/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/01/clawdbot-moltbot-1.jpg "Da Clawdbot a Moltbot: cronaca di un collasso nell’ecosistema AI open source")
Nel giro di 72 ore, uno dei progetti open source più promettenti e virali nel segmento dell’AI globale è passato dall’essere celebrato come “il futuro degli assistenti personali” a diventare un caso di studio su fragilità legali, sicurezza applicativa e predazione crypto. La parabola di Clawdbot – da poco diventato Moltbot (repository GitHub) – non è solo la storia di una caduta improvvisa, dalle stelle alle stalle oseremo dire, ma un segnale inequivocabile di quanto soluzioni del genere siano ancora instabili, quando open source, piattaforme proprietarie e speculazione finanziaria collidono.
Quello che è accaduto non può essere ridotto a un semplice “errore di rebranding” o a un incidente di sicurezza. È, piuttosto, la sintesi di tensioni latenti che attraversano tutto il settore: il rapporto asimmetrico tra sviluppatori indipendenti e Big Tech, l’ambiguità di certe politiche di trademark, la corsa incontrollata verso agenti AI sempre più potenti.
L’ascesa fulminea: Clawdbot conquista GitHub
Clawdbot nasce come progetto personale di Peter Steinberger, sviluppatore austriaco noto per aver fondato il progetto PSPDFKit (piattaforma software per la visualizzazione, modifica e gestione avanzata di documenti PDF, usata soprattutto in applicazioni enterprise e professionali) e aver già dimostrato di saper costruire prodotti solidi e scalabili.
L’idea alla base di Clawdbot era semplice ma radicale: superare il concetto di chatbot passivo e creare un agente AI capace di agire, ricordare e interagire con il sistema operativo, i file, il browser e le piattaforme di messaggistica.
In un momento storico in cui il concetto di agente AI stava passando dalla teoria alla pratica, Clawdbot incarnava perfettamente l’immaginario collettivo: memoria persistente, accesso alla shell, integrazioni multiple, notifiche proattive e soprattutto controllo locale. Non un SaaS chiuso, ma un assistente auto-ospitato, sotto il pieno controllo dell’utente. Anche se con qualche distinguo (ne parliamo più avanti).
Il successo è stato immediato e, per certi versi, anomalo. Decine di migliaia di stelle su GitHub in pochi giorni, endorsement pubblici da figure centrali del mondo AI, corsa ad attivare “serverini cloud” per ospitare Clawdbot e farsi il proprio assistente AI davvero personale.
Un dato è particolarmente rilevante: una parte significativa degli utenti configurava Clawdbot per utilizzare Claude di Anthropic come modello principale, trasformando il progetto in un moltiplicatore di adozione per l’API di Anthropic stessa.
Cos’è e come funziona Moltbot (ex Clawdbot)
Moltbot (precedentemente Clawdbot) è un personal AI assistant auto-ospitato: significa che il non vive su server di terzi, ma gira su una macchina controllata direttamente dall’utente.
Prima di tutto serve quindi un dispositivo sempre acceso: un Mac, un Mini PC, un server domestico, una macchina virtuale o un server cloud. Non è un’app che apri e chiudi, ma un servizio che resta in esecuzione come un daemon. Il dispositivo prescelto diventa il “luogo fisico” in cui vive l’assistente, con accesso al file system, alla rete e alle integrazioni configurate.
Gateway, runtime e orchestrazione dell’agente
Serve poi un runtime applicativo, Node.js, che esegue il gateway e l’agente. Su questo runtime sono gestiti lo stato dell’assistente, la memoria persistente e l’orchestrazione delle azioni. Senza questo strato, l’AI resterebbe una semplice chiamata API stateless.
È necessario anche un accesso a uno o più modelli linguistici esterni. Molbot non “contiene” l’AI: la invoca. L’utente deve configurare account e autorizzazioni (OAuth o API key) verso provider come Anthropic o OpenAI. L’elaborazione cognitiva avviene fuori, ma il controllo del flusso resta locale.
