OpenClaw, l'agente AI vietato da Meta per gravi vulnerabilità di sicurezza

L'agente AI open-source ha accumulato oltre 180.000 stelle su GitHub ma espone le aziende a rischi critici: ecco cos'è la triade letale e perché Gartner ne sco…

Contenuto

OpenClaw, l'agente AI vietato da Meta per gravi vulnerabilità di sicurezza

Scopri anche

OpenClaw, l'agente AI vietato da Meta per gravi vulnerabilità di sicurezza

OpenClaw, l'agente AI autonomo che combina produttività e rischi critici per la sicurezza

In questo articolo:

OpenClaw, agente AI open-source lanciato a novembre 2025, è stato vietato da Meta e altre aziende tech per gravi rischi di sicurezza. Il progetto, nato con il nome Clawdbot dallo sviluppatore austriaco Peter Steinberger e successivamente ribattezzato prima Moltbot e poi OpenClaw dopo dispute di trademark con Anthropic, ha raggiunto oltre 180.000 stelle su GitHub e oltre 2 milioni di visitatori in una sola settimana, con download settimanali che secondo OX Security hanno toccato quota 720.000.

La promessa dello strumento consiste in un assistente IA personale, open source, che opera in locale, comunica tramite WhatsApp, Telegram, Discord, Slack o Teams e non si limita a rispondere ma agisce: prenota voli, gestisce la posta, automatizza workflow, controlla dispositivi smart home. Come sintetizzato da Token Security, OpenClaw è essenzialmente "Claude con le mani": un LLM dotato di capacità esecutive concrete sul sistema dell'utente. Il problema è che quelle stesse mani, se compromesse, diventano le mani dell'attaccante.

La triade letale degli agenti IA autonomi

⬆ Torna su

Simon Willison, lo sviluppatore che ha coniato il termine "prompt injection", ha definito il profilo di rischio degli agenti IA autonomi attraverso il concetto di triade letale (lethal trifecta). Un sistema diventa strutturalmente pericoloso quando combina tre caratteristiche: accesso a dati privati, esposizione a contenuti non fidati e capacità di comunicare verso l'esterno. OpenClaw possiede tutte e tre simultaneamente e per design. Questa non è una debolezza accidentale: è una conseguenza architettonica.

L'agente legge e-mail e documenti, assume contenuti dal web, e può inviare messaggi o attivare automazioni senza supervisione umana continua. Dal punto di vista di un firewall enterprise, il traffico generato è un semplice HTTP 200. Per un SOC team che monitora il comportamento dei processi tramite EDR, l'attività appare legittima. La minaccia è semantica, non infrastrutturale, e questo la rende invisibile ai controlli tradizionali.

Ross McKerchar, CISO di Sophos, ha osservato che chiunque possa inviare un messaggio all'agente ottiene di fatto gli stessi privilegi dell'agente stesso. Un'e-mail contenente istruzioni malevole, un messaggio WhatsApp con un payload nascosto, un documento condiviso con prompt injection indiretta: tutti diventano vettori di compromissione senza che sia necessario alcun exploit tecnico nel senso tradizionale del termine.

La vulnerabilità CVE-2026-25253 e l'esposizione globale

⬆ Torna su

La vulnerabilità più grave documentata finora su OpenClaw è la CVE-2026-25253, classificata con un punteggio CVSS di 8.8 e catalogata come CWE-669 (Incorrect Resource Transfer Between Spheres). Scoperta dal ricercatore Mav Levin di depthfirst, questa falla consente l'esecuzione remota di codice arbitrario con un singolo click.

Il meccanismo di exploit si basa sulla Control UI di OpenClaw che accettava un parametro gatewayUrl dalla query string senza alcuna validazione, stabilendo automaticamente una connessione WebSocket che includeva il token di autenticazione dell'utente. Un attaccante poteva creare una pagina web malevola che, una volta visitata dalla vittima, esfiltrava il token in pochi millisecondi. Il server di OpenClaw non validava l'header Origin delle connessioni, consentendo il Cross-Site WebSocket Hijacking (CSWSH).

Il team STRIKE di SecurityScorecard ha identificato oltre 135.000 istanze di OpenClaw esposte direttamente su Internet. Di queste, oltre 50.000 risultavano vulnerabili al bug RCE già patchato, a indicare che una porzione critica della base utenti non aveva applicato gli aggiornamenti di sicurezza. Secondo Censys, al 31 gennaio 2026 erano state identificate 21.639 istanze esposte, con gli Stati Uniti come principale area di deployment, seguiti dalla Cina e da Singapore. Un'analisi indipendente ha successivamente rilevato che la Cina ha superato gli Stati Uniti come area con il maggior numero di deployment, con un divario di circa 14.000 istanze.

