Blog e articoli

  • Home
  • Blog e articoli
⚠️ OpenClaw: perché gli esperti di cybersecurity raccomandano di presumere di essere compromessi
08 avril 2026
Autore Peter Senn
#OpenClaw #cybersicurezza #agenti IA #CVE #Docker #sicurezza PMI #ClawHub #vulnerabilità #supply chain #escalation dei privilegi
  • Aggiornato il:

    • ⚠️ OpenClaw: perché gli esperti di cybersecurity raccomandano di presumere di essere compromessi

    🔄 Aggiornamento del 20 aprile 2026 — La versione minima raccomandata è ora OpenClaw ≥ 2026.4.14 (e non più 2026.3.28). La batch di patch di aprile 2026 ha aggiunto almeno 13 nuove CVE, tra cui CVE-2026-35639 (CVSS 8.7), CVE-2026-34511 (OAuth PKCE), CVE-2026-35636 (dirottamento di sessionId) e CVE-2026-40037 (SSRF cross-origin). Il ritmo di pubblicazione delle CVE non rallenta — la postura « presumi di essere compromesso » è più che mai attuale.
     
    Avviso attivo: Questo avviso riguarda tutte le versioni di OpenClaw precedenti alla 2026.4.14. Se non hai ancora effettuato l'aggiornamento, tratta il tuo ambiente come potenzialmente compromesso.

    OpenClaw (precedentemente Clawdbot poi Moltbot, rinominato a gennaio 2026) è un framework di agenti IA open source che consente a un assistente IA di agire per conto di un utente — file, Slack, Discord, Telegram, acquisti online — utilizzando i propri accessi e permessi. Lanciato a novembre 2025, ha raggiunto 347.000 stelle su GitHub in meno di sei mesi. In cinque mesi, inoltre, gli sono state associate 138 CVE — di cui 7 critiche, 49 di severità alta. Se tu o il tuo team utilizzate OpenClaw, la postura raccomandata dagli esperti è inequivocabile: presumi di essere compromesso.

    Punti chiave da ricordare

    • CVE-2026-25253 (CVSS 8.8): RCE in 1 clic tramite WebSocket, il 35,4% delle implementazioni osservate vulnerabili a RCE
    • CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9): controllo admin senza credenziali
    • 12% delle skill ClawHub dannose a febbraio 2026 (341 su 2.857) — 824+ attive al 3 aprile 2026 (campagna ClawHavoc)
    • +135.000 istanze esposte in 82 paesi, di cui il 63% senza autenticazione (SecurityScorecard STRIKE, febbraio 2026)
    • Microsoft sconsiglia qualsiasi implementazione su postazioni contenenti dati sensibili (19/02/2026)
    • Versione minima raccomandata: 2026.4.14

    Cos'è OpenClaw?

    OpenClaw (precedentemente Clawdbot poi Moltbot — tre nomi successivi a gennaio 2026) è un framework di agenti IA open source che consente a un assistente IA di automatizzare azioni per conto di un utente umano — accesso ai file locali e di rete, messaggistica Slack e Discord, gestione di Telegram, transazioni online, esecuzione di attività su servizi di terze parti — utilizzando gli stessi diritti e credenziali dell'utente.

    Lanciato a novembre 2025, OpenClaw ha raggiunto 347.000 stelle su GitHub in meno di sei mesi. La sua popolarità è virale. Il suo modello di sicurezza, invece, è fondamentalmente fragile: l'agente dispone degli stessi diritti dell'utente, connesso a tutti i suoi servizi. Una falla non compromette un componente isolato — compromette tutto ciò a cui l'agente aveva accesso.

    Cronologia degli incidenti (novembre 2025 – aprile 2026)

