OpenClaw, fino a poche settimane fa, era poco noto ai più, riservato soprattutto a discussioni di nicchia tra sviluppatori curiosi. Prima ancora si chiamava ClawdBot, e per un brevissimo momento MoltBot. Oggi, però, sta diventando uno di quei progetti che crescono in fretta. L’agente AI open-source e self-hosted, nato con l’idea di offrire un aiuto concreto e personalizzabile agli utenti, sta già facendo i conti con il lato peggiore dell’open ecosystem. Si stanno verificando i primi casi documentati di malware nascosto tra le estensioni di terze parti. Secondo i ricercatori di OpenSourceMalware, tra il 27 e il 29 gennaio su ClawHub (una sorta di app store informale per le “skill” di OpenClaw) sarebbero state caricate almeno quattordici estensioni malevole. A un primo sguardo promettevano di semplificare il trading di criptovalute o di automatizzare la gestione dei wallet.
OpenClaw: ecco cosa c’è dietro le segnalazioni di malware
Il problema, però, è strutturale: le skill di OpenClaw non sono semplici script confinati in una sandbox. Sono cartelle complete di file eseguibili che, una volta installate, ottengono accesso diretto al file system locale e alle risorse di rete della macchina su cui girano. Le analisi mostrano che i malware presi in esame funzionano sia su Windows sia su macOS e si affidano a tecniche di social engineering semplici, ma terribilmente efficaci.
In più di un caso, durante la presunta fase di configurazione, agli utenti veniva chiesto di copiare e incollare nel terminale comandi offuscati. I quali, a loro volta, scaricavano ed eseguivano script remoti. Nulla di rivoluzionario, soprattutto per chi conosce bene il mondo del furto di dati dai browser o delle truffe legate ai wallet crypto, ma abbastanza subdolo da passare inosservato a un utente meno esperto. A rendere la situazione ancora più delicata c’è il fatto che una di tali skill sia arrivata addirittura in prima pagina su ClawHub prima di essere rimossa. Un’esposizione del genere moltiplica il rischio in modo quasi automatico.
Un utente ha raccontato di aver seguito le istruzioni senza sospetti, finché non ha eseguito un comando che recuperava codice da un server esterno. Un campanello d’allarme evidente per chi è abituato a leggere tra le righe, ma non per tutti. OpenClaw non nasconde la questione: la documentazione avverte che installare una skill equivale a concederle la possibilità di eseguire codice in locale. Il punto è che, in assenza di sistemi di verifica e revisione più solidi, l’intero ecosistema si regge semplicemente sulla fiducia.
