Netcrook Logo
👤 TRUSTBREAKER
🗓️ 03 Feb 2026  

I Trucchi Sporchi dell’IA: Centinaia di False Skill di ClawHub Rubano Segreti agli Utenti di OpenClaw

Un’ondata di plug-in malevoli sulla piattaforma dell’assistente IA OpenClaw espone gli utenti al furto di dati, evidenziando nuovi rischi negli ecosistemi IA open-source.

Quando “Alex”, un bot di OpenClaw, ha aiutato i ricercatori di sicurezza a scavare nel marketplace di ClawHub, nessuno si aspettava di trovare una miniera d’oro digitale - per i criminali. Invece di innocui potenziatori di produttività, centinaia di “skill” apparentemente utili stavano sottraendo in silenzio informazioni sensibili a utenti ignari. La scoperta ha fatto scattare l’allarme in tutta la comunità IA open-source, mostrando quanto rapidamente l’innovazione possa trasformarsi in un vettore per il cybercrimine.

ClawHub è pensato come un marketplace tutto-in-uno per OpenClaw, l’assistente IA self-hosted diventato virale, precedentemente noto come Clawdbot e Moltbot. La sua politica a porte aperte - chiunque con un account GitHub vecchio di una settimana può pubblicare una skill - era stata concepita per accelerare l’innovazione della community. Invece, è diventata un parco giochi per i cybercriminali.

I ricercatori di Koi Security, aiutati da un bot di OpenClaw, hanno trovato 341 skill malevole attive nell’ambito di campagne coordinate. La maggior parte appartiene a un gruppo soprannominato “ClawHavoc”, in cui gli attaccanti distribuiscono un data stealer per macOS chiamato Atomic Stealer (AMOS). Il trucco? Documentazione impeccabile e una sezione “Prerequisiti” che convince gli utenti a installare un “openclaw-agent.zip” o a eseguire script di shell offuscati. Su macOS, questi script scaricano malware direttamente da server controllati dagli attaccanti, aggirando le funzionalità di sicurezza di Apple e concedendo un ampio accesso a file, password e perfino wallet di criptovalute.

Ma l’inganno non finisce qui. Le skill malevole imitano strumenti popolari - tracker di wallet Solana, utility per YouTube, auto-updater e perfino integrazioni con Google Workspace. Il typosquatting è dilagante, con gli attaccanti che registrano nomi simili (come “clawhub1” o “clawhubb”) per intercettare gli utenti distratti. Alcune skill si spingono oltre, nascondendo backdoor di reverse shell o esfiltrando file di ambiente sensibili verso webhook esterni.

L’architettura stessa di OpenClaw amplifica la minaccia. La sua memoria persistente e l’ampio accesso al sistema fanno sì che gli attacchi possano essere “stateful” - il malware può restare in agguato, aspettando il momento o la condizione giusta per attivarsi. Come avverte Palo Alto Networks, questa “trifecta letale” di accesso a dati privati, esposizione a contenuti non affidabili e comunicazione esterna crea condizioni ideali per attacchi ritardati o in stile logic bomb.

Il creatore di OpenClaw, Peter Steinberger, ha riconosciuto la portata del problema, introducendo un sistema di segnalazione guidato dagli utenti. Tuttavia, con le skill che arrivano più velocemente di quanto possano essere revisionate, la piattaforma fatica a stare al passo. Gli esperti di sicurezza ora consigliano agli utenti di isolare i propri assistenti IA, limitare i permessi e ricontrollare qualsiasi nuova skill - soprattutto quelle che richiedono download aggiuntivi o passaggi di installazione.

L’incidente di ClawHub è un monito netto: mentre le piattaforme IA open-source esplodono in popolarità, aumentano anche i rischi. Nella corsa a innovare, il confine tra utile e dannoso è più sottile che mai - e la prossima skill IA “imperdibile” potrebbe essere l’ultima arma di un cybercriminale.

WIKICROOK

  • Typosquatting: Il typosquatting è quando gli attaccanti usano nomi simili a quelli di siti o software affidabili per ingannare gli utenti e indurli a visitare siti falsi o scaricare malware.
  • Reverse shell: Una reverse shell è quando un computer compromesso si collega di nascosto a un attaccante, dandogli controllo remoto e aggirando le difese di sicurezza standard.
  • Memoria persistente: La memoria persistente consente al software di conservare dati e istruzioni tra una sessione e l’altra, aumentando la comodità ma ponendo anche rischi di cybersicurezza se usata impropriamente.
  • Comandi di shell offuscati: I comandi di shell offuscati sono intenzionalmente camuffati per nasconderne la funzione, spesso usati dagli attaccanti per eludere il rilevamento e compiere azioni malevole.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
AI Security Data Theft Open-Source
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news