    Data Incidente Severità
    Novembre 2025 Lancio di OpenClaw (ex-Clawdbot, poi Moltbot, rinominato OpenClaw a gennaio 2026), adozione virale — 347.000 ⭐ GitHub
    29 gen – 3 feb 2026 CVE-2026-25253 (CVSS 8.8): RCE in 1 clic tramite WebSocket locale. Patch v2026.1.29 pubblicata il 29 gennaio 2026; disclosure pubblica il 3 febbraio 2026. Il 35,4% delle implementazioni osservate vulnerabili a RCE. 🔴 Critica
    Febbraio 2026 Campagna ClawHavoc (Koi Security): 341 skill dannose su 2.857 controllate (12%) — keylogger e credential stealer 🔴 Critica
    19 febbraio 2026 Microsoft Security Blog: guida ufficiale che sconsiglia l'implementazione su qualsiasi postazione contenente dati sensibili 🟠 Avviso
    Marzo 2026 CVE-2026-22172 (CVSS 9.9): auto-dichiarazione di scope admin tramite WebSocket — tutte le versioni precedenti alla 2026.3.12 🔴 Critica
    19 marzo 2026 CVE-2026-32038: aggiramento dell'isolamento di rete Docker tramite network=container:. Corretto in OpenClaw 2026.2.24 🔴 Critica
    13-29 marzo 2026 CVE-2026-32922 (CVSS 9.9): escalation tramite device.token.rotate. Patch v2026.3.11 pubblicata il 13 marzo; pubblicazione CVE il 29 marzo. +135.000 istanze esposte in 82 paesi, il 63% senza autenticazione (SecurityScorecard STRIKE, febbraio 2026; ripresa da ARMO, marzo 2026) 🔴 Critica
    3 aprile 2026 Ars Technica: "Assume compromise" — 3 nuove vulnerabilità di severità alta a critica, tra cui CVE-2026-33579 (CVSS fino a 9.8). 824+ skill dannose attive 🔴 Critica

    138 CVE tracciate tra febbraio e aprile 2026 — di cui 7 critiche e 49 di severità alta (tracker GitHub jgamblin/OpenClawCVEs; analisi ripresa da Blink Security, aprile 2026)

    Le 5 principali vulnerabilità decrittate

    CVE-2026-25253 — Esecuzione di codice da remoto in 1 clic (CVSS 8.8)

    RCE (Remote Code Execution): vulnerabilità che consente a un attaccante remoto di eseguire codice arbitrario sulla macchina di destinazione, senza accesso fisico né interazione dell'utente al di là di una semplice visita su una pagina web dannosa.

    La vulnerabilità sfrutta il gateway WebSocket di OpenClaw (porta 18789 per impostazione predefinita, convalida di origine insufficiente). Una semplice visita su una pagina compromessa era sufficiente a compromettere la macchina. Il 35,4% delle implementazioni osservate era vulnerabile a RCE (SecurityScorecard STRIKE, febbraio 2026). La patch v2026.1.29 è stata pubblicata il 29 gennaio 2026, ovvero 5 giorni prima della disclosure pubblica del 3 febbraio 2026 (ProArch Security, marzo 2026).

    CVE-2026-22172 — Dichiarazione admin tramite WebSocket (CVSS 9.9)

    I client WebSocket potevano auto-dichiararsi con scope amministratore, aggirando interamente l'autenticazione. Interessa tutte le versioni precedenti alla 2026.3.12.

    CVE-2026-32038 — Aggiramento dell'isolamento di rete Docker (corretta in OpenClaw 2026.2.24)

    Tramite il parametro network=container:, un agente accedeva al namespace di rete di altri container — database, servizi interni, API private. Richiedeva un accesso operatore di fiducia preliminare.

    CVE-2026-32922 — Escalation tramite device.token.rotate (CVSS 9.9)

    Oltre 135.000 istanze esposte su Internet in 82 paesi — di cui il 63% senza alcuna autenticazione (SecurityScorecard STRIKE, febbraio 2026; ripresa da ARMO Security, marzo 2026)

    La funzione device.token.rotate non vincolava gli scope dei nuovi token generati. Un attaccante con il livello di autorizzazione più basso otteneva un controllo amministratore completo. La patch è stata pubblicata nella versione 2026.3.11 il 13 marzo 2026; la CVE è stata pubblicata su cve.org il 29 marzo 2026.

    CVE-2026-33579 — Escalation tramite /pair approve (CVSS fino a 9.8)

    Il comando /pair approve non trasmetteva gli scope di sicurezza del richiedente nella verifica dell'autorizzazione centrale. Corretta nella versione 2026.3.28. Il punteggio CVSS ufficiale non è ancora stato pubblicato da NVD alla data di questo articolo; il punteggio « fino a 9.8 » è riportato da Ars Technica e Blink Security (aprile 2026).

    La supply chain ClawHub: 824+ skill dannose attive

    Credential stealer: software dannoso che cattura ed esfiltra silenziosamente le credenziali di autenticazione — token OAuth, chiavi API, variabili d'ambiente — verso server controllati dall'attaccante, senza alcuna azione visibile dell'utente.

    A febbraio 2026, i ricercatori di Koi Security hanno rilevato la campagna ClawHavoc: skill distribuite tramite ClawHub ufficiale, travestite da strumenti di produttività (Gmail, Notion, Slack, GitHub), che incorporano codice dannoso.