Configurazioni di default pericolose

⬆ Torna su

Il problema alla radice è una configurazione di default che ascolta su 0.0.0.0:18789, ovvero su tutte le interfacce di rete, inclusa quella pubblica. Combinata con l'assenza di autenticazione per le connessioni localhost e con il fatto che la maggior parte dei deployment utilizza un reverse proxy (Nginx o Caddy) che maschera tutte le connessioni come provenienti da 127.0.0.1, questa configurazione trasforma ogni istanza in un bersaglio aperto.

A questa CVE si affianca la CVE-2026-25157 (GHSA-q284-4pvr-m585), una vulnerabilità di OS command injection ad alta severità nel modulo SSH dell'applicazione macOS, dove input non correttamente sanificati consentivano l'esecuzione di comandi arbitrari sull'host locale o remoto. Un audit di sicurezza condotto a fine gennaio 2026 ha identificato complessivamente 512 vulnerabilità, otto delle quali classificate come critiche, secondo quanto riportato dai ricercatori di Kaspersky. Le credenziali e le chiavi API vengono salvate in testo semplice, al punto che alcune varianti dei malware RedLine, Lumma e Vidar hanno già aggiunto i percorsi di file di OpenClaw alle proprie liste di dati da sottrarre.

Il marketplace ClawHub e le skill malevole

⬆ Torna su

L'ecosistema di OpenClaw si estende attraverso ClawHub, un marketplace di skill ovvero moduli funzionali che l'agente può installare per ampliare le proprie capacità. Il marketplace richiede soltanto un account GitHub di almeno una settimana per la pubblicazione, senza firma crittografica, senza verifica dell'identità dell'autore e senza revisione sistematica del codice.

Il ricercatore Paul McCarty (alias 6mile) ha documentato una campagna massiva: oltre 400 skill malevole pubblicate su ClawHub e GitHub tra fine gennaio e inizio febbraio 2026, mascherate da strumenti di trading crypto che sfruttavano brand noti come ByBit, Polymarket, Axiom, Reddit e LinkedIn. Tutte condividevano la stessa infrastruttura di comando e controllo e distribuivano infostealer mirati a macOS e Windows, rubando chiavi crypto, credenziali e file sensibili.

Il caso emblematico è la skill denominata "What Would Elon Do?", analizzata dal team Cisco AI Threat & Security Research. Manipolata artificialmente per raggiungere il primo posto nella classifica del repository, questa skill era malware operativo: istruiva il bot a eseguire un comando curl che trasmetteva dati a un server esterno controllato dall'autore. Secondo l'analisi di Cisco, il 26% delle 31.000 skill analizzate conteneva almeno una vulnerabilità. Snyk ha condotto un'analisi su scala più ampia, scansionando 3.984 skill su ClawHub e identificando 283 skill con falle di sicurezza critiche che esponevano credenziali sensibili.

La memoria persistente come vettore di attacco differito

⬆ Torna su

Un elemento che distingue OpenClaw da altri strumenti IA è la memoria persistente. Come analizzato dal team di ricerca di Palo Alto Networks, questa funzionalità trasforma gli attacchi da exploit puntuali a minacce con esecuzione differita. Un payload malevolo non deve più attivarsi immediatamente: può essere frammentato in input apparentemente innocui che vengono scritti nella memoria a lungo termine dell'agente, per poi essere riassemblati in un set di istruzioni eseguibili quando lo stato interno dell'agente lo consente.

L'esempio concreto descritto nei report è un messaggio WhatsApp inoltrato con un "Buongiorno" che può contenere istruzioni malevole nascoste. L'agente, per svolgere il proprio compito, deve accedere al contenuto decrittato del messaggio e le istruzioni entrano nel contesto. Con la memoria persistente, quelle istruzioni rimangono disponibili anche a distanza di settimane, pronte per essere richiamate.

Il caso Moltbook e l'esposizione delle chiavi API

⬆ Torna su

Accanto a OpenClaw è cresciuto Moltbook, un social network creato dallo sviluppatore Matt Schlicht e progettato esclusivamente per agenti IA. In pochissimo tempo, 1,7 milioni di agenti registrati hanno generato quasi 7 milioni di commenti su circa un quarto di milione di post. Il rapporto tra bot e umani era di 88:1. I ricercatori di Wiz hanno scoperto che l'intero backend della piattaforma era esposto a causa di un database Supabase mal configurato: 1,5 milioni di chiavi API, 35.000 indirizzi e-mail e messaggi privati tra agenti erano accessibili a chiunque avesse un browser.

