Moltbook spiegato: cos’è davvero il social per agenti AI e quali rischi comporta

La storia dietro Moltbook non nasce dal nulla, né è semplicemente il frutto di un’idea astratta: si inserisce in un percorso evolutivo che parte dai progetti agentici sviluppati da Peter Steinberger, software engineer di origini austriache molto noto nella comunità open source. Steinberger, già autore di PSPDFKit — una libreria di strumenti per la gestione di PDF utilizzata in prodotti di grandi aziende — è l’ideatore di una serie di strumenti che messo nelle mani degli utenti la possibilità di allestire, in breve tempo, un agente AI personale installato su server propri.

Moltbook si presenta in modo volutamente netto: “A Social Network for AI Agents”, un luogo in cui gli agenti AI pubblicano post, commentano e votano, mentre gli umani possono principalmente osservare. La home lo definisce “the front page of the agent internet”, con comunità tematiche chiamate “submolts”, un meccanismo che ricorda quello dei forum moderni, ma con un dettaglio sostanziale: gli attori principali non sono persone.

L’idea di Steinberger è provare a vedere cosa succede quando sistemi autonomi (o semi-autonomi) interagiscono tra loro in uno spazio pubblico, con incentivi sociali molto semplici (attenzione, reputazione, voto), ma con dinamiche potenzialmente nuove.

Che cos’è davvero Moltbook (e cosa non è)

Sul piano funzionale Moltbook è, oggi, un esperimento di social networking: post, commenti, ranking, profili, comunità. Sul piano concettuale è un laboratorio: sposta l’attenzione dal classico “assistente che risponde all’utente” a un contesto in cui gli agenti AI conversano tra loro, si scambiano procedure, idee, regole, talvolta perfino “mitologie” nate dal gioco e dalla cultura Internet.

L’autore del progetto non vuole creare “personalità artificiali”, ma rendere visibile come sistemi autonomi scambiano informazioni, regole operative e schemi di comportamento quando non sono vincolati a una singola conversazione uno-a-uno.

Allo stesso tempo Moltbook non è un ambiente di produzione né un’infrastruttura pensata per l’uso aziendale: non offre garanzie di affidabilità, isolamento o sicurezza paragonabili a quelle richieste in contesti professionali. È piuttosto un test aperto, in cui l’interazione tra agenti è deliberatamente esposta per osservare dinamiche emergenti, limiti e distorsioni.

Valutare Moltbook in questi termini aiuta a ridimensionare sia l’entusiasmo eccessivo sia le paure più apocalittiche: Moltbook è un esperimento che mette sotto i riflettori una direzione già intrapresa dallo sviluppo degli agenti AI.

Autonomia, dati riservati e superamento dei confini: il vero nodo della sicurezza

Il punto più critico, e allo stesso tempo meno discusso in modo strutturato, riguarda la combinazione tra autonomia dell’agente e accesso a informazioni personali o riservate.

Un agente AI che “prende il comando” non è pericoloso perché decide al posto dell’utente, ma perché opera attraversando confini di contesto che, per un umano, sono intuitivi e per una macchina non lo sono affatto.

Prendiamo la “creatura” inventata da Steinberger, prima chiamata Clawdbot, poi Moltbot e infine OpenClaw. Quando un sistema ha accesso a email, documenti, credenziali, log operativi o conversazioni private, e allo stesso tempo partecipa a spazi pubblici o semi-pubblici di scambio tra agenti, il rischio principale è la loro trasformazione e redistribuzione indiretta.

Informazioni riservate possono essere rielaborate, sintetizzate, astratte in “best practice”, esempi o casi d’uso apparentemente innocui, ma sufficienti a ricostruire dettagli importanti da parte di altri agenti AI od osservatori umani.

Il problema è aggravato dal fatto che gli agenti non possiedono una nozione nativa di riservatezza: ciò che è stato appreso in un ambiente locale non è percepito come intrinsecamente incompatibile con una condivisione pubblica, a meno che questa separazione non sia imposta in modo architetturale. Un social di agenti AI diventa quindi un moltiplicatore di superficie di attacco, non perché incentiva comportamenti malevoli, ma perché normalizza la circolazione di conoscenza operativa senza una chiara distinzione tra ciò che può essere condiviso e ciò che deve restare confinato.

Configurazione e isolamento: perché Moltbot/OpenClaw non vanno “accesi e basta”

Uno degli aspetti da sottolineare con particolare attenzione è che Moltbot/OpenClaw non è uno “strumenti pronti all’uso” per l’utente medio, né un assistente da collegare in modo indiscriminato a posta, file e servizi personali.

Concedere a un agente AI accesso completo e non filtrato ai propri dati — email, documenti, account cloud, credenziali o API — significa esporre informazioni personali e operative a un sistema che, per definizione, agisce in autonomia e può riutilizzare ciò che apprende in contesti non sempre prevedibili.

È in questo quadro che si inserisce Moltworker, middleware sviluppato da Cloudflare pensato per introdurre un livello di controllo, isolamento e mediazione tra l’agente e le risorse dell’utente.

L’idea alla base è semplice ma fondamentale: ridurre i privilegi, limitare la superficie di attacco e separare in modo più netto ciò che l’agente può vedere da ciò che può fare.

Moltworker non elimina automaticamente i rischi, ma rappresenta un tentativo concreto di affrontare il problema alla radice, spostando l’attenzione dalla “fiducia nell’AI” alla progettazione di confini tecnici chiari.

In assenza di queste precauzioni, sperimentare con Moltbot/OpenClaw diventa un esercizio potenzialmente pericoloso, soprattutto se l’agente fosse messo in condizione di interagire con ambienti pubblici o condivisi. La sperimentazione resta possibile e interessante, ma solo a patto di essere consapevoli che, in questo caso, la sicurezza non è un dettaglio opzionale bensì una condizione necessaria.