La rapida adozione di assistenti IA come OpenClaw sta superando le misure di sicurezza, lasciando le organizzazioni vulnerabili alle violazioni. All’inizio del 2026, oltre 500.000 istanze di OpenClaw sono in esecuzione senza controllo centralizzato o meccanismo di arresto di emergenza. Questa mancanza di supervisione ha già portato a un caso confermato in cui l’istanza OpenClaw di un CEO è stata venduta su BreachForums, completa di dati sensibili, credenziali e accesso in tempo reale.
Il problema principale è l’autonomia: agli agenti di intelligenza artificiale vengono concesse autorizzazioni di gran lunga superiori a quelle concesse ai dipendenti umani, ignorando i principi di zero trust. OpenClaw viene eseguito localmente con pieno accesso a file, reti e applicazioni, archiviando i dati in formato di testo semplice non crittografato. Ciò consente agli aggressori di estrarre facilmente informazioni preziose, comprese sessioni SSO, chiavi API e dettagli finanziari personali.
La portata del problema:
- I casi sono passati da 6.300 a quasi 500.000 in pochi mesi.
- Tre vulnerabilità critiche (CVE-2026-24763, CVE-2026-25157, CVE-2026-25253) rimangono senza patch sulla maggior parte dei sistemi a causa della mancanza di gestione centralizzata.
- CrowdStrike rileva oltre 160 milioni di istanze IA uniche nella sua base di clienti, con “abilità” dannose come ClawHavoc che diventano un grave rischio per la catena di approvvigionamento.
L’incapacità di osservare, orientare, decidere e agire (il ciclo OODA) è fondamentale. La maggior parte delle organizzazioni non riesce nemmeno a identificare quali strumenti di intelligenza artificiale sono in esecuzione sulle proprie reti, consentendo all’intelligenza artificiale ombra di proliferare incontrollata. L’elenco di BreachForums dimostra il risultato: un hub di intelligence centralizzato per gli aggressori, accessibile tramite l’assistente del CEO compromesso.
Risposte dei fornitori e necessità di controllo:
Cisco, Palo Alto Networks e Cato Networks hanno iniziato a rilasciare strumenti per affrontare il problema. Cisco ha lanciato DefenseClaw, un framework open source per la scansione di sicurezza all’interno del runtime OpenShell di NVIDIA. Palo Alto Networks ha introdotto Prisma AIRS 3.0 con registro degli agenti e monitoraggio del runtime. Cato CTRL fornisce convalida contraddittoria attraverso il suo braccio di intelligence sulle minacce. Tuttavia, il problema principale rimane: nessun kill switch a livello di flotta.
Elementi di azione immediata:
- Scopri: utilizza gli strumenti di rilevamento degli endpoint (CrowdStrike, Cato, Cisco) o le ricerche manuali di file (
~/.openclaw/) per identificare tutte le istanze. - Patch/Isolamento: indirizza i CVE o isola i sistemi non patchabili.
- Audit delle competenze: rimuovi eventuali competenze da fonti non verificate.
- Applica DLP/ZTNA: Limita le applicazioni IA non autorizzate con la prevenzione della perdita di dati e controlli di accesso alla rete Zero Trust.
- Uccidi gli agenti fantasma: mantieni un registro di tutti gli agenti IA, giustifica il loro utilizzo e revoca le credenziali per coloro che non hanno scopi commerciali legittimi.
La situazione attuale è insostenibile. Le organizzazioni devono riprendere il controllo sulle implementazioni degli agenti AI prima che si verifichino ulteriori violazioni dei dati.
La velocità con cui gli agenti IA vengono adottati e distribuiti è di per sé una minaccia, ma la mancata implementazione dei controlli di sicurezza di base significa che i rischi non potranno che peggiorare.
