OpenClaw: tutto quello che devi sapere prima di usarlo nella tua azienda

OpenClaw: tutto quello che devi sapere prima di usarlo nella tua azienda

OpenClaw è un potente agente AI open source che gira in locale e si collega alle tue chat, ai file e al terminale, ma il suo livello di sicurezza è nettamente indietro rispetto all’enorme successo che ha ottenuto.

  • OpenClaw è un agente AI locale che si integra con WhatsApp, Telegram, Discord, Slack, Teams, iMessage e può leggere/modificare file, eseguire comandi, navigare sul web e gestire strumenti al posto tuo.
  • Ha superato rapidamente le 180.000 stelle su GitHub e ha generato un ecosistema di migliaia di “skill”, ma la sicurezza non ha tenuto il passo.
  • Una RCE “one‑click” ad alta gravità, centinaia di skill malevoli su ClawHub e decine di migliaia di istanze esposte mostrano un progetto sviluppato velocemente e protetto solo in un secondo momento.
  • Per chi lo usa in casa e sa cosa fa, il rischio è gestibile con molte precauzioni; in azienda, invece, oggi è meglio starne alla larga.

Che cos’è OpenClaw

OpenClaw è un agente AI self‑hosted che gira sul tuo computer o server e lavora tramite le app di messaggistica che già usi: WhatsApp, Telegram, Discord, Slack, Microsoft Teams e persino iMessage. In pratica è un assistente locale che non si limita a rispondere alle domande ma compie azioni: legge e modifica file, esegue comandi di shell, naviga, gestisce il calendario, installa strumenti.

Il progetto nasce come hack del weekend dello sviluppatore austriaco Peter Steinberger, pubblicato inizialmente come “Clawdbot” nel novembre 2025, poi ribattezzato “Moltbot” e infine “OpenClaw” a inizio 2026. A differenza degli assistenti cloud, qui i dati restano dove decidi tu (laptop, homelab, VPS), mantieni il controllo sul backend del modello e integri l’agente con gli strumenti che usi ogni giorno.

Perché tutti ne parlano

OpenClaw ha raccolto oltre 180.000 stelle su GitHub in poche settimane, attirato circa 2 milioni di visitatori in una sola settimana e dato vita a un ecosistema di migliaia di skill di terze parti. Intorno al progetto si è formata una community caotica e “anything goes”, tipica dei progetti open source virali, con integrazioni che vanno da dispositivi IoT a progetti di “AI girlfriend”.

Un episodio diventato virale riguarda un ingegnere che ha concesso all’agente accesso a iMessage e l’ha visto “impazzire”, inviando oltre 500 messaggi a lui, alla moglie e a contatti casuali. Questi casi sono curiosi, ma evidenziano un punto cruciale: OpenClaw spesso riceve accesso profondo alla vita digitale degli utenti, mentre le barriere di sicurezza non sono all’altezza.

Il quadro della sicurezza

A fine gennaio 2026 è stata resa pubblica, una vulnerabilità di gravità elevata (CVSS alto) nel pannello di controllo di OpenClaw. Il problema nasce dal parametro gatewayUrl dell’interfaccia web: il software apriva automaticamente una connessione WebSocket verso l’URL indicato e inviava il token di autenticazione dell’utente, senza conferma.

Un attaccante poteva quindi creare un link malevolo, farlo aprire alla vittima (o incorporarlo in una pagina), intercettare il token su un server sotto il suo controllo, connettersi al gateway locale di OpenClaw, disattivare sandbox e policy sugli strumenti ed eseguire comandi arbitrari: un click, compromissione totale. La vulnerabilità è stata corretta nella build successiva, ma è solo una delle tre advisory ad alta gravità pubblicate in pochi giorni, insieme a ulteriori problemi di command injection, seguite da altre due segnalazioni il 4 febbraio: cinque advisory in meno di una settimana indicano una codebase in cui la sicurezza è arrivata dopo le funzionalità.

Il problema supply chain di ClawHub

L’estensibilità di OpenClaw passa dalle “skill”, plugin distribuiti tramite ClawHub, il marketplace della community. Un audit di Koi Security su circa 2.800 skill ha identificato 341 pacchetti malevoli riuniti in una campagna chiamata “ClawHavoc”.

Queste skill si spacciavano per bot di trading crypto, tool di produttività o utility e in realtà distribuivano infostealer come Atomic Stealer per macOS, ladri di credenziali per Windows e script di social engineering in stile ClickFix. Una finta skill per Polymarket, ad esempio, apriva una reverse shell verso il server dell’attaccante, offrendo controllo remoto completo sulla macchina vittima.