Modelli locali e supporto agli LLM open source
Da sottolineare, quindi, che di default Clawd – pardòn – Moltbot non sposta l’elaborazione AI in locale, sul dispositivo dell’utente. Va comunque evidenziato che Moltbot/Clawdbot può usare modelli AI open source ospitati in locale come quelli gestiti tramite Ollama, runtime per modelli LLM open source.
Moltbot integra Ollama tramite la sua API compatibile con quella di OpenAI. Configurando Ollama sul proprio dispositivo, dopo aver scaricato i modelli AI (ad esempio LLaMA3, Qwen, Phi-3 ecc.), Moltbot li può scoprire automaticamente e usarli come backend AI impostando la variabile di ambiente OLLAMA_API_KEY o una voce nel file di configurazione dedicata al provider Ollama.
In questo modo l’agente AI di Moltbot può “parlare” con modelli locali come se fossero provider esterni, evitando l’uso di API cloud e costi di token, e mantenendo elaborazione e privacy completamente sull’hardware locale.
Canali di comunicazione e perimetro di sicurezza
Per interagire con l’utente servono canali di comunicazione configurati esplicitamente: bot Telegram, integrazione con WhatsApp, Slack, Discord, email o Web UI. Questi canali non ospitano alcuna logica, ma fanno da ponte tra il mondo esterno e il processo locale gestito da Moltbot. Senza canali, l’assistente esiste ma non “parla”.
Infine, servono regole di sicurezza e isolamento: pairing dei mittenti, allowlist, limitazione delle skill, separazione dell’account di sistema. Un assistente auto-ospitato ha più potere di un chatbot cloud, quindi richiede più responsabilità operativa. In cambio, offre controllo, continuità e integrazione profonda con l’ambiente dell’utente.
Il marchio Clawd come miccia: il cease & desist che cambia tutto
Il 27 gennaio 2026 arriva la comunicazione di Anthropic: il nome “Clawd” è troppo simile a “Claude” e viola il trademark. Nessuna accusa tecnica, nessuna contestazione sull’uso dell’API. Solo una richiesta formale di rebranding del progetto.
Dal punto di vista legale, l’azione è difendibile. Però, Clawdbot era un progetto giovane, apertamente non competitivo, che stava di fatto promuovendo l’ecosistema Anthropic presso una community tecnica altamente influente.
L’imposizione del cambio di nome è accettata senza polemiche: Clawdbot diventa Moltbot, in un’operazione narrativa persino elegante, giocata sulla metafora della muta del crostaceo.
Clawdbot giocava infatti con la parola claw che richiama la chela di un astice/crostaceo e metaforicamente “manipolare cose”. Molt invece è un termine con significato concreto: denota il processo mediante cui un animale cambia il proprio “guscio” o rivestimento pur restando lo stesso organismo.
Comunque, il problema non è il cambio di nome del progetto. È l’effetto domino che innesca.
Dieci secondi di vuoto, un sacco di danni
Durante il processo di cambio di nome degli account GitHub e X, si verifica un errore operativo: il rilascio simultaneo dei vecchi handle e il ritardo nell’assegnazione dei nuovi. In quello spazio temporale, letteralmente di pochi secondi, entrano in azione attori che da tempo monitorano eventi di questo tipo.
Quando su GitHub o X viene richiesta una ridenominazione, il vecchio nome viene immediatamente liberato, non resta legato all’account originale e non è riservato in alcun modo.
I vecchi account legati a Clawdbot sono stati quindi immediatamente registrati da gruppi legati a scam crypto. Nessun hacking sofisticato, nessuna vulnerabilità: solo velocità, automazione e una profonda conoscenza delle dinamiche social. Nel giro di poche ore, decine di migliaia di follower iniziano a ricevere comunicazioni fraudolente che sfruttano la credibilità accumulata dal progetto.
