La diffusione degli agenti AI autonomi all’interno delle organizzazioni sta crescendo a una velocità superiore alla capacità delle aziende di controllarli. Il caso OpenClaw rappresenta un esempio emblematico di questo fenomeno: secondo le analisi più recenti, il framework ha raggiunto circa 500.000 istanze accessibili da Internet senza disporre di un meccanismo di arresto centralizzato a livello enterprise, creando un’esposizione significativa per le organizzazioni che lo utilizzano.
OpenClaw è progettato come assistente AI locale, con accesso diretto al file system, alle connessioni di rete, alle sessioni del browser e alle applicazioni installate sul sistema host. Questo modello architetturale offre grande flessibilità e capacità operative, ma amplia drasticamente la superficie di attacco. In assenza di controlli centralizzati, ogni istanza diventa un potenziale punto di ingresso per attori malevoli, soprattutto quando viene esposta su Internet o installata senza policy di sicurezza definite.
Un caso concreto citato nelle analisi riguarda un CEO britannico la cui istanza OpenClaw è stata messa in vendita su un forum underground. L’accesso non includeva solo una shell remota, ma anche conversazioni con l’assistente AI, database aziendali, token API e informazioni personali raccolte dall’agente. I dati erano archiviati in file Markdown in chiaro, senza cifratura a riposo, rendendo superflua qualsiasi operazione di esfiltrazione complessa. L’attaccante ha potuto semplicemente utilizzare l’assistente come hub informativo centralizzato.
Il problema principale evidenziato dall’incidente non è solo la vulnerabilità tecnica, ma l’assenza di strumenti di governance. Quando l’organizzazione ha scoperto la compromissione, non esisteva un kill switch nativo per disattivare tutte le istanze, né una console centralizzata per identificarle. Questo significa che anche dopo la scoperta di un attacco, i team di sicurezza non possono intervenire rapidamente sull’intero parco installato.
La portata del rischio è amplificata dai numeri. Analisi indipendenti hanno rilevato oltre 30.000 istanze con configurazioni insicure e più di 15.000 potenzialmente sfruttabili tramite vulnerabilità note di esecuzione remota. Inoltre, sono state identificate tre vulnerabilità ad alta gravità, con punteggi CVSS fino a 8.8, che includono injection di comandi e possibilità di esfiltrazione dei token. Anche quando le patch sono disponibili, l’assenza di un sistema di aggiornamento centralizzato rende la correzione lenta e frammentata.
Un altro elemento critico è il modello di distribuzione degli agenti. OpenClaw viene spesso installato localmente dagli utenti finali senza coinvolgere i team IT, diventando parte del fenomeno noto come shadow AI. In questo scenario, strumenti introdotti per aumentare la produttività vengono eseguiti con privilegi elevati e con accesso a credenziali aziendali, senza essere monitorati. Ciò rende difficile anche la fase iniziale del ciclo di difesa, perché i team di sicurezza non riescono nemmeno a individuare quali agenti siano attivi nella rete.
La natura autonoma degli agenti AI amplifica ulteriormente il rischio. Un assistente che aggrega credenziali, sessioni SSO e dati operativi diventa un punto centrale di intelligence. In caso di compromissione, l’attaccante non ottiene solo accesso a un singolo sistema, ma a un contesto operativo completo, inclusi workflow, comunicazioni e informazioni sensibili. Questo cambia radicalmente il modello di rischio rispetto alle applicazioni tradizionali, dove i dati sono distribuiti su più servizi.
Un fattore spesso sottovalutato è la persistenza degli agenti. Molte organizzazioni avviano sperimentazioni con strumenti AI e poi li abbandonano senza disinstallarli. Queste cosiddette “ghost agents” continuano a funzionare con credenziali attive e accesso ai sistemi, diventando vulnerabilità latenti. L’assenza di un meccanismo centralizzato per la gestione del ciclo di vita degli agenti rende difficile anche l’offboarding e la revoca dei privilegi.
La crescita esponenziale del numero di istanze dimostra inoltre la rapidità con cui questi strumenti si diffondono. In poche settimane, il numero di installazioni è passato da poche migliaia a centinaia di migliaia, evidenziando come l’adozione degli agenti AI superi i tradizionali tempi di implementazione delle policy di sicurezza. Questo squilibrio tra velocità di adozione e maturità dei controlli crea una finestra di esposizione significativa.
La mancanza di un kill switch enterprise rappresenta un problema strutturale. In ambienti enterprise, strumenti come endpoint protection o agent management consentono di disattivare applicazioni su larga scala. Nel caso di OpenClaw, l’intervento deve avvenire manualmente su ogni installazione, con tempi incompatibili con incidenti in corso. Questo limita la capacità di contenimento e aumenta il rischio di compromissione diffusa.
La situazione ha spinto diversi vendor di sicurezza a sviluppare strumenti di mitigazione, ma nessuno fornisce ancora un controllo nativo integrato. Le soluzioni disponibili si concentrano su scansione delle estensioni, monitoraggio del comportamento e red teaming degli agenti, ma non risolvono il problema fondamentale della gestione centralizzata. Ciò indica che la sicurezza degli agenti AI è ancora in una fase iniziale rispetto alla maturità delle piattaforme tradizionali.
Il caso OpenClaw evidenzia quindi un cambiamento profondo nella cybersecurity. Gli agenti AI non sono semplici applicazioni, ma entità operative con accesso a sistemi e dati. Senza controlli di governance, possono diventare aggregatori di informazioni sensibili e vettori di attacco ad alto impatto. L’assenza di un kill switch enterprise rende la gestione del rischio ancora più complessa, perché elimina uno dei meccanismi fondamentali di risposta agli incidenti.