OpenClaw sotto attacco: i malware infostealer puntano sugli agenti IA locali

OpenClaw, framework di assistente IA agentico che può operare in locale sul PC dell'utente, è stato coinvolto nel primo caso documentato di furto dei suoi file di configurazione da parte di un malware infostealer. Secondo quanto riportato da Hudson Rock, la compromissione ha portato all'esfiltrazione di token, chiavi crittografiche e file di memoria in grado, potenzialmente, di permettere la manipolazione completa e lo sfruttamento dell'identità digitale della vittima.

OpenClaw, conosciuto anche come ClawdBot e MoltBot, è un framework agentico che mantiene una configurazione persistente e un ambiente di memoria sul sistema locale, con accesso a file, email, app di comunicazione e servizi online che l'utente ha deciso di collegare. Proprio questa integrazione profonda con la sfera personale e professionale ha portato diversi ricercatori a indicarlo come un nuovo obiettivo primario per gli infostealer, che tradizionalmente prendono di mira soprattutto a credenziali di browser e applicazioni.

Cosa è stato rubato: token, chiavi private e "soul" dell'agente

Nel caso analizzato, Hudson Rock ha individuato un'infezione attribuita con alta probabilità a una variante del noto infostealer Vidar, attivo dal 2018 e ampiamente utilizzato nello scenario del cybercrime. Il malware non conteneva un modulo specifico per OpenClaw, ma eseguiva una routine di furto generica che scandaglia il sistema alla ricerca di file e directory sensibili, basandosi su parole chiave come "token" e "private key" e su percorsi come la cartella nascosta ".openclaw".

Tra i file sottratti figurano "openclaw.json", che include l'email dell'utente, il percorso del workspace e un token di autenticazione ad alta entropia per il gateway dell'agente. Secondo gli analisti, un token di questo tipo potrebbe consentire a un attaccante di collegarsi a un'istanza locale di OpenClaw esposta in rete o impersonare il client nelle richieste verso il gateway dell'assistente.

Un altro file critico è "device.json", contenente sia la chiave pubblica sia la chiave privata (publicKeyPem e privateKeyPem) utilizzate per il pairing e la firma dei messaggi. La disponibilità della chiave privata permette in teoria di firmare comunicazioni come se provenissero dal dispositivo legittimo, con il rischio di aggirare controlli come i "Safe Device check" e accedere a log cifrati o servizi cloud associati.

Particolarmente delicati sono poi i file "soul.md" e quelli di memoria come "AGENTS.md" e "MEMORY.md", che definiscono il comportamento dell'agente e conservano contesti persistenti. In questi documenti possono comparire attività quotidiane, messaggi privati, eventi di calendario e altre informazioni personali che, se correlate, contribuiscono a costruire un quadro molto dettagliato della vita digitale della vittima. Hudson Rock sottolinea che, nel caso analizzato, l'insieme di token, chiavi e memoria potrebbe abilitare una compromissione totale dell'identità digitale dell'utente.

Dagli account ai "souls" degli agenti IA: un cambio di paradigma per gli infostealer

Per i ricercatori coinvolti, questo incidente rappresenta una tappa significativa nell'evoluzione degli infostealer, che stanno passando dalla semplice raccolta di credenziali archiviate nei browser al furto delle identità operative degli assistenti IA personali. Hudson Rock aveva già indicato OpenClaw come "nuovo obiettivo primario" per questo tipo di malware, proprio per la concentrazione di dati sensibili e segreti di accesso che l'agente gestisce e memorizza.

In parallelo, altri rapporti hanno messo in luce la crescente superficie d'attacco attorno all'ecosistema OpenClaw, che comprende skill di terze parti, repository pubblici e servizi collegati. Ricerche recenti descrivono campagne di supply chain attack che sfruttano skill malevoli su ClawHub e siti clone per distribuire malware, oltre a problematiche legate a piattaforme correlate come Moltbook, forum "solo IA" in cui gli account degli agenti non possono essere cancellati una volta creati.

La combinazione di accesso capillare ai dati dell'utente e capacità di agire in autonomia rende questi agenti una possibile "amplificazione" dell'attacco, con scenari che vanno dall'abuso di servizi collegati fino all'uso dell'agente compromesso come veicolo per nuove intrusioni. Per questo motivo diversi vendor di sicurezza hanno iniziato a pubblicare linee guida specifiche per la protezione delle istanze OpenClaw esposte e a proporre soluzioni di hardening, controllo degli accessi e segregazione delle attività ad alto rischio.

Implicazioni per utenti e aziende che adottano agenti IA

Gli incidenti che coinvolgono OpenClaw e nanobot mostrano come gli agenti IA personali e i framework agentici stiano diventando parte integrante delle infrastrutture IT e dei flussi di lavoro aziendali, e non più semplici strumenti sperimentali. La presenza di API key, token di accesso, chiavi crittografiche e log di attività all'interno dei loro ambienti di esecuzione rende necessario applicare a questi sistemi lo stesso livello di controllo e di hardening già adottato per applicazioni critiche e servizi esposti.

Per chi valuta o utilizza soluzioni di questo tipo, le raccomandazioni dei ricercatori convergono su alcuni punti chiave: evitare l'esposizione diretta delle istanze su Internet senza autenticazione robusta, limitare i permessi concessi all'agente, monitorare l'uso di skill di terze parti e mantenere aggiornati framework e componenti di integrazione. I casi riportati indicano che gli attori malevoli stanno già adattando i propri strumenti per sfruttare le nuove opportunità offerte dall'adozione degli agenti IA, rendendo la sicurezza di questi sistemi una priorità emergente per utenti finali e aziende.