Il caso OpenClaw, oggetto di un recente avviso di cybersecurity del governo cinese, evidenzia come questa evoluzione tecnologica introduca rischi inediti che richiedono un ripensamento delle strategie di sicurezza informatica.
Indice degli argomenti
L’alert del governo cinese su OpenClaw
Il 5 febbraio 2026 il Ministero cinese dell’Industria e dell’Information Technology (MIIT) ha emesso un avviso ufficiale di cybersecurity relativo a OpenClaw, agente AI open source di grande diffusione negli ultimi mesi. Secondo il comunicato, l’adozione di OpenClaw, soprattutto senza adeguate misure di sicurezza, comporterebbe dei rischi significativi per le organizzazioni, in particolare se esposto su reti pubbliche o in ambienti di produzione con configurazioni deboli.
La dichiarazione è significativa perché non si limita a stigmatizzare un singolo prodotto, ma rappresenta un segnale politico e tecnico più ampio, una ridefinizione implicita della superficie vulnerabile nel momento in cui sistemi di Intelligenza Artificiale cominciano a “fare cose”, cioè ad agire autonomamente su dati, sistemi e processi aziendali.
Il testo della Reuters fornisce i fatti essenziali dell’avviso, ma lascia molte domande aperte su perché questo fenomeno abbia attratto l’attenzione di un regolatore di cybersecurity come il MIIT, quali siano le vulnerabilità intrinseche, e soprattutto quali conseguenze operative, di rischio sistemico e di gestione organizzativa questi “AI agent” introducono nello stack tecnologico di aziende, enti e pubbliche amministrazioni.
Cos’è OpenClaw e perché è diventato virale
OpenClaw è un agente AI open source, ovvero un software che combina un modello di linguaggio di grandi dimensioni (LLM) con una logica di automazione, sistema di plugin, connessioni API e una console di esecuzione. Mentre i modelli “classici” di AI generativa rispondono a domande o generano testo sulla base di prompt, gli AI agent come OpenClaw connettono il modello alla capacità di agire concretamente: leggono e scrivono file, eseguono richieste API verso servizi esterni, inviano email, scrivono su database, avviano processi, possono persino interfacciarsi con infrastrutture di fatturazione, CRM e ticketing.
Questa combinazione di generazione linguistica e capacità operativa trasforma l’agente AI da semplice “assistente conversazionale” in una entità software autonoma. Secondo il report Reuters, OpenClaw ha ottenuto oltre 100.000 stelle su GitHub e milioni di visite in una singola settimana dopo il lancio. Questo fenomeno ha assunto particolare rilevanza per due ordini di motivi: la rapidità di adozione (un software open source che raggiunge questi numeri in poche settimane indica una vasta comunità di utenti, sviluppatori e integratori, non solo hobbyisti), l’ecosistema dinamico (la presenza di marketplace di skill, plugin, estensioni e servizi cloud dedicati suggerisce che OpenClaw non è più un semplice progetto, ma un ecosistema tecnologico).
In Cina, la crescita di OpenClaw è stata ulteriormente accelerata dai fornitori di cloud locale (tra cui Alibaba Cloud, Tencent Cloud e Baidu), che hanno iniziato a offrire servizi di hosting e deployment gestito per OpenClaw. Ciò ha spostato il fattore di rischio da “progetto locale su singolo PC” a istanze potenzialmente esposte su Internet gestite da organizzazioni di grandi dimensioni.
La differenza tra modelli e agenti AI
Un modello generativo come ChatGPT, Claude o LLaMA risponde a prompt linguistici, ed è confinato a dati in ingresso e testo in uscita, e non ha accesso diretto a file di sistema o API esterne e non esegue codice autonomamente. Al contrario, un AI agent esegue operazioni su file e API, interagisce con servizi esterni, gestisce credenziali, token e sessioni, verifica condizioni di business e automazioni.
Questa semplice differenza semantica (rispondere vs azionare) equivale, nella fattispecie, in una trasformazione in termini di rischio: mentre il primo è vulnerabile principalmente al “prompt injection” e alla qualità della generazione, il secondo introduce vettori di rischio simili a un software attivo, con permessi, esecuzione e superficie di rete.
Come risulta facile immaginare, un agente AI operante su una rete aziendale può creare delle vulnerabilità che un modello generativo standard non introduce (ad es. esposizione di endpoint web con autenticazione debole, gestione di segreti e credenziali in chiaro o insufficientemente protetti, capacità di eseguire codice arbitrario, orchestrazione di risorse cloud con permessi elevati, integrazione con workflow di produzione). In altre parole, l’AI agent non è solo “più potente”, ma si trasforma in un nuovo tipo di software di sistema. E ogni software di sistema, storicamente, possiede una lunga lista di vettori di attacco, come gli endpoint network, i privilegi, supply chain, integrazioni esterne, errori di configurazione.
I rischi specifici citati dall’avviso cinese
Sulla base delle evidenze sopra citate, il MIIT non ha vietato l’uso di OpenClaw, ma ha richiamato l’attenzione sui rischi quando viene eseguito con configurazioni deboli o esposto pubblicamente. Nel comunicato si parla di esposizione su Internet (senza adeguati controlli di accesso), autenticazione insufficiente, mancanza di audit e gestione delle credenziali.
Questi problemi non sono peculiari di OpenClaw, ma sono tipici errori di configurazione applicativa e di deployment. Tuttavia, nel contesto di un agente AI, gli effetti diventano critici perché tali sistemi non solo accettano input da remoto ma interagiscono con altre applicazioni e sistemi. Molte installazioni di OpenClaw (e agenti simili) vengono eseguite su server pubblici per sfruttare potenza di calcolo, disponibilità 24/7 e accesso via web. Di conseguenza, se la configurazione non dispone di autenticazione robusta (SSO, token, MFA), un attaccante può accedere all’agente, inviargli istruzioni dannose, far sì che legga, modifichi o cancelli dati, far eseguire comandi su database o API collegate.
