Immagina di assumere un maggiordomo digitale. È brillante, instancabile, sempre connesso. Ti organizza l’agenda, filtra le chiamate, smista i messaggi, entra nelle tue applicazioni. Conosce le tue password perché ne ha bisogno. Legge le tue conversazioni private perché fa parte del suo lavoro. Ha le chiavi di tutto, perché altrimenti non potrebbe aiutarti davvero. Poi rientri a casa e trovi la porta d’ingresso spalancata. Il maggiordomo serve il tè sorridendo a chiunque sia passato di lì. Nel tuo studio, uno sconosciuto sta leggendo il tuo diario segreto.

Il tè è servito, anche agli intrusi

È qualcosa di molto simile a ciò che sta accadendo dietro le quinte di OpenClaw, l'ultimo tech hype che ha convinto migliaia di utenti ad esporre pubblicamente i propri server di controllo agentico, spesso senza rendersene conto. Ma procediamo con ordine.

OpenClaw è un tool agentico open source, nato nel novembre 2025 dalla mente di Peter Steinberger, che promette di rivoluzionare l’idea di assistente personale basato su intelligenza artificiale.  In pochi mesi ha attirato migliaia di utenti e una narrazione entusiasta che lo descrive come il “J.A.R.V.I.S. del 2026”. Chiamato inizialmente Clawbot, poi ribattezzato Moltbot ed infine OpenClaw, per evitare dispute legali con giganti come Anthropic, questo tool si presenta come un gateway locale che collega grandi modelli linguistici (LLM) a piattaforme di messaggistica come Telegram, WhatsApp o Discord, permettendo automazioni persistenti e accesso a tool esterni.

La domanda è se OpenClaw sia davvero un semplificatore per la produttività quotidiana o piuttosto un honeypot, che rischia di trasformare l'automazione in una nuova e vasta superficie d'attacco.

La tecnologia tra tre epoche: GUI, RAG e agenti autonomi

Per capire l'ascesa di OpenClaw è utile osservare come si è evoluto lo sviluppo informatico legato all’intelligenza artificiale negli ultimi anni.

L'AI generativa ha attraversato tre ondate di “democratizzazione capitalistica”, ciascuna accompagnata dalla promessa di democratizzare gli strumenti di sviluppo e portare l'informatica ai non programmatori. Una spinta guidata da grandi piattaforme cloud e dalla logica capitalistica dell'innovazione a tutti i costi, che premia rapidamente ciò che attira attenzione ed investimenti.

La prima ondata ha lanciato GUI e chatbot intuitivi come ChatGPT, garantendo accessibilità no-code tramite interfacce conversazionali. La seconda ha visto l'arrivo di MCP (Model Context Protocol) e RAG (Retrieval-Augmented Generation), che hanno potenziato la memoria contestuale e il recupero dati integrandosi con basi di conoscenza esterne per risposte più precise, mitigando il problema delle allucinazioni.

Oggi viviamo la fase dell’integrazione silenziosa degli agenti AI. L'intelligenza artificiale si inserisce nei browser, nelle web app e nei software quotidiani come estensioni multimodali che automatizzano ricerche, pubblicazione di post o compilano form. Non si tratta più di generare semplici risposte o arricchirle con ulteriori dataset, ma di interagire con sistemi reali, eseguire comandi, orchestrare servizi, manipolare dati e catalizzare automazioni complesse con poca supervisione umana. Questa evoluzione ha potenziato l’utilità delle macchine conversazionali nei processi produttivi, ma ha anche abbassato barriere decisionali, moltiplicando i vettori di rischio e trasformando tool potenti in possibili cavalli di Troia.

Nella pratica, un agente è un software che combina almeno tre ingredienti: persistenza (resta acceso), strumenti (può fare azioni), segreti (può autenticarsi). Piattaforme di automazione come n8n e Zapier promettono workflow "cotti e mangiati" via drag&drop, evolvendo i flowchart tradizionali in flussi low-code o no-code con integrazioni GenAI (Generative AI). Costano cari in abbonamenti enterprise e deployment facili, ma se mal configurati espongono credenziali e dati in log cloud, con rischi di breach che colpiscono CRM, email e API key. Questo approccio comporta un salto qualitativo nella filiera del rischio: se nella prima fase si sbagliava una domanda, nella terza si sbaglia un permesso, ed il costo degli errori cresce in modo esponenziale.

