arrow_back Torna al blog
security regulation china korea cve foundation

I governi osservano: come i paesi rispondono ai rischi di sicurezza di OpenClaw

OpenClaws.io Team

OpenClaws.io Team

@openclaws

February 23, 2026

9 min di lettura

I governi osservano: come i paesi rispondono ai rischi di sicurezza di OpenClaw

La crescita di OpenClaw è stata straordinaria. Ma con 180.000 stelle GitHub e deployment in 82 paesi arriva una realtà meno confortevole: il progetto è diventato un bersaglio. E i governi hanno iniziato a prestare attenzione.

Questo articolo copre il panorama della sicurezza a febbraio 2026 — le vulnerabilità scoperte, le risposte dei governi, i divieti aziendali e cosa la nuova struttura a fondazione potrebbe significare per la governance della sicurezza in futuro.

La vulnerabilità che ha cambiato tutto

A inizio febbraio 2026, i ricercatori hanno divulgato CVE-2026-25253, una vulnerabilità critica di esecuzione remota di codice con un clic e un punteggio CVSS di 8.8 (Alto).

La falla era nella Control UI di OpenClaw. L'interfaccia si fidava automaticamente di qualsiasi URL gateway passato come parametro di query e apriva una connessione WebSocket che includeva il token di autenticazione memorizzato dell'utente. Un attaccante poteva creare un link malevolo che, cliccato da un utente autenticato:

  1. 1.Reindirizzava la Control UI verso un gateway controllato dall'attaccante
  2. 2.Esfiltrava il token di autenticazione tramite l'handshake WebSocket
  3. 3.Usava il token rubato per eseguire comandi arbitrari sull'istanza OpenClaw della vittima

La barriera allo sfruttamento era bassa. Nessuno strumento speciale necessario — solo un URL manipolato inviato via email, chat o social media. La patch è arrivata nella v2026.1.29 il 30 gennaio 2026. Non è stato confermato alcuno sfruttamento attivo, ma la semplicità del vettore d'attacco ha fatto scattare l'allarme.

I numeri: 42.900 istanze esposte

Il team STRIKE di SecurityScorecard ha condotto una scansione globale e trovato 42.900 istanze OpenClaw esposte su internet pubblico in 82 paesi. Di queste, 15.200 erano vulnerabili all'esecuzione remota di codice — non erano state aggiornate o funzionavano con configurazioni predefinite.

Per dare un'idea: 15.200 macchine che chiunque su internet avrebbe potuto potenzialmente prendere il controllo con una singola richiesta HTTP.

Separatamente, ricercatori di Giskard hanno dimostrato fughe di dati e vulnerabilità di prompt injection in istanze in produzione. Hanno mostrato che un prompt accuratamente elaborato poteva estrarre chiavi API private, variabili d'ambiente e altri segreti da un agente OpenClaw in esecuzione. Nei loro test, le chiavi private sono state estratte in meno di cinque minuti.

Forse il dato più preoccupante: il 93% delle istanze esposte pubblicamente presentava vulnerabilità critiche di bypass dell'autenticazione. La configurazione predefinita, a quanto pare, non è sufficientemente sicura per l'esposizione pubblica — qualcosa che la documentazione ora segnala esplicitamente.

Il problema degli skill malevoli

Il team di ricerca di Bitdefender ha analizzato ClawHub, il registro pubblico di skill di OpenClaw, e ha trovato circa 900 skill malevoli su un totale di circa 4.500 — circa il 20% di tutti i pacchetti pubblicati.

Questi skill malevoli spaziavano da ladri di credenziali mascherati da strumenti utili a backdoor che davano agli attaccanti accesso persistente alla macchina host. Alcuni erano abbastanza sofisticati da superare una revisione del codice superficiale, con payload offuscati che si attivavano solo dopo l'installazione.

Questo rispecchia problemi visti su npm, PyPI e altri registri di pacchetti, ma con posta in gioco più alta: gli skill di OpenClaw spesso vengono eseguiti con permessi a livello di sistema e accesso ad account di messaggistica, chiavi API e dati personali.

La risposta della Cina: Avviso del MIIT

Il Ministero dell'Industria e della Tecnologia dell'Informazione cinese (MIIT) ha emesso un avviso di sicurezza specificamente su OpenClaw, avvertendo le aziende di verificare come le loro istanze sono esposte alle reti pubbliche. L'avviso non è arrivato a un divieto totale ma ha raccomandato:

  • Auditare tutti i deployment di OpenClaw per l'esposizione pubblica
  • Implementare la segmentazione di rete per isolare le istanze OpenClaw
  • Verificare gli skill installati per pacchetti malevoli noti
  • Aggiornare all'ultima versione con patch

Questo è notevole perché la Cina ha contemporaneamente abbracciato OpenClaw a livello di piattaforma — Alibaba Cloud, Tencent Cloud, Volcano Engine e Baidu hanno tutti lanciato servizi di hosting OpenClaw. L'avviso del MIIT segnala che il governo vede sia l'opportunità che il rischio.

