fermento che circonda OpenClaw — l’assistente AI open source e self-hosted, noto precedentemente come Moltbot e Clawdbot — delinea uno scenario sempre più chiaro: l’intelligenza artificiale agentica è ormai uscita dal puro perimetro protetto della sperimentazione, per scontrarsi con le complessità della sicurezza operativa e della governance dei sistemi.

Nato da un’idea di Peter Steinberger e cresciuto rapidamente su piattaforme come GitHub, OpenClaw si trova oggi al centro di un serrato dibattito sulla gestione del rischio sistemico, proprio mentre il suo futuro istituzionale sembra aver definitivamente preso forma.

Il 14 febbraio 2026, infatti, Steinberger ha annunciato il proprio ingresso in OpenAI come dipendente, ingaggiato direttamente dal CEO Sam Altman per guidare la prossima generazione di agenti personali. Una mossa che non si configura come un’acquisizione in senso stretto della piattaforma dato che OpenClaw non sarà assorbito dall’azienda, ma verrà trasferito in una fondazione indipendente — della quale non è ancora stato reso noto il nome ufficiale — che OpenAI si è comunque impegnata a finanziare.

Il progetto rimarrà quindi open source, guidato dalla community e compatibile con modelli di diversi provider. Si tratta di un modello di governance deliberatamente simile a quello di altri grandi progetti sostenuti da grandi partner aziendali, nei quali l’ideatore lavora per lo sponsor mentre il software mantiene la propria autonomia.

A differenza dei modelli tradizionali, OpenClaw opera direttamente sui dispositivi degli utenti, integrandosi con servizi di messaggistica e strumenti locali. E se da un lato, questa architettura, garantisce reattività ed efficienza senza pari, dall’altro crea un grande ed unico punto critico di convergenza per i dati sensibili, le automazioni profonde e le credenziali d’accesso.

La vulnerabilità CVE-2026-25253, corretta a fine gennaio, ne è la prova tangibile: nelle versioni precedenti alla 2026.1.29, infatti, un’interazione apparentemente innocua dell’utente poteva innescare l’esfiltrazione dei token, compromettendo l’intero gateway.

Le criticità, tuttavia, non si limitano al codice sorgente, nel quale Endor Labs — società specializzata nella sicurezza delle applicazioni — ha individuato sei vulnerabilità strutturali. Il vero tallone d’Achille di OpenClaw sembra invece risiedere proprio a livello di supply chain digitale. L’allarme lanciato da Snyk — piattaforma leader nella protezione degli sviluppatori — ne è un esempio concreto; su meno di quattromila pacchetti analizzati sono stati individuati 76 payload malevoli e 534 “skill” (le estensioni del sistema) ritenute critiche

Questi dati confermano anche i sospetti di Koi Security — startup specializzata nella governance e nella protezione degli agenti AI —, che ha visto il numero di skill malevole nel marketplace salire vertiginosamente fino a 824 unità. Anche l’infrastruttura globale mostra crepe profonde: SecurityScorecard — una delle maggiori autorità nel settore del rischio cyber — ha mappato oltre 42.000 pannelli di controllo esposti in 82 Paesi, con circa 15.000 istanze vulnerabili ad attacchi remoti. Per arginare questa deriva quindi, OpenClaw è dovuta correre ai ripari integrando su ClawHub la scansione automatica delle skill tramite VirusTotal.

Il punto centrale non risiede però nella semplice patch di una CVE. Rispetto a un chatbot classico, infatti, un agente AI eredita permessi reali su file, reti e account personali. Se a questo si aggiunge l’uso di estensioni di terze parti e di installazioni prive di controllo centrale (Shadow AI), ci si trova di fronte ad un incrocio pericoloso nel quale i rischi software e quelli operativi si scontrano apertamente.

