OpenClaw spaventa le aziende: perché iniziano a vietarlo e cos'è la "triade letale"

Nel giro di poche settimane, OpenClaw è passato dall'essere uno degli strumenti di intelligenza artificiale più discussi del momento a diventare oggetto di divieti espliciti in diverse aziende tecnologiche mondiali, tutte accomunate dalla medesima preoccupazione: un agente AI autonomo, capace di operare in modo imprevedibile all'interno di ambienti sensibili, rappresenta un rischio troppo elevato in un contesto aziendale per essere tollerato senza adeguate garanzie di sicurezza.

Dalle chat virali ai divieti aziendali

OpenClaw - conosciuto in precedenza con i nomi Clawdbot e MoltBot - è un agente AI open-source che può essere installato localmente su qualsiasi sistema e si interfaccia con le principali piattaforme di messaggistica come Slack, WhatsApp, Telegram e Discord. Una volta attivo, il tool è in grado di accedere al filesystem del dispositivo, alla posta elettronica, al calendario e al browser, ed è persino capace di eseguire comandi direttamente sul sistema operativo. La prima versione, Clawdbot, è stata rilasciata a novembre 2025; a gennaio 2026, la diffusione era già diventata virale. Vi abbiamo parlato di OpenClaw (quando aveva appena cambiato nome in MoltBot) qui: "Moltbot non è solo un chatbot: agisce, ricorda e può sfuggire al controllo".

Le preoccupazioni e i timori, una volta che OpenClaw è diventato virale, sono cresciute abbastanza rapidamente. Jason Grad, CEO di Massive, una società che fornisce soluzioni proxy internet, ha inviato ai propri venti dipendenti un messaggio urgente su Slack già il 26 gennaio, prima ancora che qualcuno avesse installato il tool, avvertendo che OpenClaw era "non testato e comportava rischi significativi". Secondo quanto riportato da Wired, un dirigente di Meta ha comunicato al proprio team che installare OpenClaw sui laptop aziendali avrebbe potuto comportare il licenziamento, citando l'imprevedibilità del software e il rischio di compromettere la privacy anche in ambienti altrimenti protetti.

Una vulnerabilità critica e migliaia di istanze esposte

A rendere ancora più urgente la situazione è stata la divulgazione della vulnerabilità CVE-2026-25253, con un punteggio CVSS di 8.8, che consente l'esecuzione remota di codice con un singolo clic. Come spiegato dai ricercatori di Positive Technologies, se l'agente visita un sito controllato da un attaccante o l'utente clicca su un link malevolo, il token di autenticazione principale viene esfiltrato, garantendo all'aggressore il controllo amministrativo completo del gateway. Scansioni condotte poco dopo la pubblicazione hanno rilevato oltre 21.000 istanze di OpenClaw raggiungibili da internet. La patch è stata rilasciata con la versione 2026.1.29, ma molti utenti hanno ritardato l'aggiornamento, lasciando l'exploit funzionante per diversi giorni.

Oltre alla vulnerabilità principale, i ricercatori hanno identificato due ulteriori falle di tipo command injection (CVE-2026-24763 e CVE-2026-25157) e una serie di impostazioni predefinite pericolose: l'autenticazione è disabilitata per default, rendendo il gateway accessibile da internet; il server accetta connessioni WebSocket senza verificarne l'origine; i parametri di configurazione critici vengono trasmessi in chiaro sulla rete locale tramite messaggi mDNS. Come rilevato da Kaspersky, le credenziali e le chiavi API vengono inoltre salvate in testo semplice, al punto che alcune varianti dei malware RedLine, Lumma e Vidar hanno già aggiunto i percorsi di file di OpenClaw alle proprie liste di dati da sottrarre.

Il rischio strutturale degli agenti AI autonomi

I problemi di OpenClaw non si esauriscono nelle vulnerabilità tecniche correggibili con aggiornamenti. Il vero nodo è di natura architetturale: l'agente combina accesso privilegiato a dati sensibili, esposizione a contenuti non attendibili (email, pagine web, messaggi in chat), incapacità strutturale dei modelli linguistici di separare comandi da dati (quindi autostrade aperte ad attacchi di prompt injection), e capacità di comunicare con l'esterno inviando email o effettuando chiamate API: si tratta, come Palo Alto Networks ha ribadito, della "triade letale" definita nel 2025 dal ricercatore di sicurezza Simon Willison. Guy Pistone, responsabile tecnico della società Valere, ha pubblicato su LinkedIn un video in cui ha spiegato il divieto ai propri dipendenti di usare lo strumento.

Il repository di skill di OpenClaw, denominato ClawHub, ha aggravato ulteriormente il quadro: poiché chiunque può pubblicare nuove estensioni, nel giro di poco tempo sono comparsi centinaia di skill malevoli, tra cui alcuni che includevano l'infostealer AMOS per macOS. Gli sviluppatori hanno successivamente siglato un accordo con VirusTotal per l'analisi automatica dei nuovi caricamenti, pur ammettendo esplicitamente che la soluzione non è infallibile. La Cina, tramite il Ministero dell'Industria e della Tecnologia dell'Informazione, ha emesso un avvertimento formale sui rischi per la sicurezza nazionale e in Corea del Sud, aziende come Kakao e Naver hanno notificato ai dipendenti il divieto di utilizzo su dispositivi e reti aziendali.

Come le aziende stanno reagendo

La risposta del settore si è articolata su più livelli. Sul piano tecnico, i team di sicurezza raccomandano di aggiornare all'ultima versione e ruotare i token compromessi, di limitare il gateway al localhost o di usare un tunnel attraverso una VPN, di disabilitare i tool non necessari (in particolare l'accesso alla shell e al filesystem) e di eseguire gli agenti in container con privilegi minimi. E' comunque importante evidenziare che un divieto generalizzato, pur comprensibile nell'immediato, non è necessariamente la strategia più efficace sul lungo periodo: la tendenza degli utenti a cercare vie alternative potrebbe spostare il problema nell'ombra, rendendo ancora più difficile il monitoraggio. L'AI Act europeo e il NIST AI Risk Management Framework vengono già citati come riferimenti normativi per definire requisiti di controllo degli accessi applicabili agli agenti AI di nuova generazione.

La vicenda di OpenClaw mette in luce una tensione strutturale che l'industria tecnologica dovrà affrontare con crescente urgenza: la velocità di adozione degli strumenti di AI agentiva supera spesso la capacità delle organizzazioni di valutarne i rischi in modo adeguato. Come osservato da numerosi analisti, a differenza dei tradizionali chatbot cloud che operano in ambienti centralizzati e controllati, gli agenti a esecuzione locale come OpenClaw possono aggirare i controlli di accesso convenzionali e interagire direttamente con dati e sistemi aziendali. Si tratta di una caratteristica che, nelle mani sbagliate o in presenza di configurazioni non sicure, si trasforma rapidamente in un vettore di attacco di difficile contenimento.