OpenClaw nel mirino delle aziende pericolosa triade letale sotto accusa

20 Febbraio 2026

OpenClaw, perché l’agente AI più discusso ora è vietato nelle aziende

Nel giro di poche settimane, l’agente AI autonomo open-source OpenClaw è passato da fenomeno virale a software bandito in diverse big tech come Meta, gruppi asiatici e numerose startup cloud. Operando su sistemi locali e integrandosi con Slack, WhatsApp, Telegram e Discord, l’AI può accedere a file, email, calendario e browser, ed eseguire comandi sul sistema operativo.
Le prime restrizioni sono arrivate a fine gennaio 2026, dopo l’emersione di vulnerabilità critiche e di centinaia di “skill” malevoli pubblicate su ClawHub, il repository ufficiale.

La combinazione tra privilegi elevati, esposizione al web e limiti strutturali dei modelli linguistici ha spinto aziende in Stati Uniti, Cina e Corea del Sud a vietarne l’uso su reti e dispositivi aziendali, temendo violazioni di sicurezza, furti di dati e incidenti difficili da tracciare.

In sintesi:

OpenClaw è un agente AI locale con accesso diretto a dati, sistemi e messaggistica.
Vulnerabilità critiche e configurazioni insicure espongono migliaia di istanze a takeover remoto.
Skill malevoli su ClawHub e infostealer mirano a credenziali e chiavi API salvate in chiaro.
Aziende e governi reagiscono con divieti, patch urgenti e nuove policy di sicurezza.

Vulnerabilità, triade letale e divieti in serie per OpenClaw

OpenClaw, già noto come Clawdbot e MoltBot, consente di orchestrare attività complesse via chat integrandosi con Slack, WhatsApp, Telegram e Discord. Una volta installato, l’agente controlla filesystem, email, calendario e browser, fino all’esecuzione di comandi sul sistema operativo.
La vulnerabilità CVE-2026-25253 (punteggio CVSS 8,8) permette l’esecuzione remota di codice con un solo clic: basta che l’agente visiti un sito malevolo o apra un link per esfiltrare il token principale e ottenere controllo amministrativo del gateway. Scansioni pubbliche hanno individuato oltre 21.000 istanze esposte su internet.

BOTTONE COMPRA BRANDED CONTENT SU ASSODIGITALE SMALL

🔥 DA NON PERDERE ▷ Aziende sfruttano riassunti AI per condizionare chatbot e informazioni online

Positive Technologies ha segnalato ulteriori bug di command injection (CVE-2026-24763, CVE-2026-25157) e impostazioni predefinite pericolose: autenticazione disabilitata, WebSocket senza verifica dell’origine, parametri critici in chiaro via mDNS.
Kaspersky ha rilevato che credenziali e chiavi API sono salvate in testo semplice, tanto che varianti dei malware RedLine, Lumma e Vidar hanno già aggiunto i percorsi di OpenClaw fra i target da rubare.

Oltre ai bug, il rischio è strutturale. Come evidenziato da Palo Alto Networks e dal ricercatore Simon Willison, OpenClaw incarna la “triade letale”: accesso privilegiato a dati sensibili, esposizione costante a contenuti non attendibili e incapacità dei modelli linguistici di separare comandi da dati, con possibilità di prompt injection, unita alla capacità di inviare email e chiamare API esterne.

Il repository di skill ClawHub, aperto a chiunque, ha rapidamente ospitato centinaia di estensioni, incluse componenti con l’infostealer AMOS per macOS. Gli sviluppatori hanno stretto un accordo con VirusTotal per analizzare automaticamente i nuovi upload, riconoscendo però che il filtro non è sufficiente.
La Cina, attraverso il Ministero dell’Industria e della Tecnologia dell’Informazione, ha diffuso un avvertimento sui rischi per la sicurezza nazionale, mentre in Corea del Sud realtà come Kakao e Naver hanno imposto il divieto d’uso in azienda.

🔥 DA NON PERDERE ▷ Algoritmo e Umanità: Strategie Essenziali per Crescita Autentica e Duratura nel Mondo Digitale

Come cambieranno sicurezza aziendale e agenti AI dopo il caso OpenClaw

I team di sicurezza stanno reagendo su due fronti: contenimento immediato e revisione strutturale delle policy sugli agenti AI. Le raccomandazioni operative includono aggiornamento alla versione corretta (2026.1.29), rotazione dei token potenzialmente compromessi, limitazione del gateway al localhost o a VPN dedicate, disattivazione degli strumenti più rischiosi (shell, accesso diretto al filesystem) ed esecuzione di OpenClaw in container con privilegi minimi.

Diversi responsabili, come Jason Grad di Massive e Guy Pistone di Valere, hanno vietato l’uso del tool sui laptop aziendali, arrivando a minacciare il licenziamento in contesti come Meta. Tuttavia, una messa al bando totale rischia di spostare l’uso reale nell’ombra, indebolendo monitoraggio e governance.
Normative come l’AI Act europeo e il NIST AI Risk Management Framework vengono sempre più citate per definire standard minimi di controllo accessi, logging, sandboxing e verifica delle estensioni negli agenti AI di nuova generazione.

Il caso OpenClaw anticipa uno scenario in cui le aziende dovranno trattare gli agenti AI locali non come semplici chatbot, ma come nuovi utenti super-privilegiati, da gestire con regole di sicurezza di livello pari o superiore a quelle previste per gli amministratori di sistema.

🔥 DA NON PERDERE ▷ Salute mentale e intelligenza artificiale nuove sfide e opportunità nel benessere psicologico moderno

FAQ

Che cos’è OpenClaw e perché è considerato rischioso?

OpenClaw è un agente AI locale altamente privilegiato. Accede a file, email, calendario e shell, esponendo l’azienda a takeover, furti di credenziali e prompt injection difficili da controllare.

Quali vulnerabilità critiche sono state scoperte in OpenClaw?

La falla principale è CVE-2026-25253 (CVSS 8,8), che consente esecuzione remota di codice con un clic. Altre due vulnerabilità di command injection ampliano ulteriormente la superficie d’attacco.

Come mettere in sicurezza un’installazione esistente di OpenClaw?

È essenziale aggiornare alla versione 2026.1.29, ruotare i token, limitare l’accesso a localhost o VPN, disabilitare tool superflui ed eseguire l’agente in container isolati e a privilegi minimi.

Perché molte aziende hanno deciso di vietare OpenClaw?

Le aziende temono che un agente autonomo con accesso a dati sensibili e shell possa compromettere privacy, segreti industriali e compliance, anche tramite skill malevoli distribuite via ClawHub.

Dove trovare ulteriori dettagli tecnici sul caso OpenClaw?

Informazioni approfondite derivano dalle analisi di Positive Technologies, Kaspersky, Palo Alto Networks e dai reportage di Wired, che documentano vulnerabilità, skill malevoli e reazioni aziendali e governative.

Redazione Assodigitale

La Redazione di Assodigitale Phd, MBA, CPA

Il team editoriale di Assodigitale coordina la pubblicazione di notizie, analisi e approfondimenti quotidiani dal mondo dell'innovazione, della tecnologia e dei mercati digitali.

Questo account raccoglie i contributi storici della testata, i comunicati stampa certificati e le inchieste collettive curate dai nostri giornalisti e analisti.

Fondata per esplorare l'impatto della trasformazione digitale sulla società e sull'economia, la Redazione di Assodigitale si impegna a fornire un'informazione accurata, indipendente e verificata, seguendo rigorosi standard deontologici e di fact-checking per garantire ai lettori una visione chiara ed esperta del futuro tecnologico."

Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.

redazione@assodigitale.it