Lo scenario è perciò chiaro. Proteggere gli agenti AI non significa solo revisionare il codice, ma applicare una strategia a 360° basata sui principi del privilegio minimo, dell’isolamento dei processi e della tracciabilità granulare di ogni singola azione. Come evidenziato dal documento tecnico di Metomic, CISO Briefing: OpenClaw Risk Landscape and Hardening Priorities — strutturato in sezioni su threat landscape, priorità di hardening e piano d’azione operativo — il mercato sta già reagendo con lo sviluppo di difese specifiche, che vanno dallo scanning al runtime fino al controllo granulare degli accessi. Un segnale, questo, che apre una questione ancora irrisolta: se e quando il settore sarà in grado di tradurre la consapevolezza del rischio in uno standard di sicurezza condiviso e concepito specificamente per l’architettura degli agenti AI.

Takeaway

Shadow AI. L’adozione di agenti AI all’interno di organizzazioni senza il coinvolgimento o la supervisione del dipartimento IT, con la conseguente proliferazione di installazioni prive di controllo centrale. In un ecosistema come quello di OpenClaw — dove l’architettura self-hosted e l’assenza di un gate istituzionale abbassano drasticamente la soglia di accesso — il perimetro del rischio non è definito da chi attacca, ma da chi installa senza che nessuno ne sappia nulla.

Glossario

AI Agentica (Agenti AI): sistemi di intelligenza artificiale evoluti che non si limitano a generare testo, ma possono compiere azioni autonome (come gestire file, inviare email o interagire con API) per raggiungere un obiettivo specifico.

CVE (Common Vulnerabilities and Exposures): è un catalogo pubblico e standardizzato di vulnerabilità di sicurezza informatica note. Ogni voce (es. CVE-2026-25253) identifica univocamente una falla specifica, permettendo a esperti e aziende di condividere informazioni, valutare la gravità del rischio e coordinare il rilascio di patch correttive in modo efficace a livello globale.

OpenClaw: assistente AI open-source e self-hosted (installabile su server propri) progettato per agire localmente, garantendo all’utente il controllo diretto sui propri dati e sulle automazioni.

Gateway: il componente software che funge da punto di ingresso e di transito per le comunicazioni tra l’agente IA e il mondo esterno (API, servizi di messaggistica o database). Essendo l’interfaccia che gestisce i flussi di dati, rappresenta un nodo critico per la sicurezza.

Payload: la parte di un pacchetto di dati o di un codice che contiene il messaggio o l’istruzione effettiva. In ambito di sicurezza, si riferisce al codice malevolo trasportato da un exploit che esegue l’azione dannosa (come il furto di token o il controllo remoto).

Principio del Privilegio Minimo (POLP): strategia di sicurezza che consiste nel concedere a un utente o a un processo solo i permessi strettamente necessari per svolgere il proprio compito, riducendo i danni in caso di compromissione.

Runtime Scanning: analisi di sicurezza effettuata mentre il software è in esecuzione, capace di rilevare comportamenti anomali o attacchi in tempo reale che non sono rilevabili durante l’analisi del codice statico.

Supply Chain (Software): la “catena di approvvigionamento” digitale che include tutti i componenti, le librerie e le estensioni di terze parti integrati in un software principale.

Skill: estensioni o plugin specifici che permettono a OpenClaw di acquisire nuove capacità e interagire con servizi esterni (es. Slack, GitHub, calendari).

Prompt Injection: tecnica che consiste nell’inserimento di istruzioni malevole all’interno di contenuti apparentemente legittimi che l’agente AI elabora come input affidabili. In un sistema agentico, tale rischio è amplificato, poiché queste istruzioni possono dirottare l’uso di strumenti, file e servizi esterni sfruttando i privilegi già concessi all’agente.

Token: nel contesto della sicurezza degli agenti AI, sono identificativi digitali univoci che fungono da “chiavi d’accesso”. Consentono all’agente di autenticarsi e operare su servizi esterni (come GitHub, Google Drive o Slack) per conto dell’utente. Se esfiltrati, permettono a un attaccante di prendere il controllo degli account collegati senza conoscerne la password.