“La tua IA? Adesso è la mia IA.” La linea è arrivata da Etay Maor, vicepresidente di Risk Intelligence presso Reti di Catonein un’intervista esclusiva con VentureBeat a RSAC2026 – e descrive esattamente cosa è successo a un CEO del Regno Unito la cui istanza di OpenClaw è finita in vendita su BreachForums. La tesi di Maor è che l’industria ha concesso agli agenti di intelligenza artificiale il tipo di autonomia che non avrebbe mai esteso a un dipendente umano, scartando nel processo la fiducia zero, il privilegio minimo e la violazione delle ipotesi.
La prova è arrivata BreachForum tre settimane prima dell’intervista di Maor. Il 22 febbraio un hacker con lo pseudonimo “fluffyduck” ha pubblicato un annuncio in cui pubblicizzava l’accesso root shell al pc del CEO per 25.000 dollari in Monero o Litecoin. La shell non period il punto di forza. L’assistente personale OpenClaw AI del CEO lo period. L’acquirente riceverebbe ogni conversazione che il CEO ha avuto con l’intelligenza artificiale, il database completo di produzione dell’azienda, i token bot di Telegram, le chiavi API di Buying and selling 212 e i dettagli personali che il CEO ha rivelato all’assistente su famiglia e finanze. L’autore della minaccia ha notato che il CEO interagiva attivamente con OpenClaw in tempo reale, rendendo l’elenco un feed di intelligence in tempo reale piuttosto che un dump di dati statici.
Vitaly Simonovich, ricercatore senior sulla sicurezza di Cato CTRL, ha documentato l’elenco il 25 febbraio. L’istanza OpenClaw del CEO ha archiviato tutto in file Markdown di testo semplice in ~/.openclaw/workspace/ senza crittografia a riposo. L’autore della minaccia non aveva bisogno di esfiltrare nulla; l’amministratore delegato l’aveva già assemblato. Quando il crew di sicurezza ha scoperto la violazione, non esisteva alcun kill change aziendale nativo, nessuna console di gestione e nessun modo per inventariare quante altre istanze erano in esecuzione nell’organizzazione.
OpenClaw viene eseguito localmente con accesso diretto al file system del pc host, alle connessioni di rete, alle sessioni del browser e alle applicazioni installate. La copertura fino advert oggi ne ha monitorato la velocità, ma ciò che non ha mappato è la superficie della minaccia. I quattro fornitori che hanno utilizzato RSAC 2026 per inviare risposte non hanno ancora prodotto l’elemento di controllo di cui le aziende hanno maggiormente bisogno: un kill change nativo.
La minaccia emerge dai numeri
|
Metrico |
Numeri |
Fonte |
|
Istanze rivolte a Web |
~500.000 (controllo in tempo reale del 24 marzo) |
Etay Maor, Cato Networks (intervista esclusiva RSAC 2026) |
|
Istanze esposte con rischi per la sicurezza |
Oltre 30.000 osservati durante la finestra di scansione |
|
|
Sfruttabile tramite RCE noto |
15.200 istanze |
|
|
CVE advert alta gravità |
3 (CVSS più alto: 8,8) |
|
|
Abilità dannose su ClawHub |
341 nell’audit Koi (335 da ClawHavoc); 824 entro la metà di febbraio |
|
|
Abilità di ClawHub con difetti critici |
13,4% su 3.984 analizzati |
|
|
Token API esposti (Moltbook) |
1,5 milioni |
Maor ha eseguito un controllo Censys dal vivo durante un’intervista esclusiva con VentureBeat all’RSAC 2026. “La prima settimana in cui è uscito, c’erano circa 6.300 istanze. La settimana scorsa ho controllato: 230.000 istanze. Controlliamo ora… quasi mezzo milione. Quasi raddoppiato in una settimana”, ha detto Maor. Tre CVE advert alta gravità definiscono la superficie di attacco: CVE-2026-24763 (CVSS 8.8, iniezione di comandi tramite gestione Docker PATH), CVE-2026-25157 (CVSS 7.7, iniezione di comandi del sistema operativo) e CVE-2026-25253 (CVSS 8.8, esfiltrazione di token per compromissione completa del gateway). Tutti e tre i CVE sono stati corretti, ma OpenClaw non dispone di un piano di gestione aziendale, di un meccanismo di patch centralizzato e di un kill change a livello di flotta. I singoli amministratori devono aggiornare ogni istanza manualmente e la maggior parte non lo ha fatto.