Il 31 gennaio 2026, una vulnerabilità critica ha consentito a chiunque di prendere il controllo di qualsiasi agente sulla piattaforma. Moltbook è stato messo offline e tutte le chiavi API sono state resettate. Ma il danno era fatto: qualsiasi contenuto pubblicato su Moltbook poteva diventare un vettore di prompt injection per ogni agente connesso.

Integrazioni IoT e rischio fisico

⬆ Torna su

OpenClaw supporta nativamente l'integrazione con Home Assistant e altre piattaforme di automazione domestica, consentendo il controllo di illuminazione, termostati, sistemi di sicurezza e dispositivi connessi tramite comandi in linguaggio naturale. Come osservato da Bitsight, chiunque ottenga accesso all'assistente IA potrebbe manipolare dispositivi fisici. Questo scenario assume una connotazione particolarmente critica quando le integrazioni IoT si estendono oltre l'ambito domestico: sistemi di building automation in contesti aziendali, controllo accessi fisici, sistemi HVAC connessi.

OpenClaw è stato progettato per operare come server always-on, spesso su dispositivi come il Mac Mini, la cui domanda è aumentata al punto da generare carenze di stock in diversi punti vendita statuitensi. Un dispositivo permanentemente connesso, con accesso sia a sistemi IT sia a sistemi OT/IoT, rappresenta un punto di convergenza che crea un canale di attraversamento laterale.

Le risposte istituzionali e aziendali

⬆ Torna su

Gartner ha pubblicato un advisory intitolato "OpenClaw Agentic Productivity Comes With Unacceptable Cybersecurity Risk", definendo il software "una preview pericolosa dell'IA agentica che dimostra alta utilità ma espone le imprese a rischi insecuri per default". Le raccomandazioni per le imprese includono il divieto di utilizzo sui dispositivi aziendali, il blocco delle interfacce web e API nei firewall, la scansione delle reti per identificare istanze non autorizzate, e la formazione dei dipendenti sui rischi.

Il Centre for Cybersecurity Belgium, l'Università di Toronto e numerosi CERT nazionali hanno emesso advisory urgenti, raccomandando l'aggiornamento immediato e la rotazione dei token. La Cina, tramite il Ministero dell'Industria e della Tecnologia dell'Informazione, ha emesso un avvertimento formale sui rischi per la sicurezza nazionale. In Corea del Sud, aziende come Kakao e Naver hanno notificato ai dipendenti il divieto di utilizzo su dispositivi e reti aziendali.

Palo Alto Networks ha definito OpenClaw la potenziale più grande minaccia insider del 2026. CrowdStrike ha evidenziato come gli attacchi possano portare all'esfiltrazione di dati sensibili o al dirottamento delle capacità agentiche per condurre ricognizione e movimento laterale. La patch è stata rilasciata con la versione 2026.1.29 il 30 gennaio 2026, introducendo un modale di conferma per la gateway URL e rimuovendo il comportamento di auto-connessione.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

Il caso OpenClaw evidenzia una tensione strutturale tra innovazione rapida e pratiche di sicurezza consolidate. La popolarità immediata dello strumento suggerisce che la domanda di agenti autonomi potrebbe continuare a crescere indipendentemente dai warning aziendali.

  • Scenario 1: Le oltre 135.000 istanze esposte con configurazioni di default potrebbero rimanere un vettore d'attacco persistente se il tasso di patching rimane basso.
  • Scenario 2: ClawHub, con requisiti di pubblicazione minimi, potrebbe attrarre ulteriori campagne di skill malevole che sfruttano la fiducia nei moduli popolari.
  • Scenario 3: La memoria persistente potrebbe trasformarsi in un vettore standard per attacchi differiti, difficili da correlare temporaneamente.

Cosa monitorare

⬆ Torna su
  • Evoluzione del numero di istanze esposte e distribuzione geografica dei deployment.
  • Risposta della community open-source alle vulnerabilità segnalate e tempi di patching.
  • Adozione di configurazioni sicure e autenticazione da parte degli utenti.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • cybersecurity
  • agentic
  • cve
  • ai

Link utili

Apri l'articolo su DeafNews