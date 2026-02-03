Diversi ricercatori hanno evidenziato numerosi problemi di sicurezza con OpenClaw (noto in precedente come Moltbot e Clawdbot), l’agente AI che può eseguire varie attività in maniera autonoma, senza interazione dell’utente. Recentemente sono state scoperte centinaia di skill (equiparabili a plugin o estensioni) infette che possono essere sfruttate per rubare dati sensibili e criptovalute.

Agenti AI fuori controllo

Le skill aggiungono nuove capacità agli agenti AI. Sono disponibili sul repository ufficiale ClawHub o su GitHub. I ricercatori di OpenSource Malware hanno scoperto oltre 400 skill infette tra il 27 gennaio e il 2 febbraio 2026. Possono essere utilizzate per eseguire le tradizionali attività di un infostealer.

Vengono pubblicizzate come skill per il trading automatico di criptovalute. Nelle relative descrizioni sono indicate le istruzioni da eseguire per l’installazione, come avviene per i famigerati attacchi ClickFix. Viene in particolare evidenziata la necessità di usare AuthTool. Si tratta del tool che permette la distribuzione del malware.

Su macOS viene scaricata una variante di NovaStealer che può aggirare Gatekeeper e rubare numerosi dati sensibili: chiavi API, file di cryptowallet e seed phrase, chiavi SSH, credenziali cloud, password da browser e macOS Keychain. Non è noto il nome dell’infostealer per Windows, ma può rubare simili dati.

Lo sviluppatore di OpenClaw (Peter Steinberger), contattato dai ricercatori, ha ammesso che non può verificare le skill. In pratica, gli agenti AI sono fuori controllo. Spetta agli utenti controllare attentamente il codice.

Gli esperti di Koi Security hanno invece trovato 341 skill infette su ClawHub. Oltre ad un noto infostealer per Mac (AMOS) ci sono keylogger e backdoor che possono accedere ai computer e rubare numerosi dati sensibili, sfruttando l’agente AI.

Gli utenti possono utilizzare Clawdex, uno scanner online che rileva le skill infette pubblicate su ClawHub. Gli utenti dovrebbero comunque usare l’agente AI in un ambiente isolato, impedendo l’accesso al sistema operativo.