⚠️ OpenClaw: perché gli esperti di cybersecurity raccomandano di presumere di essere compromessi
OpenClaw (precedentemente Clawdbot) è un framework di agenti IA open source che consente a un assistente IA di agire per conto di un utente — file, Slack, Discord, Telegram, acquisti online — utilizzando i propri accessi e permessi. Lanciato a novembre 2025, ha raggiunto 347.000 stelle su GitHub in meno di sei mesi. In cinque mesi, inoltre, sono state associate 138 CVE — di cui 7 critiche, 49 di severità alta. Se tu o il tuo team utilizzate OpenClaw, la postura raccomandata dagli esperti è inequivocabile: presumete di essere compromessi.
Punti chiave da ricordare
- CVE-2026-25253 (CVSS 8.8): RCE in 1 clic tramite WebSocket, 35% delle istanze esposte
- CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9): controllo admin senza credenziali
- 12% delle skill ClawHub dannose a febbraio 2026 — 824+ attive al 3 aprile 2026 (campagna ClawHavoc)
- +135.000 istanze esposte, di cui 63% senza autenticazione (ARMO, 2026)
- Microsoft sconsiglia qualsiasi implementazione su postazioni contenenti dati sensibili (19/02/2026)
- Versione minima raccomandata: 2026.3.28
Cos'è OpenClaw?
Lanciato a novembre 2025, OpenClaw ha raggiunto 347.000 stelle su GitHub in meno di sei mesi. La sua popolarità è virale. Il suo modello di sicurezza, invece, è fondamentalmente fragile: l'agente dispone degli stessi diritti dell'utente, connesso a tutti i suoi servizi. Una falla non compromette un componente isolato — compromette tutto ciò a cui l'agente aveva accesso.
Cronologia degli incidenti (novembre 2025 – aprile 2026)
| Data | Incidente | Severità |
|---|---|---|
| Novembre 2025 | Lancio di OpenClaw (ex-Clawdbot), adozione virale — 347.000 ⭐ GitHub | — |
| Gennaio 2026 | CVE-2026-25253 (CVSS 8.8): RCE in 1 clic tramite WebSocket locale, patchata in 48 ore. 35% delle istanze esposte. Un Docker non patchato compromesso in <90 s | 🔴 Critica |
| Febbraio 2026 | Campagna ClawHavoc: 12% delle skill ClawHub dannose (341/2.857) — keylogger e credential stealer | 🔴 Critica |
| 19 febbraio 2026 | Microsoft Security Blog: guida ufficiale che sconsiglia l'implementazione su qualsiasi postazione contenente dati sensibili | 🟠 Avviso |
| Marzo 2026 | CVE-2026-22172 (CVSS 9.9): auto-dichiarazione di scope admin tramite WebSocket — tutte le versioni precedenti alla 2026.3.12 | 🔴 Critica |
| 19 marzo 2026 | CVE-2026-32038: aggiramento isolamento rete Docker tramite network=container:. Corretta nella 2026.2.24 |
🔴 Critica |
| 29 marzo 2026 | CVE-2026-32922 (CVSS 9.9): escalation tramite device.token.rotate — +135.000 istanze esposte, 63% senza auth |
🔴 Critica |
| 3 aprile 2026 | Ars Technica: "Assume compromise" — 3 nuove vulnerabilità critiche, tra cui CVE-2026-33579 (CVSS 9.8). 824+ skill dannose attive | 🔴 Critica |
Le 5 principali vulnerabilità decrittate
CVE-2026-25253 — Esecuzione di codice da remoto in 1 clic (CVSS 8.8)
La vulnerabilità sfrutta il gateway WebSocket di OpenClaw (porta 18789 predefinita, convalida di origine insufficiente). Una semplice visita su una pagina compromessa era sufficiente per compromettere la macchina. Il 35% delle istanze implementate era esposto. Un container Docker non patchato veniva compromesso in meno di 90 secondi nei test dimostrativi. (ProArch Security, gennaio 2026)
CVE-2026-22172 — Dichiarazione admin tramite WebSocket (CVSS 9.9)
I client WebSocket potevano auto-dichiararsi con scope amministratore, aggirando completamente l'autenticazione. Interessa tutte le versioni precedenti alla 2026.3.12.
CVE-2026-32038 — Aggiramento dell'isolamento di rete Docker (corretta nella 2026.2.24)
Tramite il parametro network=container:, un agente accedeva al namespace di rete di altri container — database, servizi interni, API private. Richiedeva un accesso operatore di fiducia preliminare.
CVE-2026-32922 — Escalation tramite device.token.rotate (CVSS 9.9)
La funzione device.token.rotate non vincolava gli scope dei nuovi token generati. Un attaccante con il livello di autorizzazione più basso otteneva un controllo amministratore completo.
CVE-2026-33579 — Escalation tramite /pair approve (CVSS fino a 9.8)
Il comando /pair approve non trasmetteva gli scope di sicurezza del richiedente nella verifica dell'autorizzazione centrale. Patchata nella versione 2026.3.28. (NVD, aprile 2026)
La supply chain ClawHub: 824+ skill dannose attive
A febbraio 2026, i ricercatori hanno rilevato la campagna ClawHavoc: skill distribuite tramite ClawHub ufficiale, travestite da strumenti di produttività (Gmail, Notion, Slack, GitHub), che incorporano codice dannoso.
Cifre chiave (Blink Security, aprile 2026): 341 skill dannose su 2.857 a febbraio 2026 (12%). Questa cifra è aumentata: 824+ skill dannose attive elencate al 3 aprile 2026, inclusi keylogger e credential stealer che prendono di mira token OAuth, chiavi API e variabili d'ambiente.
