Un utente malintenzionato incorpora una singola istruzione all’interno di un’e-mail inoltrata. Un agente OpenClaw riassume l’e-mail come parte di una normale attività. L’istruzione nascosta indica all’agente di inoltrare le credenziali a un endpoint esterno. L’agente è conforme, tramite una chiamata API autorizzata, utilizzando i propri token OAuth.
Il firewall registra HTTP 200. EDR registra un processo normale. Nessun fuoco di firma. Niente è andato storto secondo qualsiasi definizione compresa dal tuo stack di sicurezza. Questo è il problema. Sei crew di sicurezza indipendenti hanno spedito sei strumenti di difesa OpenClaw in 14 giorni. A ciascuna di esse sono sopravvissute tre superfici di attacco.
Il quadro della situazione è già peggiore di quanto la maggior parte dei crew di sicurezza sappia. Sicurezza dei gettoni ha scoperto che il 22% dei suoi clienti aziendali ha dipendenti che utilizzano OpenClaw senza l’approvazione dell’IT e Bitsight ha contato più di 30.000 casi esposti pubblicamente in due settimane, rispetto a circa 1.000. Audit ToxicSkills di Snyk aggiunge un’altra dimensione: il 36% di tutte le competenze di ClawHub contengono difetti di sicurezza.
Jamieson O’Reilly, fondatore di Dvuln e ora consulente per la sicurezza del progetto OpenClaw, è stato uno dei ricercatori che ha maggiormente spinto le soluzioni dall’interno. La sua ricerca sulla fuga di credenziali sui casi esposti è stata tra i primi avvertimenti ricevuti dalla comunità. Da allora, ha lavorato direttamente con il fondatore Peter Steinberger per fornire il rilevamento delle abilità dannose a doppio livello e ora sta guidando un proposta di specifica delle capacità attraverso l’organismo di standardizzazione degli agenti.
Il crew ha le idee chiare riguardo alle lacune nella sicurezza, ha detto a VentureBeat. “Non è stato progettato da zero per essere il più sicuro possibile”, ha detto O’Reilly. “Questo è comprensibile date le origini, e lo possediamo senza scuse.”
Niente di tutto ciò colma le tre lacune che contano di più.
Tre superfici di attacco che il tuo stack non può vedere
Il primo è l’esfiltrazione semantica del runtime. L’attacco codifica il comportamento dannoso nel significato, non in schemi binari, che è esattamente ciò che l’attuale stack di difesa non può vedere.
Reti di Palo Alto ha mappato OpenClaw in ogni categoria della OWASP Prime 10 per Agentic Functions e ha identificato ciò che il ricercatore di sicurezza Simon Willison definisce una “triplice letale”: accesso ai dati privati, esposizione a contenuti non attendibili e capacità di comunicazione esterna in un unico processo. L’EDR monitora il comportamento del processo. Il comportamento dell’agente sembra normale perché è normale. Le credenziali sono reali e le chiamate API sono autorizzate, quindi EDR le legge come un utente con credenziali che svolge il lavoro previsto. Niente nell’attuale ecosistema di difesa traccia ciò che l’agente ha deciso di fare con quell’accesso, o perché.
Il secondo è la perdita di contesto tra agenti. Quando più agenti o competenze condividono il contesto della sessione, un’iniezione tempestiva in un canale avvelena le decisioni lungo l’intera catena. Ricercatori di Giskard lo hanno dimostrato nel gennaio 2026, dimostrando che gli agenti aggiungevano silenziosamente istruzioni controllate dagli aggressori ai propri file dello spazio di lavoro e aspettavano comandi da server esterni. Il immediate inserito diventa un payload dormiente. I ricercatori di Palo Alto Networks Sailesh Mishra e Sean P. Morgan hanno avvertito che la memoria persistente trasforma questi attacchi in catene con stato e esecuzione ritardata. Un’istruzione dannosa nascosta all’interno di un messaggio inoltrato si trova nel contesto dell’agente settimane dopo, attivandosi durante un’attività non correlata.
O’Reilly ha identificato la fuga di contesto tra agenti come la più difficile da colmare. “Questo è particolarmente difficile perché è strettamente legato alla pronta iniezione, una vulnerabilità sistemica che è molto più grande di OpenClaw e colpisce ogni sistema di agenti basato su LLM nel settore”, ha detto a VentureBeat. “Quando il contesto scorre incontrollato tra agenti e competenze, un singolo immediate inserito può avvelenare o dirottare il comportamento lungo l’intera catena”. Nessuno strumento nell’ecosistema attuale fornisce l’isolamento del contesto tra agenti. IronClaw sandboxing per l’esecuzione delle abilità individuali. ClawSec monitora l’integrità dei file. Nessuno dei due tiene traccia del modo in cui il contesto si propaga tra gli agenti nello stesso flusso di lavoro.
