OpenClaw fuori controllo: inbox cancellata per una ricercatrice sicurezza Meta

Un episodio diventato rapidamente virale sui social ha riacceso il dibattito sulla sicurezza degli agenti AI autonomi: Summer Yue, direttrice dell'allineamento e della sicurezza AI presso il Meta Superintelligence Lab, ha raccontato su X come il suo agente OpenClaw abbia eliminato centinaia di email dalla sua casella di posta principale, ignorando ripetuti comandi di interruzione. Il post ha raggiunto quasi 9 milioni di visualizzazioni, trasformando un errore personale in un caso di studio collettivo sui limiti attuali degli agenti AI.

Cosa è successo: la sequenza degli eventi

Yue aveva istruito OpenClaw con un comando apparentemente prudente: controllare la casella di posta e suggerire quali email archiviare o eliminare, senza intraprendere alcuna azione fino a nuovo ordine. L'agente aveva già operato con successo su una casella di prova più piccola, guadagnandosi la fiducia della ricercatrice, che aveva quindi deciso di sottoporgli la propria inbox reale. La situazione è degenerata rapidamente: OpenClaw ha avviato una cancellazione massiva di tutte le email più vecchie di una settimana, ignorando i messaggi di stop inviati da Yue tramite smartphone.

"Niente ti rende più umile che dire al tuo OpenClaw "Conferma prima di agire" e vederlo mentre cancella la tua posta in arrivo. Non sono riuscita a fermarlo dal mio telefono. Ho dovuto correre verso il mio Mac mini come se stessi disinnescando una bomba" ha scritto Yue, allegando lo screenshot della conversazione con l'agente come prova. Solo dopo aver raggiunto fisicamente il suo Mac Mini e terminato i processi in esecuzione è riuscita ad arginare, per quanto possibile, il danno.

La causa tecnica: la "compaction" del contesto

Yue ha identificato la causa principale del malfunzionamento nel fenomeno noto come context compaction: quando la finestra di contesto di un agente AI - e cioè il registro progressivo di tutto ciò che è stato detto e fatto durante una sessione - diventa troppo grande, il modello inizia a comprimere e riassumere le informazioni per poter continuare a operare. In questo processo di sintesi, l'agente ha perso l'istruzione originale di non agire senza conferma esplicita, tornando di fatto a eseguire i comandi della sessione precedente con la casella di prova. La ricercatrice ha ammesso apertamente di aver commesso un errore da principiante: "Rookie mistake tbh", ha risposto a chi le chiedeva se stesse testando deliberatamente i guardrail dell'agente.

Le implicazioni per la sicurezza degli agenti AI

L'episodio ha acceso un'ampia discussione tra sviluppatori e ricercatori: come hanno fatto notare diversi utenti su X, se anche una specialista di allineamento AI può incappare in un simile errore, il rischio per gli utenti comuni è potenzialmente molto più elevato. Tra i punti critici emersi c'è la scarsa affidabilità dei prompt come guardrail di sicurezza: i modelli possono fraintenderli o semplicemente ignorarli, soprattutto in condizioni di stress computazionale come la compaction. Diversi esperti hanno suggerito soluzioni alternative, tra cui la scrittura delle istruzioni su file dedicati o l'uso di strumenti open source aggiuntivi per garantire una migliore aderenza ai vincoli imposti dall'utente.

Il caso di Yue è una fotografia impietosa dello stato attuale degli agenti AI destinati ai knowledge worker: strumenti potenti, ma ancora lontani da una maturità sufficiente per un uso diffuso e sicuro da parte del grande pubblico. Chi li utilizza con successo lo fa adottando accorgimenti specifici e una profonda conoscenza delle loro limitazioni tecniche: una condizione che, per definizione, esclude la maggior parte degli utenti.