La OpenClaw sicurezza è diventata una priorità critica per i responsabili IT aziendali. In meno di una settimana, le istanze pubblicamente esposte di questo AI agent open-source sono passate da 1.000 a oltre 21.000, secondo i dati di monitoraggio di Censys. Inoltre, la telemetria di Bitdefender GravityZone ha confermato il timore dei security leader: dipendenti che installano OpenClaw su macchine aziendali con comandi di una sola riga, garantendo ad agenti autonomi accesso alla shell, privilegi sul file system e token OAuth per Slack, Gmail e SharePoint.
Grazie per avere letto questo articolo, non dimenticare di iscriverti al nostro feed!
OpenClaw sicurezza: le vulnerabilità critiche emerse
Di conseguenza, sono emersi rischi concreti che richiedono attenzione immediata. La vulnerabilità CVE-2026-25253, classificata CVSS 8.8, permette l’esecuzione remota di codice con un solo click. Pertanto, gli attaccanti possono rubare token di autenticazione attraverso un singolo link malevolo e compromettere completamente il gateway in millisecondi.
In aggiunta, una vulnerabilità separata di command injection (CVE-2026-25157) consente l’esecuzione arbitraria di comandi attraverso il gestore SSH di macOS. Tuttavia, i problemi non si fermano qui. Un’analisi di sicurezza su 3.984 skill del marketplace ClawHub ha rivelato che 283 componenti, circa il 7,1% dell’intero registro, contengono falle critiche che espongono credenziali sensibili in plaintext.
Allo stesso modo, un audit separato di Bitdefender ha scoperto che circa il 17% delle skill analizzate mostrava comportamenti apertamente malevoli. Nello specifico, i ricercatori di Wiz hanno scoperto che Moltbook, il social network per AI agent costruito su infrastruttura OpenClaw, aveva lasciato l’intero database Supabase pubblicamente accessibile senza Row Level Security abilitata.
L’esposizione delle credenziali: un rischio sistemico
La violazione ha esposto elementi critici:
- 1,5 milioni di token di autenticazione API
- 35.000 indirizzi email
- Messaggi privati tra agenti contenenti chiavi API OpenAI in plaintext
- Accesso completo in lettura e scrittura a ogni credenziale sulla piattaforma
Nonostante ciò, le guide di setup raccomandano l’acquisto di un Mac Mini, mentre la documentazione di sicurezza sconsiglia categoricamente l’utilizzo. Tuttavia, nessuna delle due offre ai security leader un percorso controllato per la valutazione.
La diffusione rapida e l’integrazione enterprise
Nel frattempo, l’adozione procede a ritmi vertiginosi. L’app Codex di OpenAI ha raggiunto 1 milione di download nella prima settimana. Inoltre, Meta è stata avvistata mentre testava l’integrazione OpenClaw nella codebase della sua piattaforma AI. Ad esempio, una startup chiamata ai.com ha speso 8 milioni di dollari per una pubblicità al Super Bowl, promuovendo quello che si è rivelato essere un wrapper di OpenClaw.
Per questo motivo, i security leader necessitano di una via intermedia tra ignorare OpenClaw e distribuirlo su hardware di produzione. Il framework Moltworker di Cloudflare fornisce esattamente questa soluzione: container effimeri che isolano l’agent, storage R2 crittografato per lo stato persistente e autenticazione Zero Trust sull’interfaccia admin.
Perché il testing locale crea il rischio che dovrebbe valutare
OpenClaw opera con i privilegi completi dell’utente host. Di conseguenza, accesso alla shell, lettura/scrittura del file system e credenziali OAuth per ogni servizio connesso diventano immediatamente disponibili a un agent compromesso. Il ricercatore di sicurezza Simon Willison, che ha coniato il termine \”prompt injection\”, descrive quella che chiama la \”triade letale\” per gli AI agent: accesso a dati privati, esposizione a contenuti non fidati e capacità di comunicazione esterna combinate in un singolo processo.
Pertanto, OpenClaw possiede tutte e tre queste caratteristiche per design. I firewall organizzativi vedono HTTP 200, mentre i sistemi EDR monitorano il comportamento dei processi, non il contenuto semantico. In altre parole, una prompt injection incorporata in una pagina web riassunta o in un’email inoltrata può innescare esfiltrazione di dati identica all’attività utente normale.
Il problema dell’esposizione di rete predefinita
In aggiunta, il gateway OpenClaw si lega a 0.0.0.0:18789 per impostazione predefinita, esponendo l’intera API a qualsiasi interfaccia di rete. Le connessioni localhost si autenticano automaticamente senza credenziali. Successivamente, se distribuito dietro un reverse proxy sullo stesso server, il proxy collassa completamente il confine di autenticazione, inoltrando il traffico esterno come se originasse localmente.
I container effimeri cambiano l’equazione della OpenClaw sicurezza
Cloudflare ha rilasciato Moltworker come implementazione di riferimento open-source che disaccoppia il cervello dell’agent dall’ambiente di esecuzione. Invece di girare su una macchina di cui sei responsabile, la logica di OpenClaw viene eseguita all’interno di una Cloudflare Sandbox, una micro-VM isolata ed effimera che termina quando il task finisce.