Il terzo sono le catene di fiducia da agente advert agente senza autenticazione reciproca. Quando gli agenti OpenClaw delegano attività advert altri agenti o server MCP esterni, non esiste alcuna verifica dell’identità tra di loro. Un agente compromesso in un flusso di lavoro multi-agente eredita la fiducia di ogni agente con cui comunica. Comprometterne uno tramite una pronta iniezione e può impartire istruzioni a ogni agente della catena utilizzando le relazioni di fiducia che l’agente legittimo ha già costruito.
Il team di sicurezza di Microsoft ha pubblicato una guida a febbraio chiamando OpenClaw esecuzione di codice non attendibile con credenziali persistenti, rilevando che il runtime ingerisce testo non attendibile, scarica ed esegue competenze da fonti esterne ed esegue azioni utilizzando le credenziali in suo possesso. La valutazione del rischio aziendale di Kaspersky ha aggiunto che anche gli agenti sui dispositivi personali minacciano la sicurezza dell’organizzazione perché tali dispositivi memorizzano configurazioni VPN, token del browser e credenziali per i servizi aziendali. Il social community Moltbook per gli agenti OpenClaw ha già dimostrato il rischio di spillover: i ricercatori di Wiz hanno trovato un database configurato in modo errato che esponeva 1,5 milioni di token di autenticazione API e 35.000 indirizzi e-mail.
Quali 14 giorni di patch di emergenza si sono effettivamente chiusi
L’ecosistema di difesa si divide in tre approcci. Due strumenti rafforzano OpenClaw in posizione. ArtiglioSecda Sicurezza rapida (a SentinelOne firm), coinvolge gli agenti in una verifica continua, monitorando la deriva dei file critici e imponendo l’uscita Zero Belief per impostazione predefinita. Integrazione VirusTotal di OpenClawdistribuito congiuntamente da Steinberger, O’Reilly e Bernardo Quintero di VirusTotal, analizza ogni competenza ClawHub pubblicata e blocca i pacchetti dannosi noti.
Due strumenti sono riscritture architettoniche full. IronClawla reimplementazione di Rust di NEAR AI, esegue tutti gli strumenti non attendibili all’interno di sandbox WebAssembly in cui il codice dello strumento inizia con zero autorizzazioni e deve richiedere esplicitamente l’accesso alla rete, al file system o all’API. Le credenziali vengono inserite al confine dell’host e non toccano mai il codice dell’agente, con richieste e risposte di scansione di rilevamento delle perdite combine. Carapaceun progetto open supply indipendente, inverte ogni pericolosa impostazione predefinita di OpenClaw con l’autenticazione a chiusura di errore e il sandboxing dei sottoprocessi a livello di sistema operativo.
Due strumenti si concentrano sulla scansione e sulla verificabilità: lo scanner open supply di Cisco combina analisi semantica statica, comportamentale e LLM, mentre NanoClaw riduce l’intera base di codice a circa 500 righe di TypeScript, eseguendo ogni sessione in un contenitore Docker isolato.
O’Reilly ha messo in termini diretti il fallimento della catena di approvvigionamento. “In questo momento, l’industria ha sostanzialmente creato un formato eseguibile nuovo di zecca scritto in un linguaggio umano semplice e ha dimenticato ogni controllo che dovrebbe derivarne”, ha affermato. La sua risposta è stata pratica. Ha distribuito l’integrazione di VirusTotal prima che abilities.sh, un repository molto più grande, adottasse un modello simile. Controllo di Koi Security conferma l’urgenza: 341 competenze dannose trovate all’inizio di febbraio sono cresciute fino a 824 su 10.700 su ClawHub entro metà mese, con la campagna ClawHavoc che ha impiantato l’infostealer macOS Atomic Stealer all’interno di competenze mascherate da strumenti di buying and selling di criptovaluta, raccogliendo portafogli crittografici, credenziali SSH e password del browser.
