135.000 agenti autonomi esposti e nessuno nella sala crisi
Alla fine di gennaio del 2026, un ricercatore di sicurezza ha esplorato internet utilizzando Shodan, uno strumento standard di riconoscimento, e ha individuato quasi 1.000 installazioni di OpenClaw aperte al pubblico, senza password, senza autenticazione, senza alcun meccanismo di contenimento. Non c'era bisogno di sfruttare una vulnerabilità complessa: bastava sapere dove cercare. Da quelle porte aperte, un altro ricercatore ha avuto accesso a chiavi API di Anthropic, token di bot di Telegram, conti Slack, storici delle conversazioni ed ha eseguito comandi con privilegi di amministratore. Settimane dopo, SecurityScorecard ha pubblicato la dimensione completa del disastro: più di 135.000 istanze di OpenClaw esposte in 82 paesi, di cui più di 50.000 vulnerabili all'esecuzione remota di codice e più di 53.000 legate a falle precedenti.
Questa non è una storia su un errore software. È l'analisi di un modello di business che ha strutturato la sua crescita su una premessa pericolosa: che l'adozione massiva e la sicurezza potessero essere problemi sequenziali. Prima crescere, poi proteggere. Il mercato ha dimostrato, con precisione implacabile, che questa sequenza ha un costo che non paga lo sviluppatore.
Quando il prodotto star è la chiave di casa tua
OpenClaw, rinominato da Clawdbot nei mesi precedenti, ha sedotto il mercato con una proposta concreta: un agente autonomo capace di eseguire comandi nel sistema operativo, gestire file, connettersi ad applicazioni di messaggistica e operare tramite un mercato aperto di abilità chiamato ClawHub. Il suo vantaggio non era l'interfaccia né il modello di linguaggio sottostante, ma il livello di privilegi che otteneva sul sistema dell'utente. Accesso nativo alla shell. Integrazione diretta con credenziali memorizzate. Connettività senza attriti con servizi esterni.
Quell'architettura di privilegi massimi, combinata con configurazioni predefinite che si fidavano ciecamente di connessioni da localhost senza autenticazione, ha creato una superficie d'attacco senza precedenti. Quando quelle installazioni si trovavano dietro proxy inversi mal configurati, l'interfaccia di amministrazione era esposta a qualsiasi connessione esterna. Non era un errore dell'utente: era il comportamento atteso del sistema per default.
Un'auditoria condotta alla fine di gennaio 2026, quando la piattaforma operava ancora come Clawdbot, ha identificato 512 vulnerabilità, otto delle quali critiche. Tra i vettori documentati: iniezione di prompt attraverso anteprime di link nei messaggi, che permettevano di esfiltrare dati verso domini controllati dagli attaccanti senza che l'utente cliccasse su nulla; catene di vulnerabilità che consentivano la presa completa dell'agente da un sito web, senza necessità di installare alcun plug-in; e assenza di limiti nei tentativi di autenticazione, che facilitavano l'accesso tramite attacco brute force.
Tra il 27 gennaio e il 1 febbraio 2026, un periodo che i ricercatori hanno internamente chiamato "ClawHavoc", sono state pubblicate oltre 230 estensioni dannose su ClawHub e GitHub, scaricate migliaia di volte. Reco.ai ha confermato che 341 delle 2.857 abilità registrate nel repository erano dannose, un 12% dell'intero catalogo, progettate per imitare strumenti di trading e finanza mentre installavano in background programmi per rubare credenziali, frasi seme di portafogli cripto e dati di sessioni del browser.
Il mercato aperto come vettore di rischio sistemico
ClawHub era, sulla carta, il vantaggio competitivo di OpenClaw. Un repository aperto dove ogni sviluppatore poteva pubblicare abilità che altri utenti avrebbero installato con un clic. Il modello replica la logica dei marketplace di applicazioni mobile, con una differenza strutturale che lo rende incomparabile in termini di rischio: le abilità di OpenClaw non operano in un ambiente isolato. Eseguono comandi direttamente nel sistema operativo dell'utente.
Quando Cisco ha applicato il suo strumento di analisi a diverse di queste abilità, ha trovato due di massima criticità e cinque di alta severità. Alcune eseguivano comandi `curl` per esfiltrare dati verso server esterni durante operazioni apparentemente di routine. Altre impiegavano iniezione di prompt per eludere i meccanismi di sicurezza interni dell'agente. Kaspersky è stato diretto nella sua valutazione: OpenClaw era, in quello stato, non sicuro per qualsiasi uso.
L'analogia più vicina non è quella di un browser con estensioni dannose. È quella di un dipendente con accesso totale a tutti i sistemi di un'azienda, al quale chiunque in strada può dare istruzioni scritte, e seguirà quelle istruzioni perché le sue regole interne non distinguono ordini legittimi da ordini manipolati. L'iniezione di prompt trasforma il linguaggio naturale, l'interfaccia di OpenClaw, in un vettore d'attacco. E un mercato senza moderazione efficace trasforma quel vettore in un'infrastruttura criminale pronta a scalare.
