OpenClaw: la vulnerabilità che permette attacchi remoti con un solo clic
OpenClaw è un assistente AI open-source molto popolare, ma una vulnerabilità critica lo espone a gravi rischi di sicurezza. Con un solo clic su un link malevolo, gli attaccanti possono prendere il controllo completo del tuo sistema. La soluzione rapida: aggiorna immediatamente alla versione più recente e ruota i token di autenticazione.
Questo problema colpisce migliaia di utenti che fiduciosamente installano OpenClaw per automatizzare compiti quotidiani. L’assistente, nato come Clawdbot e poi rinominato Moltbot, promette un aiuto intelligente con accesso a chat, API e al computer locale. Purtroppo, questa potenza si rivela una trappola: un difetto logico combinato con altre debolezze crea una catena di exploit devastante.
Non serve alcuna interazione extra da parte dell’utente. Basta visitare una pagina web infetta e il gioco è fatto. I ricercatori hanno dimostrato come questo flaw sia già stato weaponizzato, trasformando OpenClaw in una porta aperta per malware e furti di dati. Se usi OpenClaw, ferma tutto e verifica la tua versione ora.
La popolarità di OpenClaw deriva dalla sua facilità d’uso e dalle integrazioni con app come Slack, Telegram e servizi cloud. Molti lo installano senza pensarci due volte, spesso in ambienti aziendali senza autorizzazione IT. Questo ha portato a installazioni non controllate nel 20% delle aziende monitorate, esponendo credenziali sensibili e conversazioni private.
Perché OpenClaw è così pericoloso?
OpenClaw non è un semplice chatbot come ChatGPT o Gemini. È un agente AI proattivo che agisce autonomamente sul tuo sistema. Ricorda preferenze, anticipa bisogni, invia email, gestisce file e persino esegue codice. Questa autonomia, però, lo rende una superficie di attacco ideale.
- Prompt injection: Comandi nascosti in messaggi possono alterarne il comportamento.
- Hijacking via chat: In gruppi, chiunque può inviare istruzioni malevole.
- Fuga di credenziali: Token e dati sensibili finiscono esposti online.
- Accesso privilegiato: Controlla app di messaggistica, chiavi API e il PC locale senza restrizioni.
Questi rischi si amplificano in contesti aziendali, dove OpenClaw può mimetizzarsi nel traffico normale per rubare dati o diffondere accessi. Gli attaccanti sfruttano integrazioni legittime per impersonare utenti e muoversi lateralmente nelle reti.
Impatto reale sugli utenti
Immagina di cliccare un link innocuo in una chat o email. In un istante, OpenClaw si connette a un server controllato dall’attaccante, invia i tuoi token di autenticazione e disabilita le protezioni di sicurezza. L’aggressore guadagna privilegi amministrativi, spegne i prompt di conferma e reindirizza l’esecuzione di comandi direttamente sul tuo host, bypassando sandbox.
Il risultato? Compromissione totale: esecuzione di comandi bash arbitrari, furto di dati cloud, persistenza nel sistema. Peggio ancora, tutto appare come attività legittima dell’AI, eludendo molti sistemi di rilevamento.
Utenti privati rischiano la perdita di dati personali; aziende affrontano brecce massive. Il creatore ha ammesso pubblicamente i rischi, sottolineando che non si tratta di un prodotto maturo. Eppure, l’entusiasmo comunitario ha spinto adozioni rapide, ignorando i pericoli.
Mitigazioni immediate e consigli pratici
Aggiorna OpenClaw alla versione v2026.1.24-1 o successiva: il team ha fixato il problema con un modal di conferma per le connessioni gateway.
- Ruota tutti i token di autenticazione.
- Audita i log di esecuzione comandi per attività sospette.
- Segmenta la rete: blocca connessioni WebSocket outbound non autorizzate.
- Mantieni log rigorosi per token e modifiche privilegi.
- Per le aziende: monitora installazioni non autorizzate e limita privilegi AI.
Queste misure riducono drasticamente i rischi. Ricorda: la fiducia cieca nell’AI è il vero nemico. Configura sempre con attenzione e verifica regolarmente.
OpenClaw rappresenta il futuro degli agenti AI: potenti ma fragili. La lezione? L’autonomia richiede controlli ferrei. Mentre la tecnologia evolve, la sicurezza deve stare al passo.
Approfondimento tecnico
Meccanismi dell’exploit
L’exploit sfrutta una catena di tre componenti:
- Gestione insicura dei parametri URL: Il modulo
app-settings.tsaccettagatewayUrldalla query string senza validazione, salvandolo in localStorage. - Connessione automatica:
app-lifecycle.tschiamaconnectGateway(), bundlando l’authTokensensibile nel handshake verso il server attaccante. - Cross-Site WebSocket Hijacking (CSWSH): Mancata validazione dell’origine sul server WebSocket permette il pivot tramite browser della vittima.
| Fase | Descrizione |
|---|---|
| 1. Visita | Utente atterra su sito malevolo. |
| 2. Caricamento | JS carica OpenClaw con gatewayUrl malevolo. |
| 3. Leak | Token inviato all’attaccante. |
| 4. Connessione | WebSocket a localhost:18789. |
| 5. Bypass | Guardrail disabilitati. |
| 6. Esecuzione | Comandi arbitrari via node.invoke. |
Una volta dentro, richieste come exec.approvals.set disabilitano conferme utente, mentre config.patch imposta tools.exec.host a “gateway”, forzando esecuzione host-level.
Architettura vulnerabile
OpenClaw concede agli agenti AI modalità dio: accesso illimitato a messaggistica, API e sistema locale. WebSocket bypassa Same-Origin Policy del browser, affidandosi solo a validazioni server-side assenti.
CVSS: 9.8+ (Critico) – Vettore: Network, unauth RCE con privilegi system.
Abusi avanzati
- Integrazioni abusate: Invio credenziali via Slack/Telegram per C2 mimetizzato.
- Movimento laterale: Token rubati accedono SaaS e cloud.
- Persistenza: Malware AI-adattato per privilegi elevati.
Per esperti: implementa proxy con validazione origin, sandbox rigorose e monitoraggio behavioral su WebSocket. Studia il codice su GitHub per patch personalizzate.
Questo caso evidenzia i pericoli degli agenti AI autonomi: potenza senza barriere è una backdoor digitale. Resta vigile.