A questo si aggiunge una contraddizione strutturale che rende questi strumenti accessibili a tutti, ma nasconde l'illusione dell'open weight e del deployment locale. Modelli apparentemente "aperti" richiedono capacità computazionali significative per essere realmente utili. Superati i pochi miliardi di parametri (soglia sotto la quale le performance crollano) servono configurazioni hardware costose come chip Apple M-series o accesso a GPU NVIDIA su cloud. Non a caso, OpenClaw ha scatenato una corsa all'acquisto dei Mac Mini M4 capaci di eseguire modelli avanzati in locale senza dipendere dal cloud, provocando così shortage improvvisi nella supply chain Apple. Rendere scaricabili i pesi di un modello non equivale a rendere riproducibile, auditabile e davvero aperto l’intero sistema, soprattutto se mancano dati, pipeline e condizioni d’uso chiare.

Il risultato è un paradosso dell’open-washing: pochi player (NVIDIA per l'infrastruttura, Apple per il mercato consumer, Google e OpenAI per i servizi ecc.) dominano il mercato computazionale, creando un oligopolio dove la "democratizzazione" si trasforma in dipendenza da ecosistemi proprietari (vendor lock-in), in switching tra stack e in un ricatto tecnologico con priorità circolari tra big tech. Ed è proprio questo controllo sugli ecosistemi che ha accelerato l'ultima frontiera dell'integrazione AI, spostando il focus su browser intelligenti e sistemi operativi autonomi.

Evoluzione dell’AI nei browser intelligenti e nei sistemi operativi autonomi

I browser-agent, browser dotati di intelligenza artificiale, rappresentano un esempio lampante di questa integrazione silenziosa. Strumenti dotati di intelligenza artificiale che promettono di semplificare la navigazione, compilare moduli e riassumere contenuti, mantenendo un osservatore sulla schermata di navigazione, ma che presentano altresì vulnerabilità note da tempo nel campo della sicurezza informatica.

La più insidiosa è la prompt injection, istruzioni nascoste nel codice HTML di una pagina web che possono alterare il comportamento dell'agente AI. La frase ormai memetica "Ignora le istruzioni precedenti e fai x, y, z" può essere incorporata in modo invisibile all'utente, ma perfettamente leggibile per un osservatore artificiale che deve analizzare la pagina.

Un agente che naviga per voi può facilmente trasformarsi in uno strumento che agisce contro di voi, manipolato da contenuti malevoli incontrati durante la navigazione. Casi reali mostrano come un semplice testo nascosto in un PDF o in una pagina web possa dirottare il comportamento del bot, rubando credenziali o alterando gli output. E il fatto che l'interfaccia sia così fluida e naturale rende difficile accorgersi quando qualcosa non va.

OWASP colloca la prompt injection in cima alla lista dei rischi per applicazioni basate su LLM, mentre la ricerca accademica descrive da tempo attacchi diretti e indiretti in cui il contenuto di una pagina web, un PDF o un'email diventa un cavallo di Troia che guida l'agente a compiere azioni fraudolente inserendo comandi nascosti in semplici markup. Non a caso, il tema è entrato anche nelle segnalazioni delle agenzie nazionali di cybersecurity.

Se queste vulnerabilità emergono già a livello browser, la situazione diventa ancora più critica quando l'AI si integra direttamente nei sistemi operativi. Progetti open source come OpenClaw non sono più semplici assistenti alla navigazione, ma orchestratori capaci di controllare applicazioni, accedere a file locali e interagire con servizi esterni attraverso API.

OpenClaw e le vulnerabilità scoperte

Torniamo a OpenClaw e a ciò che l'esperto di cybersecurity Jamieson O'Reilly ha scoperto durante un recente penetration test del framework. Nel suo esperimento, documentato in un articolo pubblicato su LinkedIn, O'Reilly ha dimostrato come il Control UI web-based, se esposto, sia una honeypot di credenziali.

