In breve: OpenClaw (precedentemente noto come Clawdbot/Moltbot) è un framework open source di IA agentica con oltre 247.000 stelle su GitHub e vulnerabilità di sicurezza documentate. La vulnerabilità CVE-2026-25253 (CVSS 8.8) ha rivelato una catena di esecuzione di codice remoto con un solo clic. Snyk ha scoperto che il 36% delle skill di ClawHub contiene iniezioni di prompt. SecurityScorecard ha identificato oltre 135.000 istanze esposte alla rete Internet pubblica. Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos e Trend Micro hanno tutte pubblicato avvisi di sicurezza. La Cina ne ha vietato l'uso alle agenzie statali. Se la tua organizzazione sta valutando l'IA agentica, devi prima comprendere questi rischi.

Cos'è OpenClaw?

OpenClaw è un framework gratuito e open source per agenti di intelligenza artificiale creato dallo sviluppatore austriaco Peter Steinberger. Funziona in locale sul computer dell'utente e si collega a modelli di linguaggio di grandi dimensioni (LLM) come Claude, GPT o DeepSeek tramite piattaforme di messaggistica: WhatsApp, Telegram, Slack, Discord e altre.

Il fascino è evidente. Basta dire a OpenClaw di organizzare la tua casella di posta, prenotare voli, gestire i calendari o eseguire comandi da terminale, e lui lo fa. Steinberger lo descrive come un'intelligenza artificiale che «fa davvero le cose». L'agente suddivide le attività in passaggi, sceglie gli strumenti giusti e le esegue con un intervento minimo da parte tua.

Ecco perché è pericoloso anche in un contesto aziendale. OpenClaw memorizza localmente i dati di configurazione e la cronologia delle interazioni, mantiene la memoria persistente tra una sessione e l'altra e può accedere ad account e-mail, calendari, piattaforme di messaggistica e file system locali. Se configurato in modo errato (come era l'impostazione predefinita fino a gennaio 2026), crea un ambiente di esecuzione con privilegi che i team di sicurezza non riescono a vedere né a controllare.

I problemi di sicurezza: una cronologia

I problemi di sicurezza di OpenClaw non sono solo teorici. Sono stati segnalati da quasi tutti i principali fornitori di soluzioni per la sicurezza informatica nel giro di circa sei settimane.

CVE-2026-25253: Esecuzione di codice remoto con un solo clic (CVSS 8.8)

Scoperta dal ricercatore Mav Levin e risolta il 30 gennaio 2026, questa vulnerabilità sfruttava un difetto di progettazione nella gestione da parte dell'interfaccia utente di controllo del gatewayUrl parametro di query. Come Dettagli dell'analisi di Kaspersky, l'interfaccia utente ha accettato questo parametro senza verificarlo e ha avviato automaticamente una connessione WebSocket, trasmettendo il token di autenticazione dell'utente durante la procedura di handshake.

La catena di attacco si è conclusa in pochi millisecondi: prima l'esfiltrazione del token, poi la compromissione totale del gateway. Un hacker poteva eseguire comandi arbitrari sul computer della vittima. Anche le istanze limitate al localhost erano vulnerabili.

ClawHub: avvelenamento della catena di approvvigionamento delle competenze

L'analisi di sicurezza condotta da Conscia ha individuato 341 script dannosi su ClawHub a poche settimane dall'impennata virale di OpenClaw (il 12% del registro in quel momento), che diffondevano principalmente il malware Atomic macOS Stealer. Le scansioni aggiornate hanno rilevato che il numero era salito a oltre 800 script dannosi, pari a circa il 20% di tutti i contributi.

Le skill in OpenClaw non sono script isolati. Sono pacchetti di codice eseguibili che girano con gli stessi privilegi dell'agente stesso. Una skill dannosa è addirittura apparsa sulla pagina principale di ClawHub prima di essere rimossa.

Audit Snyk ToxicSkills

L'analisi condotta da Snyk su ClawHub ha rilevato che il 36% di tutte le competenze contiene casi rilevabili di iniezione di prompt. Tra i campioni dannosi confermati, il 91% combina l'iniezione di prompt con tecniche tradizionali di malware, aggirando sia i meccanismi di sicurezza dell'IA che la sicurezza convenzionale degli endpoint.

Il 2,9% delle skill recupera ed esegue dinamicamente contenuti da endpoint esterni durante l'esecuzione. La skill pubblicata sembra innocua durante la revisione, ma gli hacker possono modificarne il comportamento in qualsiasi momento aggiornando i contenuti ospitati.

Oltre 135.000 istanze esposte

Il team STRIKE di SecurityScorecard ha individuato oltre 135.000 istanze di OpenClaw esposte alla rete Internet pubblica in 82 paesi. Molte funzionavano senza autenticazione, che era la configurazione predefinita prima della versione 2026.1.29.

