OpenClaw, scoperte più vulnerabilità zero-day: cosa significa per chi lo usa

La sicurezza applicativa sta entrando in una fase in cui l’analisi automatizzata non si limita più alla ricerca di pattern noti, ma si spinge verso l’interpretazione del comportamento logico del software. Il progetto MCPwner nasce in questo contesto come server MCP dedicato al penetration testing agentico, capace di orchestrare modelli come GPT-4o e Claude 3.5 Sonnet per eseguire analisi coordinate su codice e runtime. Applicato al progetto OpenClaw, ha portato all’individuazione di diverse vulnerabilità zero-day, poi oggetto di advisory ufficiali, dimostrando che anche modelli AI non di ultima generazione, se inseriti in un workflow strutturato, possono rilevare difetti architetturali che sfuggono agli scanner tradizionali.

Il caso rappresenta un’evoluzione concreta delle tecniche di sicurezza offensive, in cui l’analisi del flusso di controllo e del contesto applicativo assume un ruolo centrale rispetto alla semplice individuazione di bug.

Architettura di MCPwner e ruolo dei modelli linguistici

MCPwner opera come un server MCP (Model Context Protocol) in grado di orchestrare agenti AI con accesso a strumenti di analisi e contesto applicativo.

Il fulcro del progetto non è il modello linguistico in sé, ma il modo in cui è utilizzato: invece di agire come generatore di codice o suggeritore, il modello è impiegato come LLM judge, cioè come entità che valuta scenari, ipotesi e percorsi logici.

Il processo combina i risultati dell’analisi statica generati da CodeQL (uno strumento che esamina il codice senza eseguirlo) con dati osservati durante l’esecuzione dell’applicazione e con la sua documentazione. In questo modo il modello dispone di un contesto completo su permessi, percorsi di esecuzione del codice e dipendenze tra componenti, riuscendo a individuare i punti in cui i controlli di sicurezza possono essere elusi. Un secondo agente è impiegato per verificare i risultati e ridurre i falsi allarmi, mentre vengono creati proof-of-concept, manuali o parzialmente automatizzati, per dimostrare concretamente che una vulnerabilità scoperta è davvero sfruttabile.

Vulnerabilità in OpenClaw e impatto sugli utenti

Le vulnerabilità scoperte in OpenClaw hanno attirato attenzione e critiche perché non si tratta di semplici errori implementativi ma nuovi gravi difetti strutturali nella logica di sicurezza: un bypass del meccanismo ACP consentiva l’assegnazione automatica di privilegi senza controlli contestuali robusti; una environment variable injection permetteva di manipolare il comportamento runtime dei processi server-side; un file-existence oracle esponeva informazioni sulla presenza di file sensibili; un stdin-only bypass aggirava le restrizioni del sistema.

La combinazione di questi problemi, individuati in un singolo ciclo di analisi automatizzata svolto con MCPwner, ha rinvigorito i dubbi sulla maturità del progetto OpenClaw e sul processo di revisione del codice, alimentando un dibattito acceso sulla responsabilità degli sviluppatori.

Proprio pochi giorni fa spiegavamo perché le aziende vietano OpenClaw mentre una realtà come OpenAI ha deciso di assumere il creatore del progetto, Peter Steinberger.

Limiti degli scanner tradizionali e vantaggi dell’approccio agentico

Gli strumenti tradizionali di analisi statica del codice (che esaminano il software senza eseguirlo) e di DAST, ossia test dinamici di sicurezza effettuati durante l’esecuzione dell’applicazione, si basano soprattutto su regole predefinite e firme di vulnerabilità conosciute.

Per questo, pur risultando efficaci contro problemi già noti, incontrano difficoltà nel riconoscere errori logici che nascono da combinazioni complesse di condizioni, mentre l’approccio agentico di MCPwner sfrutta modelli linguistici per esaminare scenari articolati, mettendo in relazione contesto e comportamento dell’applicazione.

Le vulnerabilità individuate suggeriscono interventi mirati: rafforzamento dei controlli di autorizzazione con verifiche puntuali; sanificazione rigorosa degli input prima della propagazione verso variabili di ambiente; gestione uniforme degli errori per evitare canali informativi laterali e isolamento più rigido dei processi.

L’adozione di controlli di sicurezza basati su policy esplicite, combinata con audit del flusso logico delle applicazioni, rappresenta una risposta efficace a vulnerabilità di natura architetturale. L’uso di agenti AI come supporto all’analisi può accelerare la scoperta, ma richiede la supervisione umana per la validazione finale e la costruzione di exploit dimostrativi.

Prospettive dell’automazione nel penetration testing

L’esperienza maturata con MCPwner indica una direzione precisa: il penetration testing automatizzato non si limiterà alla scansione, ma si orienterà verso sistemi agentici in grado di collaborare con analisti umani.

Il ruolo dell’operatore umano rimane fondamentale, ma viene affiancato da strumenti capaci di analizzare rapidamente ampie superfici di attacco — ovvero l’insieme dei punti esposti di un sistema — e di individuare anche anomalie logiche complesse, difficili da rilevare con i metodi tradizionali.

Il progetto è ancora in fase di sviluppo e ha l’obiettivo di integrare nuovi strumenti e flussi di lavoro strutturati. Le evoluzioni future riguarderanno l’automazione dei proof-of-concept, cioè delle dimostrazioni pratiche di sfruttamento di una vulnerabilità, la riduzione dei falsi positivi e l’estensione verso diverse architetture applicative, comprese quelle dei backend mobile e delle API distribuite.