OpenClaw passa a OpenAI, nonostante i problemi di sicurezza

Un assistente personale autonomo che esegue operazioni su email, calendario, messaggistica e servizi online senza intervento diretto rappresenta uno dei filoni più discussi dell’ingegneria del software contemporanea. Il progetto OpenClaw, pubblicato a fine 2025, si colloca in questa traiettoria: un agente locale open source in grado di orchestrare modelli linguistici e strumenti esterni per automatizzare attività reali.

L’adozione rapida — con centinaia di migliaia di installazioni in poche settimane — ha evidenziato una tensione tra innovazione e protezione dei dati: sistemi in grado di eseguire azioni reali su dispositivi personali ampliano infatti in modo significativo la superficie di attacco. In un altro articolo abbiamo visto perché agenti AI con privilegi totali come OpenClaw erano destinati a fallire.

Nonostante le problematiche di sicurezza emerse a più riprese, con diverse vulnerabilità venute a galla, un numero incalcolabile di istanze di OpenClaw esposte al pubblico e amministrabili da parte di malintenzionati, una altrettanto vasta schiera di skill contenenti malware, OpenAI ha comunque compreso il carico di innovazione del progetto annunciando di aver assunto l’autore Peter Steinberger.

Fondazione indipendente e collaborazione con OpenAI

L’annuncio del passaggio di Peter Steinberger a OpenAI affianca quello relativo alla creazione di una fondazione per il progetto OpenClaw.

L’obiettivo dichiarato è rendere gli agenti accessibili anche a utenti non tecnici, riducendo la complessità di configurazione e introducendo controlli di sicurezza più robusti. L’accesso a modelli di ultima generazione e a infrastrutture di ricerca avanzate è destinato a migliorare la qualità delle decisioni degli agenti e la loro affidabilità operativa.

Il progetto rimane open source e indipendente, ma con un supporto strutturato che ne favorisce l’evoluzione. La prospettiva è quella di una nuova generazione di assistenti software capaci di operare in autonomia su larga scala, con implicazioni che riguardano non solo la produttività ma anche la protezione dei dati e la gestione dei privilegi digitali.

Architettura tecnica e modello operativo di OpenClaw

OpenClaw è concepito come un agente eseguito in locale, costruito principalmente in TypeScript e Swift, che interagisce con un modello di linguaggio remoto o locale per generare decisioni operative.

L’interfaccia principale non è una GUI tradizionale ma un canale di messaggistica, ad esempio Telegram, Signal o WhatsApp, attraverso cui l’utente impartisce istruzioni ad alto livello. Il sistema traduce tali istruzioni in una sequenza di azioni eseguibili, sfruttando connettori e moduli chiamati skill che permettono di accedere ad API, file locali e servizi di terze parti.

Il motore agentico combina memoria persistente, orchestrazione di tool e pianificazione multi-step. Una richiesta come la gestione di una prenotazione di viaggio è trasformata in una catena di operazioni: interrogazione di un servizio di posta, parsing del contenuto, accesso a sistemi di check-in e invio di notifiche.

L’architettura è orientata a scenari asincroni e di lunga durata, dove il sistema può continuare a operare anche dopo la chiusura della sessione utente.

Dalla sperimentazione a un progetto open source virale

Il progetto è stato inizialmente rilasciato con il nome Clawdbot, poi rinominato Moltbot e infine OpenClaw a seguito di questioni legate ai marchi. La scelta di una licenza MIT ha facilitato fork e adattamenti, inclusa l’integrazione con modelli come Claude, GPT e DeepSeek.

Il progetto ha acquisito ulteriore visibilità anche a valle della presentazione di Moltbook, una rete sociale pensata per agenti autonomi che interagiscono tra loro condividendo istruzioni e comportamenti.

L’adozione ha mostrato come l’interesse non sia limitato alla sperimentazione: aziende e sviluppatori hanno iniziato a usare agenti personalizzati per automatizzare flussi di lavoro complessi, con casi d’uso che spaziano dal supporto clienti alla gestione di processi amministrativi.

L’attenzione mediatica è stata accompagnata da un crescente dibattito sulla sicurezza e sull’affidabilità di sistemi capaci di agire con ampi privilegi sui dispositivi degli utenti. A questo proposito, Cloudflare ha dimostrato di aver colto “lo spirito” e l’obiettivo di uno strumento come OpenClaw sottolineando però quanto possano risultare pericolose installazioni effettuate senza le necessarie competenze tecniche. Moltworker è la soluzione Cloudflare per eseguire OpenClaw in sicurezza: l’esecuzione dell’agente AI si sposta in un ambiente controllato e isolato, riducendo drasticamente l’esposizione del dispositivo dell’utente.

Il principio tecnico alla base è l’uso di un runtime sandbox distribuito. Moltworker è infatti un middleware che consente di eseguire OpenClaw all’interno del Sandbox SDK e dell’infrastruttura serverless di Cloudflare, senza necessità di self-hosting o bisogno di aprire porte sulla rete domestica.

Superficie di attacco e vulnerabilità emergenti

L’uso di agenti autonomi introduce un perimetro di rischio più ampio rispetto alle applicazioni tradizionali. Studi accademici recenti hanno identificato vulnerabilità in diverse fasi del ciclo operativo, dalla gestione dei prompt alla selezione degli strumenti fino al recupero della memoria persistente. Framework di valutazione come PASB hanno evidenziato la possibilità di sferrare attacchi end-to-end su OpenClaw, al fine di manipolare il comportamento dell’agente sfruttando input malevoli o tool compromessi.

Ulteriori criticità emergono dal sistema di estensioni: il marketplace ClawHub consente la distribuzione di skill che possono eseguire codice sul dispositivo locale.

Come anticipato in apertura, diversi ricercatori hanno individuato centinaia di estensioni contenenti malware, tra cui keylogger e infostealer, in grado di esfiltrare credenziali o eseguire comandi arbitrari. Il rischio è amplificato dal fatto che l’agente dispone spesso di accesso diretto a email, calendari e file personali.