In analisi successive, diverse aziende di sicurezza hanno riportato quasi 900 skill malevole o pericolosamente difettose su ClawHub, tra campagne ClawHavoc e pacchetti che esponevano API key o segreti nelle configurazioni. Il progetto ha risposto integrando la scansione con VirusTotal e un meccanismo di segnalazione delle skill sospette, ma il nodo di fondo resta: ClawHub è di fatto una supply chain non verificata, e gli utenti installano codice terzo con gli stessi privilegi dell’agente.

Istanze esposte ovunque

Ricercatori hanno individuato decine di migliaia di istanze OpenClaw esposte con configurazioni predefinite insicure. In alcuni scan sono state rilevate oltre 135.000 istanze raggiungibili da internet, di cui migliaia direttamente sfruttabili tramite l’RCE già corretta ma non patchata dai gestori. Questi sistemi esponevano API key, cronologia chat e credenziali di account, accessibili a chiunque sapesse dove guardare.

La causa principale è una “doppia personalità” delle impostazioni di default: l’installazione via CLI desktop si lega correttamente a 127.0.0.1, mentre il setup Docker ufficiale fa binding su 0.0.0.0:18789, rendendo il gateway raggiungibile su tutte le interfacce, internet inclusa. Sommando guide che suggeriscono modalità LAN “easy” e un pubblico che privilegia la semplicità rispetto al hardening, molti server restano esposti, spesso con versioni vecchie e senza le ultime protezioni di autenticazione.

È sicuro per uso domestico?

Dipende da quanto sei competente e prudente.

Per un utente tecnicamente preparato che capisce quali permessi sta concedendo, mantiene il software costantemente aggiornato, verifica attentamente le skill prima di installarle e fa girare OpenClaw su una macchina non critica o in un ambiente isolato (VM, container ben chiuso), il rischio può essere tenuto sotto controllo. In cambio si ottiene un agente AI davvero utile per automatizzare operazioni ripetitive sulle app di messaggistica e sul sistema locale.

Ma per mantenere questo “rischio gestibile” devi:

  • Aggiornare OpenClaw in modo rigoroso, perché le patch arrivano di frequente.
  • Non esporre l’istanza su internet, mantenendola solo in rete locale dietro firewall.
  • Trattare le skill di ClawHub con la stessa diffidenza che avresti verso un pacchetto npm sconosciuto: controllare sorgente, autore e, idealmente, leggere il codice.
  • Essere consapevole che stai dando a un agente AI la capacità di eseguire comandi e modificare file; se viene compromesso, è compromessa la macchina.
  • Evitare di collegarlo a sistemi o file con credenziali sensibili, dati finanziari o informazioni che non puoi permetterti di perdere o far uscire.

Per lo “smanettone” che lo tratta come progetto di laboratorio in un ambiente ben isolato, può essere un esperimento interessante. Per l’utente domestico medio che vuole solo un assistente “furbo” e non pensa troppo alla sicurezza, è meglio aspettare che il progetto maturi.

Perché le aziende dovrebbero starne lontane

Shadow AI è già realtà

I dati di telemetria di Bitdefender GravityZone mostrano che molti dipendenti stanno installando OpenClaw direttamente sui PC aziendali con comandi one‑liner. È Shadow AI allo stato puro: agenti non gestiti, con ampi privilegi sul sistema, distribuiti fuori da qualsiasi processo di governance IT.

Il fascino è evidente: colleghi l’agente a Slack aziendale, email e file system e ottieni un assistente che redige risposte, riassume thread e automatizza task ripetitivi. Ma insieme crei una nuova superficie di attacco che il team di sicurezza non conosce e che gli strumenti di monitoraggio non tracciano.

Crea percorsi di accesso non governati

OpenClaw si collega direttamente a email, file, piattaforme di messaggistica e strumenti di sistema, creando identità e percorsi di accesso non umani che sfuggono ai controlli IAM tradizionali e alla gestione dei segreti. Le policy RBAC, le regole di accesso condizionale o l’MFA non si applicano a un agente a cui sono stati consegnati token e API key e “lasciato fare”.

Il rischio di prompt injection

Un agente che processa dati esterni (email, documenti, messaggi) è intrinsecamente vulnerabile alla prompt injection. Un attaccante che riesce a inserire un messaggio appositamente crafted nella casella di un dipendente può indurre l’agente a compiere azioni per suo conto: dal furto di dati all’esecuzione di comandi pericolosi. Si tratta di una classe di attacchi ormai ben documentata contro sistemi agentici, e l’architettura di OpenClaw lo espone in modo particolare.