L’episodio mette in luce un punto spesso sottovalutato: l’identità digitale è un asset critico tanto quanto il codice. Perderla, anche per pochi minuti, può avere conseguenze irreversibili.
La monetizzazione tossica: quando l’hype diventa token
Il caos informativo apre la porta alla fase più distruttiva. Nascono token fake associati al progetto, in particolare su Solana. Il meccanismo è noto: nome riconoscibile, presentazione basata sul duo scintillante “AI + open source”, promessa implicita di early access. Incredibile ma vero: in poche ore, il token raggiunge una capitalizzazione a otto cifre.
La smentita arriva, ma arriva dopo. E nel mondo crypto, il tempo è tutto. Il crollo è immediato, i danni permanenti. Non solo economici, ma reputazionali. Clawdbot/Moltbot si ritrova associato, suo malgrado, a uno schema speculativo che non ha mai voluto né autorizzato.
Installazioni di Clawdbot/Moltbot esposte pubblicamente su Internet
Mentre l’attenzione pubblica è catalizzata sul rebranding forzato e sugli scam crypto che ne sono seguiti, iniziano a emergere criticità più profonde e meno visibili. Ricercatori indipendenti individuano infatti numerose istanze di Clawdbot/Moltbot esposte direttamente su Internet, prive di adeguati meccanismi di autenticazione e accessibili a chiunque. In molti casi, queste istanze consentono l’accesso completo a informazioni altamente sensibili: credenziali API dei modelli, token OAuth, log delle conversazioni private, integrazioni di terze parti e, aspetto più critico, la possibilità di eseguire comandi sul sistema ospitante.
Il problema non risiede in una singola vulnerabilità o in un bug isolato, ma nel modello di utilizzo che si è rapidamente diffuso. Moltbot è un agente AI con capacità operative estese, progettato per interagire con il file system, la rete e servizi esterni; tuttavia, è spesso installato da utenti attratti dalla promessa di un assistente “always-on” senza una piena comprensione delle implicazioni di sicurezza. Non di rado il gateway è esposto su macchine personali, server domestici o VPS poco protetti, senza isolamento di rete, senza restrizioni IP e con policy di default non adeguatamente riviste.
Questa combinazione – potere elevato dell’agente, configurazioni permissive e scarsa segregazione degli ambienti – trasforma rapidamente l’assistente in un punto di ingresso privilegiato.
Utilizzando motori di scansione come Shodan, è possibile individuare con relativa facilità un numero sorprendentemente alto di installazioni Clawdbot/Moltbot pubblicamente raggiungibili.
La velocità di adozione di Clawdbot/Moltbot ha superato la maturità operativa: strumenti pensati per utenti tecnicamente competenti sono utilizzati come software “plug-and-play”, senza che esista ancora una cultura diffusa in fatto di hardening, sandboxing e gestione del rischio adeguata alla nuova categoria degli agenti AI con accesso al sistema.
Il secondo (grave) problema: prompt injection via email
In uno scenario tipico, Moltbot è configurato per monitorare una casella email o un canale di messaggistica e trattare i messaggi in arrivo come input validi per l’agente.
Dal punto di vista del sistema, il contenuto dell’email non è distinguibile, semanticamente, da un’istruzione legittima dell’utente: è semplicemente testo che entra nel contesto del modello linguistico.
Un attaccante può quindi inviare un’email costruita appositamente, contenente istruzioni mascherate da testo innocuo, ad esempio richieste operative formulate in linguaggio naturale. Il modello, non avendo una separazione forte tra contenuto informativo e comandi, interpreta queste istruzioni come parte del prompt e tenta di eseguirle.
Se l’agente dispone di skill abilitate – come l’accesso alla posta, ai file locali o alla possibilità di inoltrare messaggi – l’output del modello può tradursi in azioni reali.
