OpenClaw è finito nel radar dei cybercriminali. Un nuovo infostealer è stato individuato mentre intercetta informazioni sensibili direttamente dai file di configurazione del noto agente AI open source, spesso eseguito in locale su dispositivi come Mac mini e Raspberry Pi 5.
L’allarme arriva dai ricercatori di Hudson Rock, che hanno identificato una variante del malware Vidar capace di sottrarre token di autenticazione, chiavi private e dati persistenti salvati nella directory del software.
Come funziona l’attacco contro OpenClaw
L’agente OpenClaw opera in locale e può accedere a dati personali, servizi online e file di sistema per eseguire attività autonome. È proprio questa autonomia a renderlo un bersaglio interessante per i cybercriminali.
Secondo Alon Gal, co-fondatore e CTO di Hudson Rock, il malware non contiene un modulo costruito appositamente per OpenClaw. Il meccanismo è più semplice e, proprio per questo, più insidioso: effettua una scansione delle directory alla ricerca di parole chiave specifiche come “token” o “private key”.
La directory .openclaw contiene esattamente queste stringhe. Una volta individuate, il malware procede con l’esfiltrazione delle informazioni sensibili.
I file compromessi e i dati a rischio
Tra i file presi di mira c’è openclaw.json, che contiene indirizzi email, percorsi di lavoro e soprattutto token di autenticazione utilizzabili per impersonificare il client durante richieste remote.
Viene letto anche device.json, dove sono archiviate chiavi pubbliche e private potenzialmente sfruttabili per firmare messaggi, aggirare protezioni o accedere a servizi cloud collegati.
Il malware analizza inoltre file come soul.md, AGENTS.md e MEMORY.md, nei quali possono essere memorizzati log di attività, eventi di calendario e messaggi persistenti. L’insieme di queste informazioni è sufficiente per compromettere in modo serio l’identità digitale dell’utente.
Perché la minaccia può crescere rapidamente
OpenClaw viene adottato sempre più spesso anche in ambito aziendale. Questo modifica radicalmente il profilo del rischio. Non si tratta più soltanto di dispositivi personali, ma di ambienti professionali dove l’agente AI può avere accesso a infrastrutture cloud, account aziendali e dati sensibili.
Gli infostealer moderni non hanno bisogno di conoscere nel dettaglio il software bersaglio. È sufficiente cercare pattern e parole chiave tipiche dei sistemi AI per intercettare credenziali e chiavi critiche. Questa flessibilità rende il fenomeno particolarmente preoccupante.
Secondo i ricercatori, è probabile che nei prossimi mesi aumentino le varianti specializzate in grado di colpire agenti AI eseguiti in locale.
Impatto sulla sicurezza digitale
Il furto di token e chiavi private non equivale a un semplice data leak. Può tradursi in accesso remoto non autorizzato, manipolazione delle richieste di autenticazione e utilizzo fraudolento di servizi cloud. In scenari più complessi, può compromettere intere infrastrutture aziendali.
L’espansione degli agenti AI locali porta benefici in termini di autonomia e riduzione della dipendenza dal cloud, ma amplia anche la superficie di attacco. Proteggere le directory di configurazione e monitorare eventuali anomalie diventa ora un passaggio cruciale. La sicurezza degli agenti AI non è più un tema teorico. È già un fronte operativo.