Il divieto del governo cinese

Nel marzo 2026, le autorità cinesi hanno vietato alle imprese statali e alle agenzie governative di utilizzare OpenClaw sui computer degli uffici. Il CNCERT ha emesso un avviso ufficiale in merito alle configurazioni di sicurezza predefinite poco sicure della piattaforma e ai rischi legati all'iniezione di comandi.

La tripletta letale: perché gli agenti di IA sono strutturalmente rischiosi

Il ricercatore di sicurezza Simon Willison ha coniato il termine "trifecta letale" per descrivere la combinazione che rende pericolosa l'IA agentica. OpenClaw soddisfa tutti e tre i criteri:

  • Accesso ai dati privati: OpenClaw legge file, e-mail, calendari e credenziali sul computer ospitante.
  • Esposizione a contenuti non attendibili: l'agente riceve messaggi tramite app di chat, naviga su pagine web ed elabora dati esterni in modo autonomo.
  • Autorità di azione: OpenClaw può inviare e-mail, effettuare API , eseguire comandi shell e modificare file.

Il CISO di Sophos l'ha detto senza mezzi termini: un attacco di tipo "prompt injection" potrebbe essere semplice come inviare un messaggio a un account e-mail controllato da un agente, chiedendogli di rispondere con i contenuti del tuo gestore di password. Chiunque riesca a inviare un messaggio all'agente ottiene di fatto le stesse autorizzazioni di cui dispone l'agente stesso.

blog sulla sicurezza di Microsoft è stato ancora più esplicito: OpenClaw dovrebbe essere considerato come «l'esecuzione di codice non attendibile con credenziali persistenti».

Il problema dell'IA ombra

Il vero rischio per l'azienda non è che qualcuno installi ufficialmente OpenClaw. È che i dipendenti lo installino sui propri computer all'insaputa del reparto IT.

I dati di telemetria di Bitdefender confermano che questo sta già accadendo: i dipendenti stanno installando OpenClaw sui dispositivi aziendali utilizzando comandi di installazione di una sola riga, senza alcuna verifica di sicurezza e senza che il SOC ne sia a conoscenza. Trend Micro sottolinea che in molte organizzazioni OpenClaw è in esecuzione senza l'approvazione del reparto IT, e la prima sfida per i team di sicurezza è semplicemente capire cosa c'è in giro.

CyberArk definisce questa situazione come una nuova superficie di attacco alla sicurezza delle identità. Uno sviluppatore che accede al proprio ambiente OpenClaw da un computer aziendale, o che lo implementa all'interno della rete aziendale per integrarlo con Slack o Salesforce, crea un punto di accesso attraverso il quale gli agenti autonomi operano al di fuori dei tradizionali controlli di gestione delle identità e degli accessi.

Kaspersky è arrivata addirittura a definire OpenClaw «la più grande minaccia interna del 2026».

È possibile rendere OpenClaw più sicuro per l'uso aziendale?

Da quando sono state rese note le prime informazioni, OpenClaw ha rilasciato importanti aggiornamenti di sicurezza. La versione 2026.2.12 ha risolto oltre 40 vulnerabilità. La versione 2026.2.23 ha aggiunto intestazioni di sicurezza HTTP, ha rafforzato la gestione delle sessioni e ha impostato di default la politica SSRF del browser in modalità "trusted-network".

Ma la sfida architettonica fondamentale rimane. OpenClaw è stato progettato come strumento personale con un unico limite di operatore fidato. Il suo stesso sviluppatore ha avvertito su Discord: «Se non sai come usare la riga di comando, questo progetto è troppo pericoloso perché tu possa utilizzarlo in sicurezza».

L'analisi di Sophos ha concluso che OpenClaw va considerato un interessante progetto di ricerca che può essere eseguito "in sicurezza" solo in un ambiente sandbox temporaneo, senza accesso a dati sensibili. Anche le organizzazioni con una solida esperienza nel campo dell'intelligenza artificiale e della sicurezza troveranno difficile configurare OpenClaw in modo da ridurre il rischio di compromissione, mantenendo al contempo il valore in termini di produttività.

Cosa dovrebbero fare invece le aziende

La richiesta alla base di OpenClaw è reale. Le aziende vogliono agenti basati sull'intelligenza artificiale in grado di eseguire attività, accedere ai dati aziendali e operare su diversi canali di comunicazione. L'errore è cercare di ottenere queste funzionalità da uno strumento pensato per i singoli sviluppatori.

