Nei primi giorni del 2026, un nuovo protagonista nel mondo dell’intelligenza artificiale autonoma ha catalizzato l’attenzione non solo degli sviluppatori e degli appassionati di tecnologia, ma anche dei team di sicurezza informatica. Quello che inizialmente era concepito come un assistente AI personale capace di gestire email, calendari, file e strumenti di sviluppo attraverso comandi conversazionali ha rapidamente dimostrato di avere un lato oscuro pericoloso: si tratta del progetto open source Clawdbot, diventato virale su GitHub prima di finire al centro di una delle più rapide “weaponizzazioni” di una tecnologia AI osservate finora.
Clawdbot, ideato per funzionare come un assistente AI autonomo con accesso profondo a molteplici risorse del sistema dell’utente, ha raccolto decine di migliaia di stelle su GitHub proprio grazie alla promessa di facilitare automazioni complesse in modo naturale e potente. Tuttavia, questa stessa capacità di interagire ampiamente con sistemi critici si è rivelata il suo punto più vulnerabile. In meno di due giorni dalla diffusione di avvisi di sicurezza iniziali, gli operatori di malware conosciuti come infostealers — come RedLine, Lumma e Vidar — avevano già inserito Clawdbot nelle loro liste di obiettivi, sfruttando i difetti della piattaforma prima ancora che molte squadre di difesa fossero pienamente consapevoli di cosa fosse in esecuzione nelle loro reti.
Alla base del problema c’erano alcune scelte di progettazione e configurazione che, seppur comprensibili per chi desidera una rapida installazione e operatività, hanno infranto i principi di sicurezza consolidati. Molte delle istanze di Clawdbot sono state avviate con impostazioni predefinite che lasciavano porte di gestione aperte su Internet senza autenticazione, tra cui la porta 18789, consentendo a chiunque conoscesse l’indirizzo di accedere alle funzioni di controllo. In pratica, sistemi messi online in modo affrettato per uso personale o sperimentale sono diventati strumenti esposti all’esterno, pronti per essere esplorati e sfruttati da malintenzionati.
I rischi concreti non si fermano alla semplice esposizione di interfacce di controllo. Le vulnerabilità scoperte hanno permesso a chi attacca di visualizzare chiavi API, token OAuth, cronologie di chat private e altri dati sensibili conservati in chiaro sui sistemi degli utenti. In alcuni casi, un ricercatore di sicurezza è riuscito a estrarre una chiave privata SSH in pochi minuti usando quella che è nota come “prompt injection”, una tecnica in cui comandi specifici vengono inseriti in input in modo da manipolare l’agente affinché riveli informazioni che normalmente non dovrebbe fornire.
Questa escalation dal concetto alla vulnerabilità attiva ha messo in evidenza difetti più profondi del modello di fiducia su cui si basano molti agenti AI autonomi. A differenza di un’applicazione web tradizionale, che opera in un ambiente isolato con permessi ben definiti, agenti come Clawdbot richiedono ampio accesso ai dati dell’utente e alle sue risorse digitali per funzionare come previsto. Questo crea un “blast radius” molto più ampio nel caso di compromissione: non si tratta solo di un’app che perde dati, ma di un’entità che può potenzialmente agire in modo continuo e intrusivo attraverso email, piattaforme di messaggistica, strumenti di collaborazione e persino script sulla macchina locale.
Alla luce di queste criticità, la comunità ha reagito rapidamente. Alcune patch sono state rilasciate per correggere bypass di autenticazione a livello di gateway, ma gli esperti di sicurezza sottolineano che non si tratta solamente di correggere singole falle: molte delle vulnerabilità sono radicate nell’architettura stessa e nel modo in cui gli agenti AI gestiscono i privilegi e le credenziali. Inoltre, la rapida adozione diffusa di Clawdbot ha portato con sé un’altra complicazione: progetti imitativi e campagne di impersonificazione che sfruttano il nome e la popolarità del software per distribuire malware o strumenti di accesso remoto, come è accaduto con estensioni Visual Studio Code malevoli che si spacciavano per un assistente AI.
Questa vicenda ha avuto anche risvolti di branding e identità: per evitare conflitti con marchi esistenti, il progetto originale è stato ribattezzato in alcune sedi come Moltbot o, in alternativa, OpenClaw, ma questo non ha cancellato i rischi di sicurezza sottostanti né ha impedito la diffusione di copie contraffatte o di codice dannoso travestito da versione ufficiale.
Il caso di Clawdbot dimostra quanto sia delicato bilanciare innovazione e sicurezza nel contesto degli agenti AI autonomi. Tecnologie che promettono di trasformare radicalmente come lavoriamo con i nostri dati e sistemi digitali devono allo stesso tempo rimanere allineate ai principi fondamentali della sicurezza informatica: isolamento dei privilegi, autenticazione forte, gestione sicura delle credenziali e consapevolezza dei confini tra “fiducia locale” e “accesso remoto”. Fino a quando queste premesse non saranno parte integrante del design di tali agenti, episodi come quello di Clawdbot — in cui una popolarità esplosiva si trasforma in un rischio reale in appena 48 ore — continueranno a rappresentare un campanello d’allarme per sviluppatori, organizzazioni e utilizzatori di intelligenze artificiali avanzate.