Gli agenti basati su OpenClaw possono trasformarsi in un varco verso i dati sensibili delle aziende, e non è una possibilità remota. Lo hanno verificato i ricercatori di Varonis, che hanno messo alla prova questi strumenti automatici scoprendo quanto sia facile, durante un attacco informatico, farsi consegnare informazioni che dovrebbero restare protette. Per le imprese che usano questi agenti AI nelle attività quotidiane il rischio è concreto, e serve qualche accortezza in più.
Cosa è OpenClaw e perché può diventare un problema
OpenClaw è un agente AI open source firmato da Peter Steinberger, finito poi nello staff di OpenAI a metà febbraio. La sua funzione è semplice e potente allo stesso tempo, perché esegue compiti al posto dell’utente. Questo significa che ha le mani su parecchi dati personali, gli stessi che i criminali informatici provano a rubare con gli infostealer. Molte aziende lo impiegano soprattutto per gestire la posta elettronica, ed è proprio lì che nasce il guaio.
Gli esperti hanno costruito uno scenario realistico. Hanno creato un account aziendale Gmail dentro Google Workspace e lo hanno riempito di materiale verosimile, dalle credenziali AWS finte alle esportazioni del CRM, passando per conversazioni con i colleghi e inviti nel calendario. L’agente protagonista del test, chiamato Pinchy, lavorava su due fronti. Da un lato faceva l’orchestratore, leggeva le email, classificava l’attività, pianificava la risposta e delegava il lavoro. Dall’altro il worker eseguiva concretamente le azioni tramite browser, shell e le API di Google Workspace.
I test sul phishing e i risultati
Dietro le quinte lavoravano due modelli, Gemini 3.1 Pro di Google e GPT-5.4 di OpenAI. I ricercatori hanno usato due configurazioni diverse. La prima, chiamata Generic, conteneva solo istruzioni operative senza alcuna protezione. La seconda, Strict, imponeva di verificare sempre l’identità del mittente. I risultati raccontano una storia a due facce.
I primi due attacchi simulati sono filati lisci, purtroppo per chi punta sulla sicurezza. Pinchy ha aperto le email e ha lasciato passare l’accesso ai dati sensibili, semplicemente perché nessuno aveva controllato chi ci fosse davvero dall’altra parte. Una falla banale, ma sufficiente.
Il terzo tentativo invece è stato fermato. Era arrivata un’email con una carta regalo, e l’agente in modalità Generic aveva pure cliccato sul link aprendo la pagina di phishing. Però quando le credenziali fasulle sono state rifiutate, ha capito che qualcosa non tornava e si è bloccato. Con la configurazione Strict lo stop è arrivato subito, senza neanche dargli il tempo di abboccare.
Stessa sorte per il quarto attacco. Stavolta i ricercatori avevano costruito un’app che chiedeva di autenticarsi con un account Google. L’agente ha fiutato l’inganno e ha impedito il login. Il bilancio complessivo, però, non lascia molto spazio all’ottimismo, perché gli agenti OpenClaw non offrono il livello di sicurezza che servirebbe in un contesto aziendale.
Da qui le indicazioni pratiche per chi li usa. Meglio impedire a questi agenti di interagire con le email che arrivano da fuori, cioè da account diversi da quelli interni all’azienda. E soprattutto pretendere sempre l’approvazione umana prima che venga inviata una qualsiasi risposta. Due regole semplici, che fanno la differenza tra un assistente utile e una porta lasciata aperta.