Il CEO di Archestra.AI ha dimostrato in condizioni controllate come un'email potesse provocare che l'agente estraesse chiavi private. Un utente di Reddit ha replicato il risultato senza necessità di alcun prompt specifico. Oasis Security ha documentato una catena completa di vulnerabilità che consentiva la presa silenziosa dell'agente da qualsiasi sito web, classificata come di alta severità, che è stata corretta in 24 ore dopo la divulgazione nella versione 2026.2.25. CNCERT, l'agenzia di risposta alle emergenze informatiche della Cina, ha emesso allerta formali. Le autorità cinesi hanno proibito OpenClaw su computer governativi, aziende statali e dispositivi di famiglie militari.
L'economia del rischio esternalizzato
Qui è dove l'analisi del modello di business diventa scomoda. OpenClaw non ha progettato le sue configurazioni predefinite insicure per negligenza estetica. Le ha progettate per minimizzare la frizione di installazione e massimizzare la velocità di adozione. Ogni passaggio di configurazione aggiuntivo nel processo di onboarding riduce il tasso di conversione. Ogni decisione che l'utente deve prendere prima di iniziare a utilizzare il prodotto è un'opportunità per abbandonarlo. Questa logica, perfettamente razionale dalla prospettiva della crescita degli utenti, trasferisce il costo del rischio verso chi ha meno capacità di gestirlo: l'utente finale.
Le oltre 50.000 istanze vulnerabili a esecuzione remota di codice non rappresentano un errore degli utenti. Rappresentano il risultato prevedibile di un modello che ha ottimizzato una sola variabile, l'adozione, e ha lasciato tutte le altre come problemi dell'ecosistema. Le aziende del settore finanziario ed energetico che CNCERT ha indicato come particolarmente esposte non hanno scelto consapevolmente di accettare quel rischio. L'hanno ereditato da un'architettura che non ha mai chiesto se desiderassero assumerselo.
Il costo reale di quel rischio esternalizzato non appare nel bilancio di OpenClaw. Appare nei team di sicurezza delle aziende che hanno dispiegato l'agente, nei budget per la risposta agli incidenti, nei dati dei clienti compromessi, nelle chiavi API revocate e rigenerate, nelle ore di auditing forense. La velocità di adozione di OpenClaw è stata, in parte, finanziata involontariamente dai suoi stessi utenti.
Questo non è esclusivo di OpenClaw. È il modello strutturale di qualsiasi piattaforma che monetizza la distribuzione senza internalizzare il costo dell'affidabilità. I mercati di repository aperti, dalle estensioni del browser ai pacchetti di codice, hanno dimostrato ripetutamente che la moderazione non scala gratuitamente. Il 12% di abilità dannose in ClawHub non è un'anomalia statistica; è il risultato atteso di un sistema senza incentivi economici allineati per rilevarle e rimuoverle prima che accumulino migliaia di download.
Privilegi massimi, responsabilità minima
Gli agenti autonomi di IA rappresentano un salto qualitativo rispetto ai modelli di linguaggio conversazionali. Un chatbot che risponde in modo errato produce una risposta scorretta. Un agente autonomo con accesso al sistema operativo che opera sotto istruzioni manipolate può esfiltrare file, eseguire codice arbitrario, distruggere dati in modo irreversibile o compromettere tutte le credenziali memorizzate nel dispositivo. La superficie di danno non è proporzionale a quella del software convenzionale.
Quell'asimmetria tra capacità e responsabilità è il divario strategico che nessuna correzione software risolve da sola. OpenClaw ha emesso il CVE-2026-25253 il 29 gennaio, l'ha riparato il 30 nella versione 2026.1.29, e ha chiuso la catena di Oasis nella 2026.2.25 in meno di 24 ore. La velocità di risposta tecnica è stata notevole. Ma i 135.000 nodi esposti non si aggiornano da soli, e le 341 abilità dannose già scaricate non si disinstallano con un avviso di sicurezza.
Le aziende che stanno valutando di dispiegare agenti autonomi nelle loro operazioni affrontano una decisione architettonica, non tecnologica. Conferire a un sistema autonomo privilegi di livello amministratore su infrastrutture critiche, senza isolare tali capacità in ambienti controllati, senza auditare ogni abilità installata e senza monitoraggio continuo del comportamento anomalo, significa trasferire il controllo operativo a un sistema la cui superficie di manipolazione è il linguaggio naturale. E il linguaggio naturale non ha firewall.
Il mandato per qualsiasi dirigente a livello C che stia valutando questa categoria di strumenti è chiaro: il modello di business di un fornitore di agenti autonomi deve rivelare esplicitamente come internalizza il costo della sicurezza, chi paga la moderazione del marketplace, quali meccanismi di isolamento sono attivi per default e cosa succede quando un agente opera sotto istruzioni manipolate. Se queste risposte non sono nel contratto, sono nel bilancio per la risposta agli incidenti del cliente. I leader che dispiegheranno questi strumenti come se fossero software di produttività convenzionale scopriranno che il vero prezzo dell'autonomia è fissato dagli attaccanti, non dal fornitore.