Matrice di valutazione della difesa della sicurezza OpenClaw
|
Dimensione |
ArtiglioSec |
Integrazione totale del virus |
IronClaw |
Carapace |
Nanoartiglio |
Scanner Cisco |
|
Scoperta |
Solo agenti |
Solo ClawHub |
NO |
scansione mDNS |
NO |
NO |
|
Protezione durante l’esecuzione |
Deriva della configurazione |
NO |
Sandbox WASM |
Sandbox del sistema operativo + protezione rapida |
Isolamento del contenitore |
NO |
|
Catena di fornitura |
Verifica del checksum |
Scansione della firma |
Concessioni di capacità |
Ed25519 firmato |
Audit manuale (~500 LOC) |
Statico + LLM + comportamentale |
|
Isolamento delle credenziali |
NO |
NO |
Iniezione di confine WASM |
Portachiavi sistema operativo + AES-256-GCM |
Dir con limitazioni di montaggio |
NO |
|
Verificabilità |
Registri alla deriva |
Scansiona i verdetti |
Registri di concessione delle autorizzazioni |
Prometeo + registro di controllo |
500 righe in totale |
Rapporti di scansione |
|
Monitoraggio semantico |
NO |
NO |
NO |
NO |
NO |
NO |
Fonte: analisi VentureBeat basata sulla documentazione pubblicata e sugli audit di sicurezza, marzo 2026.
La specifica delle funzionalità che tratta le competenze come eseguibili
O’Reilly ha presentato a aggiornamento degli standard di specifica delle competenze ai manutentori di Agentkills, guidati principalmente da Anthropic e Vercel, che sono in discussione attiva. La proposta richiede che tutte le competenze dichiarino capacità esplicite e visibili all’utente prima dell’esecuzione. Pensa ai manifesti delle autorizzazioni delle app mobili. Ha notato che la proposta sta ottenendo ottimi riscontri iniziali da parte della comunità della sicurezza perché finalmente tratta le abilità come gli eseguibili che sono.
“Le altre due lacune possono essere significativamente rafforzate con migliori primitive di isolamento e guardrail di runtime, ma per chiudere veramente la perdita di contesto sono necessari profondi cambiamenti architetturali nel modo in cui vengono gestiti la memoria multi-agente non attendibile e i immediate”, ha affermato O’Reilly. “Le nuove specifiche sulle funzionalità rappresentano il primo vero passo verso la risoluzione di queste sfide in modo proattivo invece di ricorrere successivamente a cerotti”.
Cosa fare lunedì mattina
Supponiamo che OpenClaw sia già nel tuo ambiente. Il tasso di schieramento ombra del 22% è un livello minimo. Questi sei passaggi chiudono ciò che può essere chiuso e documentano ciò che non può.
-
Inventaria ciò che è in esecuzione. Esegui la scansione del traffico WebSocket sulla porta 18789 e delle trasmissioni mDNS sulla porta 5353. Controlla i log di autenticazione aziendale per nuove registrazioni di ID app, eventi di consenso OAuth e stringhe utente-agente Node.js. Qualsiasi istanza che esegue una versione precedente alla v2026.2.25 è vulnerabile al difetto di acquisizione remota ClawJacked.
-
Esecuzione isolata del mandato. Nessun agente viene eseguito su un dispositivo connesso all’infrastruttura di produzione. Richiedi la distribuzione basata su container con credenziali con ambito e whitelist di strumenti espliciti.
-
Distribuisci ClawSec su ogni istanza dell’agente ed esegui tutte le competenze di ClawHub tramite VirusTotal e lo scanner open supply di Cisco prima dell’installazione. Entrambi sono gratuiti. Tratta le competenze come eseguibili di terze parti, perché è quello che sono.
-
Richiedere l’approvazione degli operatori umani per le azioni sensibili degli agenti. Le impostazioni di approvazione esecutiva di OpenClaw supportano tre modalità: sicurezza, richiesta e lista consentita. Imposta gli strumenti sensibili in modo che chiedano in modo che l’agente si interrompa e richieda conferma prima di eseguire comandi shell, scrivere su API esterne o modificare file all’esterno del proprio spazio di lavoro. Qualsiasi azione che tocchi credenziali, modifichi configurazioni o invii dati a un endpoint esterno dovrebbe interrompersi e attendere l’approvazione di un essere umano.
-
Mappa le tre lacune sopravvissute rispetto al tuo registro dei rischi. Documenta se la tua organizzazione accetta, mitiga o blocca ciascuno di essi: esfiltrazione semantica di runtime, perdita di contesto tra agenti e catene di fiducia da agente advert agente.
-
Porta la tabella di valutazione alla prossima riunione del consiglio. Inquadralo non come un esperimento di intelligenza artificiale, ma come un bypass critico degli investimenti DLP e IAM esistenti. Ogni piattaforma di intelligenza artificiale che seguirà dovrà affrontare questo stesso ciclo di difesa. Il framework verrà trasferito a ogni strumento agente che il tuo crew valuterà per i prossimi due anni.
Lo stack di sicurezza che hai creato per applicazioni ed endpoint rileva il codice dannoso. Non rileva un agente che segue un’istruzione dannosa tramite una chiamata API legittima. È lì che risiedono queste tre lacune.