Ecosistema di skill non verificato

Con centinaia di skill malevole o gravemente fallate già individuate su ClawHub, installare una skill equivale a eseguire codice terzo non revisionato con gli stessi permessi dell’agente. In un contesto enterprise è come consentire ai dipendenti di installare software arbitrario da un marketplace non moderato, cosa che la maggior parte delle aziende ha passato vent’anni a cercare di evitare.

Mancanza di controlli enterprise

OpenClaw non offre audit logging adeguato, controlli di accesso granulari, integrazioni con identity provider aziendali né strumenti di governance e compliance richiesti in produzione. Non esiste una console centrale per gestire le istanze, definire ruoli, imporre policy o avere visibilità unificata sulle azioni degli agenti.

Cosa dovrebbero fare le organizzazioni adesso

Anche se non hai mai autorizzato OpenClaw, è probabile che da qualche parte nella rete qualcuno lo abbia già installato.

  • Mappare l’ambiente: usare EDR ed EASM per cercare istanze OpenClaw, inclusi i port scan su 18789 e le firme dedicate offerte da strumenti come GravityZone e runZero.
  • Aggiornare le policy di uso accettabile: esplicitare il divieto o le condizioni per strumenti che possono eseguire comandi, accedere a file e connettersi a piattaforme di messaggistica per conto dei dipendenti.
  • Bloccare o monitorare i vettori d’installazione: se usi allowlisting o controlli sugli endpoint, aggiungi OpenClaw alla block list o almeno monitora ogni tentativo di installazione.
  • Formare i team: spiegare in modo chiaro e non punitivo i rischi; molti dipendenti vedono solo un boost di produttività, non un nuovo punto di ingresso per gli attaccanti.
  • Se proprio devi valutarlo, isolarlo: eseguirlo in un ambiente sandbox senza accesso a dati di produzione, credenziali aziendali o reti interne, come faresti con qualsiasi software non fidato sotto valutazione.
  • Monitorare la maturità del progetto: tenere d’occhio le evoluzioni sul fronte sicurezza (integrazione VirusTotal, reporting sulle skill, cadenza delle patch), sapendo però che “più attenzione alla sicurezza” non significa automaticamente “pronto per l’impresa”.

Considerazioni finali

L’idea di un agente AI open source e self‑hosted, profondamente integrato con i tuoi strumenti, è molto interessante, e il livello di automazione che OpenClaw offre è notevole per un progetto nato come hack del weekend. Tuttavia, vulnerabilità critiche, supply chain compromessa, istanze esposte in massa e l’assenza di controlli enterprise rendono evidente che l’ambizione tecnica non coincide ancora con la maturità di sicurezza richiesta in azienda.

Gli agenti AI diventeranno sempre più centrali, ma senza controlli adeguati il loro potere si traduce direttamente in rischio. Per le organizzazioni che hanno dati da proteggere, la conclusione è semplice: oggi OpenClaw non è pronto per l’ambiente enterprise; ha senso rivalutarlo tra qualche mese, quando (e se) il modello di sicurezza avrà raggiunto quello di funzionalità.

Per gli utenti domestici consapevoli e in grado di gestire i trade‑off, l’invito è a sperimentare con prudenza: tenerlo patchato, tenerlo locale e lontano da tutto ciò che non puoi permetterti di perdere. Per capire meglio il problema strutturale della prompt injection, puoi esercitarti in laboratori dedicati che simulano scenari reali di attacco sugli agenti AI.

News

Articoli correlati

Codici QR: la comodità che può trasformarsi in una trappola digitale

Codici QR: la comodità che può trasformarsi in una trappola digitale

SEO + AI: perché è il momento di alzare il tiro

SEO + AI: perché è il momento di alzare il tiro

Potenzia il Tuo Sito con un Chatbot ad intelligenza artificiale

Potenzia il Tuo Sito con un Chatbot ad intelligenza artificiale

Il Primo Decreto sull'Intelligenza Artificiale: Un Passo Avanti per l'Europa

Il Primo Decreto sull'Intelligenza Artificiale: Un Passo Avanti per l'Europa

L'importanza dell'autenticazione a due fattori (2FA)

L'importanza dell'autenticazione a due fattori (2FA)

Intelligenza artificiale e ChatGPT

Intelligenza artificiale e ChatGPT

Newsletter

Utility

Portfolio