Nel caso dimostrato dai ricercatori su Clawdbot/Moltbot, l’email malevola induce l’agente a raccogliere messaggi precedenti dalla casella dell’utente e a inoltrarli a un indirizzo controllato dall’attaccante. L’intero processo avviene senza exploit di basso livello, senza escalation di privilegi e senza violazioni di memoria: è il comportamento previsto del sistema, applicato a un input non fidato.
Conclusioni: quando l’AI esce dal laboratorio e incontra il mondo reale
Il caso Clawdbot/Moltbot non è riducibile a una sequenza di sfortunate coincidenze. È piuttosto il risultato dell’incontro, ancora immaturo, tra tre forze che oggi avanzano a velocità diverse: l’innovazione open source, il controllo esercitato dalle grandi piattaforme e la rapida diffusione di agenti AI con capacità operative reali. Quando questi elementi entrano in collisione, anche un progetto tecnicamente valido può diventare il punto di rottura e la miccia in grado di far esplodere tensioni molto più ampie.
La vicenda mostra innanzitutto quanto sia fragile la posizione degli sviluppatori indipendenti all’interno di ecosistemi dominati da attori molto più grandi. Clawdbot stava di fatto rafforzando l’adozione dell’API di Anthropic, ma ciò non lo ha protetto da un enforcement legale rapido e poco sensibile al contesto. Dal punto di vista formale, il cease & desist sul nome “Clawd” è difendibile; dal punto di vista dell’ecosistema, ha innescato una catena di eventi che ha causato danni ben superiori al problema che intendeva risolvere. Il risultato è una frattura percettiva: molti sviluppatori iniziano a interrogarsi sull’affidabilità di piattaforme che possono cambiare atteggiamento dall’oggi al domani, indipendentemente dal valore che i progetti costruiti sopra di esse generano.
Agenti AI, superficie d’attacco e identità digitale
Allo stesso tempo, l’episodio ha reso evidente che l’AI agentica non è più una curiosità sperimentale. Moltbot è un assistente dotato di molti “tentacoli”, accesso al sistema e integrazioni profonde: una categoria di software che rompe il perimetro tradizionale del chatbot e introduce nuovi rischi. Le istanze esposte pubblicamente, la gestione disinvolta delle credenziali e gli attacchi di prompt injection via email non sono anomalie, ma conseguenze dirette di un’adozione oggettivamente troppo rapida della capacità di controllo e automazione rispetto alla maturità delle pratiche di sicurezza. In questo contesto, l’idea di installare agenti potenti come se fossero semplici applicazioni consumer si rivela pericolosa.
Infine, il caso Clawdbot/Moltbot dimostra quanto l’identità digitale sia diventata un’infrastruttura critica. Account, nomi e reputazione accumulata nel tempo valgono quanto – se non più – del codice stesso. La perdita anche temporanea di questi asset ha aperto la strada a scam crypto, monetizzazione fraudolenta e danni reputazionali difficilmente reversibili, amplificati da soggetti sempre pronti a sfruttare momenti di incertezza.
/https://www.ilsoftware.it/app/uploads/2026/01/winapp-sviluppo-app-windows.jpg "winapp: nuova CLI di Microsoft che semplifica lo sviluppo di applicazioni Windows")
/https://www.ilsoftware.it/app/uploads/2026/01/skip-programmazione-app-android-ios-da-codice-swift.jpg "Skip diventa open source: sviluppo mobile nativo iOS e Android da un’unica codebase Swift")
/https://www.ilsoftware.it/app/uploads/2026/01/curl-stop-bug-bounty-AI.jpg "cURL dice basta alle segnalazioni prodotte usando l'AI")
/https://www.ilsoftware.it/app/uploads/2026/01/file-poliglotta-multipiattaforma-windows-linux-browser.jpg "Un unico file da 13 KB funziona su Windows, Linux e browser Web: qual è il trucco geniale")