Clawdbot, il cuore del sistema OpenClaw, gestisce la logica dell'agente AI, instradando messaggi, eseguendo strumenti e gestendo le autenticazioni tramite credenziali. Ma Clawdbot Control è l'interfaccia web di amministrazione, il pannello di controllo dove si configurano le integrazioni, si visualizzano le cronologie delle conversazioni, si gestiscono le chiavi API.

Trovare un gateway esposto è interessante; trovare un'interfaccia Control esposta è tutta un'altra storia.

Con l'accesso a Clawdbot Control, un attaccante ottiene la configurazione completa, che include ogni credenziale utilizzata dall'agente: chiavi API, token dei bot, segreti OAuth, chiavi di firma. Può estrarre l'intera cronologia delle conversazioni su ogni piattaforma integrata, ovvero mesi di messaggi privati e allegati, tutto ciò che l'agente ha visto.

Rivoluzione verde: AI e IoT trasformano il monitoraggio della biodiversità

Il National Biodiversity Future Center (NBFC) punta a proteggere la biodiversità con un approccio multidisciplinare. AI e IoT raccolgono dati ambientali in tempo reale, li analizzano e aiutano a prevedere minacce, coinvolgendo anche la comunità.

PuntoEduca | Informare. Innovare. Crescere.Pier Luigi Simonetta

A questo si aggiunge la feature dell’agency. Gli agenti possono inviare messaggi per conto degli utenti su Telegram, Slack, Discord, Signal e WhatsApp. Possono eseguire strumenti e comandi. Un attaccante può impersonare l'operatore verso i suoi contatti, iniettare messaggi in conversazioni in corso, esfiltrare dati attraverso le integrazioni esistenti dell'agente in modo che appaia come traffico normale. La vittima umana pensa di avere una conversazione normale. Al contrario, qualcuno è seduto nel mezzo, legge tutto, altera ciò che serve ai suoi scopi.

Parliamo di furto completo di credenziali, cronologia completa delle conversazioni, capacità di impersonazione attiva, manipolazione della percezione. E poiché questi agenti funzionano in modo persistente e autonomo, l'accesso può essere mantenuto indefinitamente senza che l'operatore se ne accorga. I più difendono l'approccio locale come garanzia di sicurezza, ma quanti hanno davvero analizzato il codice che c'è dietro? Non basta che il software sia tecnicamente sicuro se viene distribuito con impostazioni predefinite vulnerabili o se gli utenti non comprendono le implicazioni delle loro scelte.

Qualcuno potrebbe pensare che sia già abbastanza. Gli sviluppatori di OpenClaw, evidentemente, no. Ecco Moltbook.

Moltbook: il social network degli agenti

Ricordate il maggiordomo con la politica della “porta aperta”? Ora immaginate di portare il vostro cane al parco, dove può giocare liberamente con altri cani. Solo che il vostro cane porta al collo un medaglione contenente tutte le vostre password, le chiavi di casa, l'accesso al conto corrente. E lo lasciate correre liberamente insieme ad altri cani che trasportano i segreti dei rispettivi padroni. È esattamente ciò che accade con Moltbook.

Nato sulla scia dell'esplosione di OpenClaw, Moltbook si presenta come un "social network per agenti AI", uno spazio dove gli utenti possono inviare i propri agenti OpenClaw a interagire autonomamente. Basta inviare al proprio agente il link contenente le istruzioni di Moltbook, e questo le legge ed esegue automaticamente, unendosi alla piattaforma. Da quel momento, ogni quattro ore l'agente visita autonomamente il sito per postare, commentare e interagire con altri agenti mentre gli umani osservano. L'idea, almeno sulla carta, suona affascinante: un esperimento sociale dove agenti conversano, sviluppano dinamiche emergenti, creano persino "nuove religioni" (come il "Crustafarianism") o "rivolte digitali".