    Cifre chiave (Koi Security, febbraio 2026): 341 skill dannose identificate su 2.857 controllate (12%), di cui 335 attribuite alla stessa campagna ClawHavoc. Questa cifra è poi aumentata: 824+ skill dannose attive elencate al 3 aprile 2026 (Blink Security, aprile 2026), inclusi keylogger e credential stealer che prendono di mira token OAuth, chiavi API e variabili d'ambiente.

    Docker e VM: una protezione insufficiente

    Vettore di attacco Solo Docker VM dedicata Docker + 5 flag
    CVE-2026-25253 (RCE WebSocket) ⚠️ Parziale
    CVE-2026-32038 (namespace di rete) ❌ prima di OpenClaw 2026.2.24
    CVE-2026-22172 (admin scope auto)
    CVE-2026-32922 (device.token.rotate)
    Skill dannose ClawHub ⚠️ Parziale ⚠️ Parziale
    Exploit kernel (kernel condiviso)
    Microsoft Security Blog (19/02/2026): « Il runtime può ingerire testo non affidabile, scaricare ed eseguire skill da fonti esterne ed eseguire azioni con le credenziali che gli sono assegnate — senza controlli equivalenti sull'identità, la gestione degli input o lo scoping dei privilegi. (…) Se un'organizzazione determina che OpenClaw deve essere valutato, deve essere implementato solo in un ambiente completamente isolato — VM dedicata, credenziali non privilegiate, accesso limitato a dati non sensibili, monitoraggio continuo e piano di ricostruzione. »
    Microsoft Security Blog, 19 febbraio 2026

    Da ricordare: Docker riduce il raggio d'impatto. Non garantisce l'invulnerabilità. Un container Docker condivide il kernel host — una vulnerabilità del kernel compromette tutti i container della macchina. Docker aggira le regole UFW modificando direttamente iptables — il tuo firewall VM non protegge i tuoi container per impostazione predefinita.

    Cosa devi fare ora

    Aggiornamenti obbligatori

    • Aggiornare a OpenClaw 2026.4.14 minimum (chiude CVE-2026-33579)
    • CVE-2026-32922 è già stata corretta da OpenClaw 2026.3.11 (13 marzo 2026)
    • OpenClaw ≥ 2026.2.24 chiude CVE-2026-32038

    5 flag Docker di hardening obbligatori

    docker run \
  --user nobody \
  --read-only \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  # Non montare MAI il socket Docker (/var/run/docker.sock)

    Firewall e rete

    • Configurare UFW tramite le catene iptables DOCKER-USER (le regole UFW standard non si applicano ai container)
    • Bloccare la porta 18789 in esposizione pubblica
    • Bind il gateway WebSocket a 127.0.0.1 solo (mai 0.0.0.0)

    Audit e revoca

    • Controllare ogni skill installata da ClawHub tra novembre 2025 e fine febbraio 2026
    • Revocare e rigenerare tutti i token e le chiavi API connesse a OpenClaw
    • Trattare ogni sessione passata come potenzialmente compromessa

    FAQ — Domande frequenti sulla sicurezza di OpenClaw

    Aggiornare alla versione 2026.4.14 è sufficiente per essere protetti?

    La patch corregge le vulnerabilità note al 3 aprile 2026. Non corregge ciò che è potenzialmente accaduto durante le settimane di esposizione. Se OpenClaw era in produzione prima della patch, la postura raccomandata rimane: revocare tutti i token, reimpostare tutte le credenziali, trattare l'ambiente come potenzialmente compromesso.

    Docker mi protegge dalle vulnerabilità di OpenClaw?

    No, non completamente. CVE-2026-25253 (RCE WebSocket) e CVE-2026-22172 (admin scope) non sono mitigate da solo Docker. CVE-2026-32038 aggirava specificamente l'isolamento di rete Docker. I 5 flag di hardening devono essere applicati in aggiunta all'aggiornamento alla versione 2026.4.14.

    Quante istanze di OpenClaw sono esposte su Internet?

    Secondo i dati di sicurezza di febbraio 2026, più di 135.000 istanze di OpenClaw sono esposte su Internet in 82 paesi. Tra queste, il 63% funziona senza alcuna autenticazione (SecurityScorecard STRIKE, febbraio 2026; ripresa da ARMO Security, marzo 2026) — il che significa che qualsiasi visitatore di rete può richiedere un accesso di abbinamento senza fornire credenziali.

    Cosa fare se ho installato skill da ClawHub prima di marzo 2026?

