Nelle ultime settimane l’assistente AI OpenClaw (precedentemente noto come Moltbot e Clawdbot) ha catturato l’attenzione di media e social. OpenClaw è un framework open-source per agenti AI che punta a rendere i modelli linguistici capaci di agire davvero, non solo di rispondere. L’hype nasce dal fatto che permette ai più noti modelli AI come Claude Opus 4.6 o GPT 5.2 di osservare un contesto, pianificare, scegliere strumenti, eseguire azioni e verificare il risultato, in un ciclo continuo. Non risponde a un comando e basta; coordina sistemi, automatizza flussi e prende iniziative entro regole definite. Molti paragonano OpenClaw a J.A.R.V.I.S., l’assistente artificiale di Tony Stark (Iron Man). Puoi comandarlo direttamente sul tuo computer o anche da remoto con app come Telegram o Whatsapp.
Il team STRIKE di SecurityScorecard ha pubblicato una ricerca che riporta la discussione su un terreno molto più concreto e, paradossalmente, più preoccupante. Si è passati dagli scenari fantascientifici dell’universo Marvel alla realtà dei fatti. Il problema di OpenClaw non riguarda bot AI fuori controllo, ma un’infrastruttura digitale esposta in modo pericoloso a chiunque sappia dove cercare.
L’analisi di SecurityScorecard rivela 51.442 indirizzi IP unici che ospitano pannelli di controllo OpenClaw completamente accessibili, distribuiti in 82 paesi. Di questi, oltre 15.000 sono vulnerabili a esecuzione remota di codice, il che significa che un attaccante può prendere il controllo completo della macchina host. STRIKE ha anche aperto un sito https://declawed.io che monitora la situazione attuale.
Non si tratta di un rischio ipotetico, ma di tre vulnerabilità pubblicate (CVE) con exploit già disponibili. Inoltre l’ecosistema OpenClaw mostra segnali di configurazioni insicure: dai repository GitHub pieni di credenziali in chiaro per arrivare ai tutorial YouTube che diffondono pratiche rischiose.
L’errore è nel design, non nell’intelligenza artificiale
L’idea di un assistente AI installato sul proprio computer ha attirato molti utenti, sia esperti sia inesperti. Effettivamente, se OpenClaw viene distribuito in modo sicuro, questo tipo di automazione può essere estremamente utile. Il problema nasce quando viene distribuito con leggerezza, seguendo le impostazioni predefinite senza comprenderne le implicazioni di sicurezza.
Per impostazione predefinita, OpenClaw si lega all’indirizzo 0.0.0.0:18789, il che significa che ascolta su tutte le interfacce di rete, inclusa quella pubblica. Per uno strumento con questo livello di accesso, l’impostazione predefinita dovrebbe essere 127.0.0.1 (solo localhost), ma non lo è. Il risultato è che oltre 40.000 istanze di OpenClaw sono esposte direttamente a internet, e questo numero continua a crescere a ritmi allarmanti.
Durante le 24 ore di ricerca del team STRIKE, il conteggio è passato da 24.034 a 40.214 istanze confermate, con 23.505 che mostrano interfacce di pannello di controllo attive. Questa crescita rapida indica che il progetto si sta diffondendo più velocemente di quanto chi lo installa riesca a proteggerlo, creando un’enorme superficie di attacco che si espande in tempo reale.
La concentrazione geografica è altrettanto preoccupante. Il 45% delle istanze esposte è ospitato su Alibaba Cloud, con il 37% delle installazioni situato in Cina. Altre concentrazioni rilevanti si trovano su DigitalOcean (24,5%), Hetzner (13%) e Cloudflare (10,1%). Quest’ultima presenza è particolarmente interessante perché suggerisce tentativi di oscurare l’origine tramite infrastruttura CDN, ma i server backend rimangono comunque vulnerabili agli attacchi a livello applicativo.
La distribuzione su grandi provider cloud indica che esistono template di deployment insicuri che vengono replicati su larga scala, trasformando quello che potrebbe essere un problema isolato in una vulnerabilità sistemica dell’intero ecosistema.
Cosa rischia chi ha installato OpenClaw senza le giuste protezioni
Quando comprometti un’istanza di OpenClaw, non ottieni semplicemente accesso a dei dati ma erediti tutto ciò a cui l’agente può accedere. Qui, l’installazione stessa diventa un meccanismo per eseguire azioni, interagire con altri sistemi e operare con un’autorità che appare legittima, ritardando il rilevamento e amplificando l’impatto.
