OpenClaw (ex Moltbot e Clawdbot) spiegato bene: funzionalità e pericoli reali
OpenClaw è un agente AI open source che opera in locale e può agire sui sistemi dell’utente. Un progetto potente che solleva seri dubbi di sicurezza.
OpenClaw è uno dei progetti di intelligenza artificiale più discussi degli ultimi mesi. Nato come Clawdbot, poi rinominato Moltbot e infine stabilizzato con il nome attuale, è un agente AI open source che gira in locale ed è in grado di eseguire azioni concrete sui sistemi dell’utente. La rapidità con cui ha attirato l’attenzione della comunità tecnologica è però direttamente proporzionale alle preoccupazioni emerse sul piano della sicurezza e del controllo.
Il caso OpenClaw è rilevante perché mostra in modo molto concreto cosa accade quando un agente autonomo smette di essere un semplice assistente conversazionale e ottiene accesso operativo a file, applicazioni, credenziali e servizi reali.
- Cos’è OpenClaw e cosa lo distingue dagli altri assistenti AI?
- Cosa può fare OpenClaw nella pratica?
- I rischi strutturali: perché OpenClaw preoccupa?
Cos’è OpenClaw e cosa lo distingue dagli altri assistenti AI?
OpenClaw è un agente personale di intelligenza artificiale che viene eseguito direttamente su una macchina scelta dall’utente, come un computer locale, un server domestico o una VPS. Non si tratta di un servizio SaaS tradizionale, ma di un gateway tra un modello linguistico e l’ambiente operativo, capace di collegare l’AI alle applicazioni e ai dati a cui viene concesso accesso.
Il progetto è stato creato da Peter Steinberger, sviluppatore austriaco noto per aver fondato PSPDFKit. OpenClaw non integra un modello proprietario: è progettato per funzionare con LLM esterni come Claude, ChatGPT, Gemini o modelli locali, demandando l’elaborazione linguistica al provider scelto.
Cosa può fare OpenClaw nella pratica?
La promessa centrale di OpenClaw è quella di un’AI che non si limita a suggerire, ma agisce. Una volta configurato, l’agente può leggere e inviare e-mail, gestire calendari, navigare sul web, interagire con servizi online, organizzare file, eseguire comandi da terminale e avviare automazioni persistenti.
Uno degli elementi chiave è la memoria a lungo termine. OpenClaw conserva contesto e istruzioni in file locali, mantenendo continuità tra le sessioni. Questo gli consente di seguire progetti nel tempo, proporre azioni coerenti con le abitudini dell’utente e operare anche in assenza di input immediato.
Il sistema può inoltre essere esteso tramite le cosiddette skill, pacchetti che aggiungono nuove capacità o integrazioni. Caricate direttamente sul sistema che ospita l’agente, le skill possono includere script, chiamate di rete, istruzioni operative e altre funzioni avanzate.
I rischi strutturali: perché OpenClaw preoccupa?
Dal punto di vista della sicurezza, OpenClaw presenta una combinazione particolarmente delicata. L’agente può avere accesso a dati sensibili, è esposto a input esterni non affidabili e può comunicare verso l’esterno mantenendo una memoria persistente delle interazioni.
Società di cybersecurity come Palo Alto Networks e Cisco hanno evidenziato come questo modello amplifichi il rischio di attacchi basati su prompt injection e skill malevole. Un agente che opera con le credenziali dell’utente può diventare, di fatto, un’estensione invisibile della sua identità digitale.
Un ulteriore problema riguarda la gestione in chiaro di token, chiavi API e file di memoria. In caso di compromissione del sistema ospite, un malintenzionato può ottenere non solo singole credenziali, ma un profilo completo delle attività e delle relazioni dell’utente.
Nel corso della sua rapida diffusione, OpenClaw è stato inoltre colpito da vulnerabilità concrete. La più rilevante è una falla classificata come CVE-2026-25253, che consentiva l’esecuzione di codice remoto tramite un semplice link malevolo.