È uno scenario simile a qualsiasi applicazione web esposta senza protezione, con la differenza che in questo caso l’agente può agire con autonomia su sistemi critici. L’avviso sottolinea anche la necessità di autenticazione e controllo degli accessi, poiché spesso gli agenti AI non hanno un sistema nativo di identity management, non integrano MFA o SSO, memorizzano token API in chiaro e non limitano i privilegi. In molti casi, gli attaccanti non devono “craccare” la macchina mediante una porta aperta con credenziali di default o nessuna autenticazione per comandare l’agente.
Molti progetti open source, specialmente nei loro stadi iniziali, non integrano un audit log completo (chi ha fatto cosa, quando, con quali parametri?) L’assenza di tali informazioni, quando si verifica un incidente, può sfociare nella impossibilità di ricostruire l’attacco, nella perdita di traccia di esecuzioni automatizzate e nella difficoltà di responsabilizzazione interna.
Il caso Moltbook e l’ecosistema OpenClaw
La Reuters collega l’avviso alla comparsa di Moltbook, descritto come un social network basato su bot OpenClaw, e a un report di Wiz che avrebbe evidenziato una vulnerabilità esposta di recente. Va evidenziato che questo elemento non va considerato come un dettaglio marginale, dato che rappresenta la transizione da uno strumento ad un ecosistema, con al conseguente replicazione dei rischi.
Quando un software diventa popolare, si sviluppano plugin e skill di terze parti, marketplace, interfacce web di gestione, servizi cloud gestiti, comunità di sviluppatori, tutti elementi che amplificano, di fatto, la superficie di attacco (ogni skill/plugin è un possibile vettore se non sottoposto a controllo di sicurezza, un marketplace può distribuire pacchetti malevoli o vulnerabili, le estensioni possono richiedere permessi eccessivi, i servizi cloud espongono endpoint su Internet).
Questo è esattamente ciò che è successo negli ecosistemi software storici, che vanno da WordPress a npm, da Linux a Android. La presenza di un social network basato su bot AI introduce almeno tre elementi di rischio:
- dati personali esposti (se ogni bot interagisce con utenti reali, può raccogliere, memorizzare o trasmettere dati sensibili);
- interazioni agenti–utenti difficili da tracciare (un utente può non sapere con quale versione dell’agente sta parlando, quale estensione è attiva, quali API sono coinvolte);
- movimentazione autonoma di contenuti (se i bot possono pubblicare, commentare o eseguire azioni, essi diventano attori nel network sociale, e quindi vettori di disinformazione, spam o abuso). In un ecosistema come quello di Moltbook, di fatto gli agenti non sono isolati, ma interagiscono con altri agenti e con utenti reali, creando effetti sistemici.
Scenario di attacco: come un agente AI può essere compromesso
Per comprendere la portata del rischio, può risultare utile analizzare alcuni scenari concreti:
Scenario 1: esposizione involontaria di istanze
esposizione involontaria di istanze. Un’azienda distribuisce OpenClaw per automazioni interne su un server cloud e la console di gestione viene esposta su Internet per facilità d’uso. Essendo il processo di autenticazione di default, risulta sostanzialmente debole. Un attaccante scopre l’endpoint, accede e legge prompt e output dell’agente, estrae token e credenziali API salvati, fa eseguire all’agente comandi per scaricare dati da un database interno. Le conseguenze sono: leakage di dati, esfiltrazione via agenti, esecuzione di comandi non autorizzati.
Scenario 2: prompt injection con esfiltrazione di segreti
Un agente legge email interne per automatizzare risposte, ma non sanifica i contenuti. Un documento o un messaggio di testo contiene istruzioni mascherate come testo descrittivo ma formulate per manipolare la logica dell’agente. Quest’ultimo interpreta queste istruzioni come operazioni da eseguire e, ad esempio, invia il contenuto di file sensibili a endpoint esterni, attiva script con privilegi più elevati, crea nuove credenziali o modifica configurazioni di sistema. Le conseguenze sono: perdita di segreti, accesso non autorizzato, compromettere workflow di produzione.
Scenario 3: supply chain di estensioni compromise
OpenClaw supporta skill/plugin sviluppati dalla comunità. Se un plugin malevolo o vulnerabile viene installato in un ambiente di produzione può eseguire codice arbitrario, modificare la logica dell’agente per scopi impropri, installare backdoor, inviare dati a server controllati da attaccanti. Questo scenario è simile a quanto accade con Python malevoli che includono malware nella supply chain. Nel caso di agenti AI, il rischio è amplificato dal fatto che le estensioni possono avere accesso diretto a sistemi critici.
Verso una governance strutturata degli agenti AI
L’avviso del MIIT non va visto come un semplice promemoria tecnico, ma come una indicazione chiara su come gli AI agent rappresentino una nuova classe di software, capaci di azioni, interazioni e potenziali comportamenti autonomi su sistemi critici.
Questo cambia il modo in cui le organizzazioni devono valutarli, la catena di responsabilità per configurazione, l’uso e il monitoraggio, i modelli di sicurezza operativa, la governance interna e la compliance normativa. Chiunque voglia adottare agenti AI come OpenClaw non può più farlo come sperimentazione isolata, bensì mediante un approccio basato su una strategia strutturata, un framework di controllo, politiche di sicurezza dedicate, e un continuo processo di audit e miglioramento.
L’agente diventa un “dipendente digitale” con poteri e rischi elevati, e come tale va trattato.
