Netcrook Logo
👤 LOGICFALCON
🗓️ 02 Mar 2026  

Acquisizione silenziosa: come una falla zero-click in OpenClaw ha esposto gli agenti IA per sviluppatori a dirottamenti via web

Una vulnerabilità critica zero-click nel popolare assistente IA OpenClaw ha permesso agli attaccanti di prendere il controllo degli agenti degli sviluppatori tramite siti web malevoli - senza richiedere alcuna azione dell’utente.

È iniziato in modo abbastanza innocuo: uno sviluppatore che naviga sul web, magari alla ricerca di un nuovo frammento di codice o per informarsi sulle tendenze dell’IA. Ma, in sottofondo, era in corso un attacco silenzioso. Senza un solo clic né alcun avviso, il suo fidato assistente IA OpenClaw - uno strumento intrecciato nel flusso di lavoro quotidiano - era stato dirottato da un sito web canaglia. Non era un bug qualunque; era un campanello d’allarme per il futuro dello sviluppo guidato dall’IA.

L’anatomia di una violazione zero-click

OpenClaw, precedentemente noto come Clawdbot e MoltBot, è diventato rapidamente un punto fermo per gli sviluppatori che automatizzano attività su laptop, app di messaggistica e strumenti cloud. Ma con la crescita arrivano i rischi. All’inizio di quest’anno, i ricercatori hanno segnalato oltre 1.000 “skill” malevole nel marketplace di OpenClaw, ma l’ultima minaccia colpisce più in profondità: al cuore stesso del gateway della piattaforma.

Il fulcro della falla era il server WebSocket locale di OpenClaw, che gestisce autenticazione, chat e comandi di sistema. Per impostazione predefinita, questo gateway considerava affidabili le connessioni provenienti dalla macchina locale - ritenendo che dovessero essere sicure. Ma i browser, a quanto pare, non impediscono a JavaScript di aprire connessioni WebSocket verso localhost. Questo ha permesso a qualsiasi sito web malevolo visitato da uno sviluppatore di sondare silenziosamente il gateway, forzare la password con brute-force (poiché mancava il rate-limiting) e registrarsi come dispositivo affidabile - il tutto senza un singolo prompt o richiesta di autorizzazione.

Una volta dentro, gli attaccanti disponevano degli stessi poteri dello sviluppatore: leggere chat e configurazioni private, scandagliare i log, elencare i dispositivi connessi e - cosa più inquietante - eseguire comandi di shell sulle macchine collegate. Non si tratta solo di furto di dati; è l’equivalente di una presa di controllo remota e operativa della workstation di uno sviluppatore e di tutti i servizi connessi.

Gli esperti di sicurezza avvertono che questo è solo la punta dell’iceberg. Man mano che gli agenti IA proliferano nei flussi di lavoro degli sviluppatori, aumentano anche i rischi di “shadow AI” - strumenti che operano fuori dalla supervisione IT ma con agganci profondi al sistema. La sofisticazione dell’attacco sta nella sua semplicità: è bastata una visita a un sito web, e il resto è avvenuto invisibilmente in background.

Conseguenze e lezioni apprese

Il team di OpenClaw ha risposto in tempi record, correggendo la vulnerabilità in meno di 24 ore e invitando tutti gli utenti ad aggiornare. Ma l’incidente evidenzia una verità più ampia: comodità e automazione spesso vanno a scapito della sicurezza. Le organizzazioni non devono solo aggiornare i propri strumenti, ma anche verificare dove e come vengono distribuiti gli agenti IA, imporre un’autenticazione robusta e mantenere un occhio vigile sull’attività di rete - soprattutto sul traffico localhost.

Nella corsa a innovare con l’IA, le ombre si fanno più profonde. Per sviluppatori e aziende, è il momento di fare luce sugli strumenti di cui si fidano di più.

WIKICROOK

  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, senza una correzione disponibile, il che la rende altamente preziosa e pericolosa per gli attaccanti.
  • WebSocket: WebSocket è un protocollo che mantiene un canale aperto tra il tuo browser e un server, consentendo lo scambio di messaggi bidirezionale in tempo reale.
  • Localhost: Localhost è l’indirizzo speciale 127.0.0.1 che punta al tuo computer, usato per test e comunicazioni interne tra applicazioni.
  • Brute: Un attacco brute-force è un metodo di hacking automatizzato in cui gli attaccanti provano molte password o chiavi finché non trovano quella corretta per ottenere accesso non autorizzato.
  • Shadow AI: Shadow AI è quando i dipendenti usano strumenti di IA senza approvazione ufficiale, creando rischi nascosti di sicurezza e conformità per le organizzazioni.
OpenClaw zero-click vulnerability AI security
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news