L’accesso include la directory delle credenziali (~/.openclaw/credentials/) con chiavi API, token OAuth e password di servizi, oltre all’accesso completo al filesystem con chiavi SSH in ~/.ssh/, profili del browser e database dei gestori di password. Se il bot ha accesso a WhatsApp, Telegram o Discord, l’attaccante può inviare messaggi impersonando la vittima. Attraverso l’automazione del browser, può controllare sessioni autenticate o svuotare portafogli di criptovalute.
Ancora più preoccupante, l’attaccante può ottenere il contesto della memoria, ovvero tutto ciò che OpenClaw sa sulla vita, le preferenze e le attività della vittima. È come consegnare a un estraneo non solo le chiavi di casa, ma anche un diario dettagliato delle tue abitudini quotidiane.
La ricerca ha identificato tre advisory di sicurezza ad alta gravità che dimostrano come questi rischi teorici siano già stati sfruttati in pratica. CVE-2026-25253 (punteggio CVSS 8.8) è una vulnerabilità di esecuzione remota di codice con un solo clic. Un attaccante crea un link malevolo che, quando cliccato da chi usa OpenClaw, ruba il token di autenticazione e garantisce il controllo completo dell’agente AI, anche se l’istanza è vincolata a localhost.
CVE-2026-25157 (punteggio CVSS 7.8) riguarda l’iniezione di comandi SSH nell’app macOS, mentre CVE-2026-24763 (punteggio CVSS 8.8) permette l’escape dal sandbox Docker tramite manipolazione del PATH. Tutte queste vulnerabilità sono state corrette nella versione v2026.1.29 del 29 gennaio, ma i dati mostrano che la maggioranza delle istanze identificate esegue versioni precedenti e quindi rimane vulnerabile.
Come proteggere le installazioni esistenti
L’analisi della frammentazione delle versioni rivela che solo il 22% delle istanze esposte utilizza il branding attuale “OpenClaw Control“, introdotto il 29 gennaio. Il restante 78% esegue versioni più vecchie con nomi che precedono le patch di sicurezza critiche, tra cui “Clawdbot Control” (39,5%) e “Moltbot Control” (38,5%).
Se hai già installato OpenClaw, la priorità immediata è aggiornare alla versione v2026.2.1 o successiva, che include le patch per le vulnerabilità note. Questa non è una raccomandazione opzionale ma un intervento urgente che dovrebbe essere eseguito prima di qualsiasi altra operazione. Subito dopo, modifica la configurazione per vincolare il servizio a localhost impostando gateway.bind: "127.0.0.1" nel file di config.
Per l’accesso remoto, invece di esporre direttamente le porte, usa Tailscale o una VPN. Dopo l’aggiornamento, ruota tutti i token e trattali come potenzialmente compromessi, perché anche un’esposizione breve potrebbe aver permesso a qualcuno di intercettarli. Poi esegui un audit di sicurezza approfondito con il comando openclaw security audit deep.
Per rafforzare ulteriormente la sicurezza, abilita l’autenticazione con una password forte e unica, e considera l’uso di un reverse proxy come nginx con autenticazione davanti all’istanza. Gli strumenti di tunnel zero-trust come Cloudflare Tunnel, Tailscale, ngrok o WireGuard ti permettono di accedere ai servizi senza aprire porte in entrata sul firewall, riducendo in modo sostanziale la superficie di attacco.
Controlla i log di accesso per attività non autorizzate, cercando pattern insoliti come accessi a orari improbabili o da località geografiche sospette. Limita l’accesso di rete a IP fidati tramite regole firewall o gruppi di sicurezza cloud. Non eseguire mai framework di agenti AI come root, ma usa un account di servizio dedicato e senza privilegi, applicando il principio del minimo privilegio a ogni livello.
Vulnerabilità OpenClaw: conclusioni
OpenClaw è un indicatore anticipatore di un futuro che sta arrivando più velocemente di quanto le nostre pratiche di sicurezza riescano ad adattarsi. L’industria dell’AI sta correndo per costruire sistemi agentici che non si limitano a rispondere ma agiscono autonomamente sul tuo computer.
L’attrattiva di un’intelligenza artificiale che può effettivamente fare cose al tuo posto risiede nel fatto che è più utile di un’AI che può solo parlarne. Ma altrettanto ovvia è la minaccia. Il modello di sicurezza per gli agenti AI è in gran parte inesplorato, e stiamo concedendo a questi sistemi capacità, accesso ai file, esecuzione di comandi, accesso alla rete e delega di identità che non daremmo mai a un’applicazione tradizionale senza una revisione approfondita.
Gli attaccanti seguiranno lo stesso percorso che hanno seguito con console cloud, database esposti e software di trasferimento file, puntando su comodità, impostazioni predefinite e scala. Solo che questa volta non otterranno solo accesso da riga di comando, ma un’interfaccia conversazionale alla tua intera vita digitale.