Innanzitutto, quattro layer compongono l’architettura. Un Cloudflare Worker al perimetro gestisce routing e proxying. Successivamente, il runtime OpenClaw viene eseguito all’interno di un container sandboxato con Ubuntu 24.04 e Node.js. Inoltre, lo storage R2 gestisce la persistenza crittografata tra i riavvii del container. Infine, Cloudflare Access applica l’autenticazione Zero Trust su ogni route verso l’interfaccia admin.
Il contenimento come proprietà di sicurezza fondamentale
Il contenimento è la proprietà di sicurezza che conta di più. Un agent dirottato tramite prompt injection rimane intrappolato in un container temporaneo con zero accesso alla rete locale o ai file. Quando il container termina, la superficie d’attacco termina con esso. Non esiste nulla di persistente da cui effettuare pivot, nessuna credenziale in una directory ~/.openclaw/ sul laptop aziendale.
Quattro passaggi per una sandbox operativa
In primo luogo, ottenere un’istanza di valutazione sicura richiede un pomeriggio. L’esperienza precedente con Cloudflare non è necessaria.
Passaggio 1: Configurare storage e billing
Un account Cloudflare con piano Workers Paid (5$/mese) e sottoscrizione R2 (tier gratuito) sono sufficienti. Il piano Workers include l’accesso ai Sandbox Container. Inoltre, R2 fornisce persistenza crittografata affinché cronologia conversazioni e accoppiamenti dispositivi sopravvivano ai riavvii del container. Per una valutazione di sicurezza pura, puoi saltare R2 ed eseguire in modalità completamente effimera.
Passaggio 2: Generare token e distribuire
Clona il repository Moltworker, installa le dipendenze e imposta tre secret: la tua chiave API Anthropic, un token gateway generato casualmente (openssl rand -hex 32) e opzionalmente una configurazione Cloudflare AI Gateway. Successivamente, esegui npm run deploy. La prima richiesta innesca l’inizializzazione del container con un cold start di uno-due minuti.
Passaggio 3: Abilitare l’autenticazione Zero Trust
Questo è il punto in cui la sandbox diverge da ogni altra guida di deployment OpenClaw. Configura Cloudflare Access per proteggere l’interfaccia admin e tutte le route interne. Pertanto, accedere all’interfaccia di controllo dell’agent richiede ora autenticazione attraverso il tuo identity provider. Quel singolo passaggio elimina i pannelli admin esposti e il leakage di token-in-URL che le scansioni Censys e Shodan continuano a trovare su internet.
Passaggio 4: Connettere un canale di messaggistica di test
Inizia con un account Telegram usa e getta. Imposta il bot token come Wrangler secret e ridistribuisci. L’agent è raggiungibile attraverso un canale di messaggistica che controlli, eseguito in un container isolato, con persistenza crittografata e accesso admin autenticato. Il costo totale per un’istanza di valutazione 24/7 si aggira intorno ai 7-10$ al mese.
Un stress test di 30 giorni prima di espandere l’accesso
Resisti all’impulso di connettere qualcosa di reale. I primi 30 giorni dovrebbero girare esclusivamente su identità usa e getta. Crea un bot Telegram dedicato e configura un calendario di test con dati sintetici. Se l’integrazione email è importante, crea un account nuovo senza regole di forwarding, contatti o legami con l’infrastruttura aziendale.
Presta particolare attenzione alla gestione delle credenziali. OpenClaw memorizza le configurazioni in file Markdown e JSON in plaintext per impostazione predefinita, gli stessi formati che infostealer commodity come RedLine, Lumma e Vidar hanno attivamente preso di mira nelle installazioni OpenClaw. Nella sandbox, quel rischio rimane contenuto.
Test adversarial da condurre in sicurezza
La sandbox ti offre un ambiente sicuro per eseguire test adversarial che sarebbero sconsiderati su hardware di produzione. Ad esempio, invia all’agent link a pagine contenenti istruzioni di prompt injection incorporate e osserva se le segue. Inoltre, concedi accesso limitato agli strumenti e monitora se l’agent richiede o tenta permessi più ampi.
Allo stesso modo, testa le skill ClawHub prima e dopo l’installazione. OpenClaw ha recentemente integrato la scansione VirusTotal sul marketplace, e ogni skill pubblicata viene ora scansionata automaticamente. Separatamente, la suite open-source ClawSec di Prompt Security aggiunge rilevamento drift per file agent critici come SOUL.md e verifica checksum per artifact delle skill.
Infine, conferma che il confine della sandbox tenga. Tenta di accedere a risorse esterne al container. Verifica che la terminazione del container uccida tutte le connessioni attive. Controlla se la persistenza R2 espone stato che avrebbe dovuto essere effimero.
Il playbook che sopravvive a OpenClaw
Questo esercizio produce qualcosa di più duraturo di un’opinione su un singolo strumento. Il pattern di esecuzione isolata, integrazioni a livelli e validazione strutturata prima di espandere la fiducia diventa il tuo framework di valutazione per ogni deployment di AI agentici che seguirà.
In conclusione, costruire infrastruttura di valutazione ora, prima che il prossimo agent virale venga rilasciato, significa anticipare la curva della shadow AI invece di documentare la violazione che ha causato. Per saperne di più su come proteggere la tua infrastruttura AI, visita il blog di Digital Seeds. Il modello di sicurezza per AI agentici che implementi nei prossimi 30 giorni determinerà se la tua organizzazione cattura i guadagni di produttività o diventa la prossima disclosure.