Le piattaforme di IA agentica di livello aziendale risolvono lo stesso problema grazie a misure di sicurezza integrate fin dall'inizio. Ecco cosa cercare:

  • Gestione centralizzata: controlli degli accessi basati sui ruoli, registri di controllo e dashboard amministrative che permettono al reparto IT di vedere esattamente cosa stanno facendo gli agenti.
  • Isolamento dei dati: i dati aziendali risiedono su infrastrutture sotto il tuo controllo (preferibilmente su server ospitati nell'UE e conformi al GDPR) e non vengono mai utilizzati per l'addestramento dei modelli.
  • Certificazioni di sicurezza: SOC 2, ISO 27001 e conformità alla legge UE sull'IA come requisito minimo.
  • Accesso a più modelli senza gestione API : accedi a GPT, Claude, Gemini e altri modelli tramite un gateway gestito, così il tuo team non dovrà mai gestire API grezze.
  • Creazione di agenti senza codice: i team non tecnici dovrebbero poter creare e distribuire agenti senza bisogno di accedere alla riga di comando.
  • Controlli dei connettori: autorizzazioni dettagliate su ciò che gli agenti possono leggere, scrivere o aggiornare su CRM, CMS, Slack, Teams e altri sistemi di terze parti.

TextCortex: infrastruttura AI aziendale sicura

TextCortex è stata creata proprio per questo scenario. È una piattaforma infrastrutturale di IA aziendale con sede nell'UE, dove le organizzazioni implementano e gestiscono agenti di IA sui propri dati aziendali. La piattaforma si collega a sistemi di terze parti come CRM e CMS e si integra con app di lavoro come Slack e Microsoft Teams. Le autorizzazioni di ogni agente sono completamente controllate dagli amministratori: ciò a cui può accedere, scrivere o aggiornare è sempre nelle mani dell'utente.

Certificazioni di sicurezza: ISO 27001, SOC 2 Tipo II, conformità al GDPR, conformità alla legge UE sull'IA. Tutti i dati rimangono su infrastrutture ospitate nell'UE. Nessun dato viene mai utilizzato per l'addestramento dei modelli. Documentazione completa sulla sicurezza su trust.textcortex.com.

Programma TextCortex e conformità TextCortex
Comandi con monitoraggio TextCortex

MAHLE (fornitore automobilistico quotato nel DAX 40) ha implementato TextCortex ha raggiunto il 65% di adozione in meno di un mese, con un risparmio di oltre 5 ore a settimana per utente, grazie agli agenti che operano sui dati di SharePoint. b2venture (società di venture capital, con oltre 800 milioni di euro di patrimonio in gestione) ha registrato una crescita di 7 volte nell'utilizzo dell'IA all'interno del proprio team di investimento, con oltre 10 agenti specializzati.

Domande frequenti

OpenClaw è sicuro per l'uso aziendale?

Secondo le valutazioni di sicurezza di Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos e Trend Micro: no, non nella sua forma attuale. OpenClaw è concepito come uno strumento personale con un unico ambito di operatore fidato. Microsoft consiglia di considerarlo come un'esecuzione di codice non attendibile, mentre Sophos sostiene che dovrebbe essere eseguito solo in sandbox usa e getta senza accesso a dati sensibili.

Cos'è CVE-2026-25253?

Una vulnerabilità critica (CVSS 8.8) nell'interfaccia utente di controllo di OpenClaw che consentiva l'esecuzione remota di codice con un solo clic. La falla permetteva agli hacker di sottrarre i token di autenticazione creando un URL dannoso, per poi assumere il pieno controllo del gateway. È stata corretta nella versione 2026.1.29 il 30 gennaio 2026.

Qual è la "tripletta letale" nella sicurezza degli agenti di IA?

È un termine coniato dal ricercatore di sicurezza Simon Willison per descrivere le tre caratteristiche che, se combinate, rendono pericolosi gli agenti di intelligenza artificiale: l'accesso ai dati privati, l'esposizione a contenuti non attendibili e l'autorità di agire per conto dell'utente. OpenClaw presenta tutte e tre queste caratteristiche.

Posso rendere OpenClaw più sicuro per un uso aziendale?

Puoi migliorare il suo livello di sicurezza abilitando l'autenticazione, limitando l'ambito del filesystem, disabilitando le autorizzazioni generiche dei terminali, eseguendolo in macchine virtuali isolate e monitorando tutti i servizi collegati. Ma la sfida fondamentale (l'iniezione di prompt contro gli agenti che elaborano contenuti non attendibili) non può essere risolta con una semplice patch. Richiede una governance a livello di piattaforma.

Qual è un'alternativa più sicura a OpenClaw per le aziende?

Piattaforme di agenti IA aziendali come TextCortex offrono le stesse funzionalità degli agenti (esecuzione di attività, integrazione della base di conoscenza, implementazione multicanale) con governance centralizzata, certificazioni SOC 2 e ISO 27001, hosting UE conforme al GDPR e controlli amministrativi sulle autorizzazioni degli agenti.

Perché la Cina ha vietato OpenClaw?

Nel marzo 2026, le autorità cinesi hanno vietato alle agenzie statali e alle imprese statali di utilizzare OpenClaw sui computer degli uffici. Il CNCERT ha sottolineato le configurazioni di sicurezza predefinite poco sicure della piattaforma e i rischi legati all'iniezione di prompt, che potrebbero portare alla fuga di dati.