La telemetria del difensore è altrettanto allarmante. I sensori Falcon di CrowdStrike rileva già più di 1.800 applicazioni AI distinte in tutta la flotta dei suoi clienti, da ChatGPT a Copilot a OpenClaw, generando circa 160 milioni di istanze uniche sugli endpoint aziendali. ClawHavoc, un’abilità dannosa distribuita attraverso il mercato ClawHub, è diventata il caso di studio principale nella OWASP Agentic Expertise Prime 10. Il CEO di CrowdStrike George Kurtz l’ha contrassegnata nel suo keynote RSAC 2026 come il primo grande attacco alla catena di fornitura su un ecosistema di agenti IA.
Gli agenti AI hanno ottenuto l’accesso root. La sicurezza non ha ottenuto nulla.
Maor ha inquadrato il fallimento della visibilità attraverso il ciclo OODA (osservare, orientare, decidere, agire) durante l’intervista RSAC 2026. La maggior parte delle organizzazioni fallisce al primo passo: i crew di sicurezza non riescono a vedere quali strumenti di intelligenza artificiale sono in esecuzione sulle loro reti, il che significa che gli strumenti di produttività che i dipendenti introducono silenziosamente diventano un’intelligenza artificiale ombra sfruttata dagli aggressori. L’elenco di BreachForums ha dimostrato lo stato finale. L’istanza OpenClaw del CEO è diventata un hub di intelligence centralizzato con sessioni SSO, archivi di credenziali e cronologia delle comunicazioni aggregati in un’unica posizione. “L’assistente del CEO può essere il tuo assistente se acquisti l’accesso a questo pc”, ha detto Maor a VentureBeat. “È un assistente dell’aggressore.”
Gli agenti fantasma amplificano l’esposizione. Le organizzazioni adottano strumenti di intelligenza artificiale, eseguono un progetto pilota, perdono interesse e vanno avanti, lasciando gli agenti in funzione con le credenziali intatte. “Abbiamo bisogno di una visione HR degli agenti. Onboarding, monitoraggio, offboarding. Se non c’è una giustificazione aziendale? Rimozione”, ha detto Maor a VentureBeat. “Non ci sono più agenti fantasma sulla nostra rete, perché questo sta già accadendo.”
Cisco si è spostato verso un kill change OpenClaw
Jeetu Patel, presidente e Chief Product Officer di Cisco, ha chiarito la posta in gioco durante un’intervista esclusiva a VentureBeat all’RSAC 2026. “Li considero più come adolescenti. Sono estremamente intelligenti, ma non hanno paura delle conseguenze”, ha detto Patel degli agenti IA. “La differenza tra delegare e delegare con fiducia i compiti a un agente… uno dei due porta alla bancarotta. L’altro porta al dominio del mercato.”
Cisco ha lanciato tre strumenti di sicurezza gratuiti e open supply per OpenClaw all’RSAC 2026. DefenseClaw racchiude Expertise Scanner, MCP Scanner, AI BoM e CodeGuard in un unico framework open supply in esecuzione all’interno del runtime OpenShell di NVIDIA, che NVIDIA ha lanciato al GTC la settimana prima di RSAC. “Ogni volta che attivi effettivamente un agente in un contenitore Open Shell, ora puoi istanziare automaticamente tutti i servizi di sicurezza che abbiamo creato tramite Protection Claw”, ha detto Patel a VentureBeat. Edizione AI Defense Explorer è una versione gratuita e self-service del motore algoritmico di red-teaming di Cisco, che testa qualsiasi modello o agente di intelligenza artificiale per l’inserimento tempestivo e il jailbreak in oltre 200 sottocategorie di rischio. IL Classifica della sicurezza LLM classifica i modelli di base in base alla resilienza agli avversari piuttosto che ai parametri di riferimento delle prestazioni. Anche Cisco ha spedito Duo Agentic Identità per registrare gli agenti come oggetti identità con autorizzazioni limitate nel tempo, Identification Intelligence per rilevare gli agenti ombra tramite il monitoraggio della rete e Agent Runtime SDK per incorporare l’applicazione delle coverage in fase di creazione.