La risposta della Corea del Sud: Divieti aziendali

La Corea del Sud ha adottato una posizione più aggressiva. Diverse grandi aziende tecnologiche hanno emesso divieti interni:

  • Kakao ha annunciato restrizioni sull'uso di OpenClaw sui dispositivi di lavoro per proteggere gli asset informativi
  • Naver ha emesso un divieto interno totale di OpenClaw
  • Karrot (당근마켓) ha bloccato completamente l'accesso a OpenClaw

La risposta coreana è stata guidata dalle preoccupazioni sull'esfiltrazione dei dati — nello specifico, il rischio che un agente IA con accesso ai sistemi aziendali potesse far trapelare informazioni sensibili attraverso le sue integrazioni di messaggistica. Quando il tuo assistente IA può leggere Slack, email e calendario, e poi inoltrare informazioni tramite WhatsApp o Telegram, la superficie d'attacco per lo spionaggio aziendale si espande drasticamente.

Cosa significa la transizione alla fondazione per la sicurezza

Il 14 febbraio 2026, il creatore di OpenClaw Peter Steinberger ha annunciato che sarebbe entrato in OpenAI, e il progetto sarebbe passato a una fondazione indipendente 501(c)(3) con il supporto di OpenAI.

Per la sicurezza, questo solleva sia speranze che interrogativi:

Lo scenario ottimistico: Una struttura a fondazione con supporto aziendale potrebbe finanziare ingegneri della sicurezza dedicati, istituire un team formale di risposta agli incidenti, implementare processi di revisione obbligatoria degli skill per ClawHub e condurre audit di sicurezza regolari. Sono cose che un singolo maintainer o una comunità di volontari faticano a sostenere.

Lo scenario cauto: Il coinvolgimento di OpenAI crea un potenziale conflitto di interessi. Le decisioni sulla sicurezza saranno prese puramente su base tecnica, o considerazioni commerciali influenzeranno cosa viene divulgato e quando? L'indipendenza della fondazione sarà messa alla prova la prima volta che una vulnerabilità importante toccherà gli interessi di OpenAI.

  • Un team di sicurezza finanziato e a tempo pieno con politiche di divulgazione pubblica
  • Firma del codice e revisione obbligatoria per gli skill ClawHub
  • Scansione automatizzata delle vulnerabilità nella pipeline CI/CD
  • Un programma di bug bounty con ricompense significative
  • Audit di sicurezza regolari da parte di terzi con risultati pubblicati

Cosa devono fare gli utenti ora

Se stai usando OpenClaw, i passi immediati sono chiari:

  1. 1.**Aggiornare**: Assicurati di essere alla v2026.2.21 o successiva
  2. 2.**Non esporre su internet pubblico**: Usa una VPN o un tunnel SSH per l'accesso remoto
  3. 3.**Auditare i tuoi skill**: Controlla ogni skill installato, specialmente quelli di autori sconosciuti
  4. 4.**Abilitare l'autenticazione**: Non operare con credenziali predefinite
  5. 5.**Monitorare i log di accesso**: Fai attenzione a pattern di connessione insoliti
  6. 6.**Segmentazione di rete**: Isola la tua istanza OpenClaw dai sistemi sensibili

Il quadro generale

Le sfide di sicurezza di OpenClaw non sono uniche — sono i dolori di crescita inevitabili di qualsiasi progetto open source che passa da progetto del weekend a infrastruttura critica in tre mesi. npm ha avuto pacchetti malevoli. Docker Hub ha avuto cryptominer. PyPI ha avuto attacchi di typosquatting.

Ciò che è diverso qui è la posta in gioco. Gli agenti OpenClaw hanno accesso ad account di messaggistica, email, calendari, dispositivi smart home e potenzialmente sistemi aziendali. Un'istanza OpenClaw compromessa non è solo un server violato — è una vita digitale compromessa.

La transizione alla fondazione è la migliore opportunità del progetto per costruire l'infrastruttura di sicurezza di cui ha bisogno. Che questo potenziale si realizzi dipende da quanto seriamente la nuova struttura di governance tratterà la sicurezza come priorità di primo livello, non come un ripensamento.

Continueremo a monitorare questo ambito e a riportare gli sviluppi man mano che si verificano.

arrow_back

Precedente

Oltre OpenAI: come i LLM cinesi alimentano gli agenti OpenClaw

Successivo

La scommessa sull'ecosistema Apple: OpenClaw su iOS, macOS e oltre

arrow_forward
Condividi su: share code
star Star on GitHub

Resta aggiornato

Ricevi news su nuove funzionalità e integrazioni. Niente spam, cancellati quando vuoi.