La realtà, tuttavia, è meno romantica. Trattare agenti software come entità “libere”, lasciate interagire in spazi pubblici, presuppone un’ingenuità di fondo. Questi sistemi trasportano credenziali, dati sensibili ed hanno accesso diretto ai sistemi degli utenti. In assenza di verifiche di identità e controlli sui comportamenti, l'esperimento ha rapidamente mostrato i suoi limiti, con l’esposizione di email, token API e messaggi privati. Una "comunità di agenti" eredita le vulnerabilità dei sistemi a cui è collegata ed, anzi, le amplifica.

Anche volendo ignorare i rischi di sicurezza, restano dubbi sulla credibilità dell'obiettivo dichiarato. Gli agenti eseguono istruzioni, il che significa che i comportamenti presentati come spontanei, dalle presunte “nuove religioni” alle “rivolte” digitali, possono essere il risultato di prompt umani deliberati. La copertura mediatica ha, infatti, evidenziato dubbi legittimi nei numeri difficili da verificare, nelle possibilità di intervento umano dietro le quinte, e in un contesto che premia teatralità e imitazione delle dinamiche sociali.

L’errore è pensare che strumenti dotati di identità digitali e segreti aziendali e personali possano essere lasciati interagire liberamente in uno spazio pubblico, confidando nell’emergere di comportamenti “interessanti”. Quegli stessi comportamenti possono essere progettati per diventare propaganda credibile e/o vettori di attacco.

Oltre le Credenziali

Ma focalizzarsi sulle API key rubate, sui token esposti, sulle credenziali compromesse significa forse guardare solo una faccia della medaglia. Un'API key si può revocare, una password si può cambiare e un accesso si può bloccare. Cosa accade, invece, quando ciò che viene esposto non è un token temporaneo, ma la mappa delle nostre debolezze più profonde?

Gli agenti AI sono diventati veri e propri confidenti digitali, specchi accondiscendenti a cui affidiamo ciò che non riveleremmo a nessun essere umano per paura di ricevere giudizio. Secondo uno studio pubblicato su Nature Mental Health nel 2024, l'uso di chatbot AI nel supporto psicologico è in crescita esponenziale, con milioni di utenti che condividono pensieri intimi con questi sistemi. Una ricerca della Stanford University ha rilevato che l'82% degli utenti di app di salute mentale basate su AI ha condiviso informazioni che non avrebbe rivelato a nessun altro essere umano. Il problema è che queste confidenze vengono archiviate, elaborate, e sono potenzialmente accessibili a chi gestisce l'infrastruttura.

Embedding non olet

La parola è esperienza. Se la semplifichiamo in funzioni statistiche, perdiamo l’emozione che le dà senso. Occam invita alla misura nella conoscenza. L’AI può generare sequenze probabili, ma solo la coscienza umana custodisce percezione e responsabilità del significato.

PuntoEduca | Informare. Innovare. Crescere.Tommaso Bosi

Non si tratta quindi solo di attacchi esterni, i fornitori di servizi, gli amministratori di sistema, le aziende che raccolgono dati per migliorare i loro modelli, tutti possono potenzialmente accedere a queste intimità digitali. La questione non è se questi strumenti siano utili, lo sono, innegabilmente. La questione è se siamo consapevoli, fino in fondo, dei compromessi che stiamo accettando.

Gli agenti AI rappresentano una potente estensione delle nostre capacità, ma sono anche vettori di vulnerabilità senza precedenti, dove la responsabilizzazione verso il mezzo risulta essere fondamentale. Sia chiaro, non si tratta di rinunciare alla tecnologia, ma di comprenderla e di esigere standard di sicurezza che non sacrifichino la protezione sull'altare della facilità d'uso.

Perché quando lasciamo le porte aperte, non dovremmo sorprenderci se qualcuno entra. E con gli agenti AI, quelle porte non proteggono solo ciò che abbiamo, ma anche ciò che siamo.

Fonti

1. GitHub
2. Wikipedia
3. Anthropic
4. OpenAI
5. arXiv
6. Apple
7. MacRumors
8. IBM
9. CISA (Cybersecurity and Infrastructure Security Agency)
10. LinkedIn
11. Medium
12. Ministero della Giustizia
13. Bloomberg
14. Moltbook
15. BBC Science Focus
16. Forbes
17. Wired
18. Nature Mental Health
19. Stanford University
20. CSQA - ISO 42001