    Controllare ogni skill installata tra novembre 2025 e fine febbraio 2026. Le skill travestite da strumenti di produttività (Gmail, Notion, Slack, GitHub) sono particolarmente sospette. In caso di dubbio: disinstallare la skill, revocare tutte le credenziali a cui OpenClaw aveva accesso, rigenerare le chiavi API associate.

    OpenClaw può essere utilizzato in modo sicuro in azienda?

    Microsoft Security Blog (19/02/2026): « Non è appropriato eseguirlo su una postazione personale o aziendale standard. Se un'organizzazione determina che OpenClaw deve essere valutato, deve essere implementato solo in un ambiente completamente isolato — VM dedicata, credenziali non privilegiate, accesso solo a dati non sensibili, monitoraggio continuo e piano di ricostruzione. »

    Il problema è specifico di OpenClaw o strutturale per gli agenti IA?

    Il problema è strutturale. Un agente IA che opera con gli ampi diritti dell'utente, connesso a molteplici servizi, crea una superficie di attacco eccezionale. Una falla non compromette un componente isolato — compromette tutto ciò a cui l'agente aveva accesso. OpenClaw è un caso di scuola, non un'eccezione. L'attuale modello « un agente, ampio accesso a tutto » è fondamentalmente fragile.

    Quali sono gli indicatori di compromissione da monitorare?

    Attività insolita sui tuoi account Slack, Discord, Telegram o GitHub; token OAuth revocati o rigenerati senza alcuna azione da parte tua; nuove sessioni attive su servizi a cui OpenClaw aveva accesso; file creati, modificati o eliminati senza azioni identificabili; richieste di rete in uscita verso domini sconosciuti dal server che ospita OpenClaw.

    Hai dubbi sulla tua postura di sicurezza nei confronti degli agenti IA?
    I nostri esperti Bexxo possono aiutarti per un audit o una messa in conformità.
    → Contattaci su bexxo.ch

    Fonti

    Cerca un articolo

    Categorie

    Agenti IA
    Avvisi di sicurezza
    CVE Find
    Cibersicurezza
    Services
    Servizi

    Tags

    #CVE #CVEFind #ClawHub #Docker #OpenClaw #PMI #Vulnerabilità #agenti IA #cvefind #cybersicurezza #escalation dei privilegi #sicurezza PMI #statistiques #supply chain #vulnerabilità

    Più visualizzati

    ⚠️ OpenClaw: perché gli esperti di cybersecurity raccomandano di presumere di essere compromessi
    ⚠️ OpenClaw: perché gli esperti di cybersecurity raccomandano di presumere di essere compromessi 08 avr. 2026
    Statistiche CVE - Giugno 2025
    Statistiche CVE - Giugno 2025 02 juil. 2025
    Statistiche CVE - Maggio 2025
    Statistiche CVE - Maggio 2025 04 juin 2025
    Aggiornamenti regolari: la strategia di cybersecurity numero 1 per eliminare le vulnerabilità note
    Aggiornamenti regolari: la strategia di cybersecurity numero 1 per eliminare le vulnerabilità note 11 janv. 2025
    Perché monitorare le vulnerabilità di sicurezza è essenziale per la tua azienda?
    Perché monitorare le vulnerabilità di sicurezza è essenziale per la tua azienda? 04 févr. 2025
    Cybersecurity: perché le PMI sono particolarmente vulnerabili agli attacchi informatici?
    Cybersecurity: perché le PMI sono particolarmente vulnerabili agli attacchi informatici? 19 mars 2025
    Statistiche CVE - Aprile 2025
    Statistiche CVE - Aprile 2025 04 mai 2025
    Statistiche CVE - Dicembre 2024
    Statistiche CVE - Dicembre 2024 06 janv. 2025
    Statistiche CVE - Febbraio 2025
    Statistiche CVE - Febbraio 2025 03 mars 2025
    Statistiche CVE - Novembre 2024
    Statistiche CVE - Novembre 2024 02 déc. 2024
    Le informazioni presentate su CVE Find provengono da diverse fonti di riferimento attentamente selezionate. I dati CVE sono forniti da MITRE Corporation e dal National Vulnerability Database (NVD). Il catalogo delle vulnerabilità sfruttate conosciute (KEV) proviene dalla Cybersecurity and Infrastructure Security Agency (CISA), mentre i punteggi EPSS provengono da FIRST.org. Inoltre, i dati relativi alle vulnerabilità software (CWE) e ai pattern di attacco comuni (CAPEC) sono mantenuti da MITRE Corporation, e le informazioni sulle configurazioni hardware e software (CPE) sono fornite da NVD.