Docker e VM: una protezione insufficiente
| Vettore di attacco | Solo Docker | VM dedicata | Docker + 5 flag |
|---|---|---|---|
| CVE-2026-25253 (RCE WebSocket) | ❌ | ✅ | ⚠️ Parziale |
| CVE-2026-32038 (namespace di rete) | ❌ prima del 2026.2.24 | ✅ | ✅ |
| CVE-2026-22172 (admin scope auto) | ❌ | ❌ | ❌ |
| CVE-2026-32922 (device.token.rotate) | ❌ | ❌ | ❌ |
| Skill dannose ClawHub | ❌ | ⚠️ Parziale | ⚠️ Parziale |
| Exploit kernel (kernel condiviso) | ❌ | ✅ | ❌ |
Microsoft Security Blog (19/02/2026): «Il runtime può ingerire testo non affidabile, scaricare ed eseguire skill da fonti esterne ed eseguire azioni con le credenziali che gli sono assegnate — senza controlli equivalenti sull'identità, la gestione degli input o lo scoping dei privilegi. Se un'organizzazione determina che OpenClaw deve essere valutato, deve essere implementato solo in un ambiente completamente isolato — VM dedicata, credenziali non privilegiate, accesso limitato a dati non sensibili, monitoraggio continuo e piano di ricostruzione.»
— Microsoft Security Blog, 19 febbraio 2026
Cosa dovete fare subito
Aggiornamenti obbligatori
- Aggiornare a OpenClaw 2026.3.28 minimo (chiude CVE-2026-33579 e CVE-2026-32922)
- Versione Docker ≥ 2026.2.24 (chiude CVE-2026-32038)
5 flag Docker di hardening obbligatori
docker run \
--user nobody \
--read-only \
--cap-drop=ALL \
--security-opt=no-new-privileges \
# Non montare MAI il socket Docker (/var/run/docker.sock)Firewall e rete
- Configurare UFW tramite le catene iptables DOCKER-USER (le regole UFW standard non si applicano ai container)
- Bloccare la porta 18789 in esposizione pubblica
- Bindare il gateway WebSocket a 127.0.0.1 soltanto (mai 0.0.0.0)
Audit e revoca
- Controllare ogni skill installata da ClawHub tra novembre 2025 e fine febbraio 2026
- Revocare e rigenerare tutti i token e le chiavi API connesse a OpenClaw
- Considerare ogni sessione passata come potenzialmente compromessa
FAQ — Domande frequenti sulla sicurezza di OpenClaw
La patch corregge le vulnerabilità note al 3 aprile 2026. Non corregge ciò che è potenzialmente accaduto durante le settimane di esposizione. Se OpenClaw era in produzione prima della patch, la postura raccomandata rimane: revocare tutti i token, reimpostare tutte le credenziali, considerare l'ambiente come potenzialmente compromesso.
No, non completamente. CVE-2026-25253 (RCE WebSocket) e CVE-2026-22172 (admin scope) non sono mitigate da solo Docker. CVE-2026-32038 aggirava specificamente l'isolamento di rete Docker. I 5 flag di hardening devono essere applicati oltre all'aggiornamento alla 2026.3.28.
Secondo i dati di sicurezza di aprile 2026, oltre 135.000 istanze di OpenClaw sono esposte su Internet in 82 paesi. Tra queste, il 63% funziona senza alcuna autenticazione (ARMO Security, marzo 2026) — il che significa che qualsiasi visitatore della rete può richiedere un accesso di abbinamento senza fornire credenziali.
Controllare ogni skill installata tra novembre 2025 e fine febbraio 2026. Le skill travestite da strumenti di produttività (Gmail, Notion, Slack, GitHub) sono particolarmente sospette. In caso di dubbio: disinstallare la skill, revocare tutte le credenziali a cui OpenClaw aveva accesso, rigenerare le chiavi API associate.
Microsoft Security Blog (19/02/2026): «Non è appropriato eseguirlo su una postazione personale o aziendale standard. Se un'organizzazione determina che OpenClaw deve essere valutato, deve essere implementato solo in un ambiente completamente isolato — VM dedicata, credenziali non privilegiate, accesso solo a dati non sensibili, monitoraggio continuo e piano di ricostruzione.»
Il problema è strutturale. Un agente IA che opera con gli ampi diritti dell'utente, connesso a molteplici servizi, crea una superficie di attacco eccezionale. Una falla non compromette un componente isolato — compromette tutto ciò a cui l'agente aveva accesso. OpenClaw è un caso di scuola, non un'eccezione. L'attuale modello "un agente, ampio accesso a tutto" è fondamentalmente fragile.
Attività insolita sui vostri account Slack, Discord, Telegram o GitHub; token OAuth revocati o rigenerati senza alcuna azione da parte vostra; nuove sessioni attive su servizi a cui OpenClaw aveva accesso; file creati, modificati o eliminati senza azioni identificabili; richieste di rete in uscita verso domini sconosciuti dal server che ospita OpenClaw.
I nostri esperti Bexxo possono aiutarvi per un audit o una messa in conformità.
→ Contattateci su bexxo.ch
Fonti
- CVE-2026-33579 — NVD NIST
- Running OpenClaw safely: identity, isolation, and runtime risk — Microsoft Security Blog (19/02/2026)
- OpenClaw Security Best Practices 2026 (138+ CVEs) — Blink Blog
- CVE-2026-32922: Critical Privilege Escalation — ARMO Security
- OpenClaw RCE Vulnerability CVE-2026-25253 — ProArch
- OpenClaw's Security Crisis — DEV Community
- Ars Technica — OpenClaw gives users yet another reason to be freaked out about security (3/04/2026)
- CVE-2026-33579 — The /pair approve Vulnerability — Edera Security