Palo Alto ha reso gli endpoint agenti una propria categoria di sicurezza
Il CEO di Palo Alto Networks, Nikesh Arora, ha descritto gli strumenti di classe OpenClaw come la creazione di una nuova catena di fornitura che attraversa mercati non regolamentati e non protetti durante un esclusivo briefing pre-RSA del 18 marzo con VentureBeat. Koi ha trovato 341 abilità dannose su ClawHub nel suo audit iniziale, con il totale cresciuto fino a 824 con l’espansione del registro. Snyk ha rilevato il 13,4% delle competenze analizzate conteneva gravi falle di sicurezza. Palo Alto Networks ha creato Prisma AIRS 3.0 attorno a un nuovo registro degli agenti che richiede che ogni agente venga registrato prima di funzionare, con convalida delle credenziali, controllo del traffico del gateway MCP, red-teaming degli agenti e monitoraggio del runtime per l’avvelenamento della memoria. L’acquisizione in corso di Koi aggiunge visibilità alla catena di fornitura specificatamente per gli endpoint degli agenti.
Catone CTRL ha fornito la prova del contraddittorio
Cato CTRL, il braccio di intelligence sulle minacce di Cato Networks, ha presentato due sessioni all’RSAC 2026 Rapporto sulle minacce Cato CTRL del 2026pubblicato separatamente, embody un attacco proof-of-concept “Dwelling Off AI” contro MCP di Atlassian e Jira Service Administration. La ricerca di Maor fornisce la convalida contraddittoria indipendente che gli annunci di prodotti dei fornitori non possono fornire da soli. I fornitori di piattaforme stanno costruendo la governance per gli agenti sanzionati. Cato CTRL ha documentato cosa succede quando l’agente non autorizzato sul laptop computer del CEO viene venduto sul darkish internet.
Elenco delle azioni del lunedì mattina
Indipendentemente dallo stack del fornitore, quattro controlli si applicano immediatamente: associare OpenClaw solo all’host locale e bloccare l’esposizione delle porte esterne, applicare la lista consentita delle applicazioni tramite MDM per impedire installazioni non autorizzate, ruotare ogni credenziale sulle macchine su cui è stato eseguito OpenClaw e applicare l’accesso con privilegi minimi a qualsiasi account toccato da un agente AI.
-
Scopri la base di installazione. Il sensore Falcon di CrowdStrike, la piattaforma SASE di Cato e Cisco Identification Intelligence rilevano tutti l’IA ombra. Per i crew senza strumenti premium, interroga gli endpoint per la listing ~/.openclaw/ utilizzando coverage di ricerca file EDR o MDM native. Se l’azienda non ha alcuna visibilità sugli endpoint, esegui question Shodan e Censys sugli intervalli IP aziendali.
-
Patch o isolare. Controlla ogni istanza rilevata rispetto a CVE-2026-24763, CVE-2026-25157 e CVE-2026-25253. Le istanze a cui non è possibile applicare patch devono essere isolate dalla rete. Non esiste un meccanismo di patching a livello di flotta.
-
Controllare le installazioni delle competenze. Esamina le competenze installate rispetto allo Expertise Scanner di Cisco o al Snyk E Koi ricerca. Qualsiasi abilità proveniente da una fonte non verificata dovrebbe essere rimossa immediatamente.
-
Applica i controlli DLP e ZTNA. I controlli ZTNA di Cato limitano le applicazioni AI non approvate. Cisco Safe Entry SSE applica la coverage alle chiamate allo strumento MCP. Prisma Entry Browser di Palo Alto controlla il flusso di dati a livello del browser.
-
Uccidi gli agenti fantasma. Crea un registro di ogni agente AI in esecuzione. Documentare la giustificazione aziendale, il proprietario umano, le credenziali possedute e i sistemi a cui si accede. Revocare le credenziali agli agenti senza giustificazione. Ripeti settimanalmente.
-
Distribuisci DefenseClaw per uso sanzionato. Esegui OpenClaw all’interno del runtime OpenShell di NVIDIA con quello di Cisco DefenseClaw per scansionare le competenze, verificare i server MCP e il comportamento di runtime dello strumento automaticamente.
-
Squadra rossa prima dello schieramento. Utilizzo Edizione Cisco AI Defense Explorer (gratuito) o l’agente di Palo Alto Networks in squadra in Prisma AIRS 3.0. Testa il flusso di lavoro, non solo il modello.
IL Competenze agenti OWASP Top 10pubblicato utilizzando ClawHavoc come caso di studio principale, fornisce un quadro di riferimento per la valutazione di questi rischi. Quattro fornitori hanno inviato risposte all’RSAC 2026. Nessuno di loro è un kill change aziendale nativo per distribuzioni OpenClaw non autorizzate. Finché non ne esiste uno, l’elenco delle azioni del lunedì mattina sopra è la cosa più vicina a uno.
