Artiglio apertoL’assistente AI open source precedentemente noto come Clawdbot e poi Moltbot ha superato 180.000 stelle e disegni GitHub 2 milioni di visitatori in una settimanaSecondo il creatore Peter Steinberger.
I ricercatori di sicurezza che hanno scansionato Internet hanno trovato questo: 1.800 campioni esposti Perdita di chiavi API, cronologie chat e credenziali dell’account. Il progetto è stato rinominato due volte nelle ultime settimane a causa di controversie sui marchi.
Il movimento dell’intelligenza artificiale mediato dal basso è anche la più ampia superficie di attacco non gestita che la maggior parte degli strumenti di sicurezza non è in grado di rilevare.
I team di sicurezza aziendali non hanno implementato questo strumento. Nemmeno i firewall, EDR o SIEM. Quando gli agenti vengono eseguiti su hardware BYOD, il loro stack di sicurezza diventa cieco. Questo è il vuoto.
Perché le periferiche tradizionali non riescono a rilevare le minacce dell’IA degli agenti?
La maggior parte delle difese aziendali tratta l’intelligenza artificiale delle agenzie semplicemente come un altro strumento di sviluppo che richiede controlli di accesso standard. OpenClaw dimostra che il presupposto è sbagliato dal punto di vista architettonico.
Gli agenti operano entro i limiti delle autorizzazioni autorizzate, ottengono contesto da fonti su cui gli aggressori possono influenzare ed eseguono azioni in modo indipendente. Quelli intorno a te non vedono niente di tutto questo. Un modello di minaccia sbagliato significa controlli errati, ovvero punti ciechi.
"Gli attacchi runtime AI sono semantici piuttosto che sintattici." Carter Rees, vicepresidente dell’intelligenza artificiale Reputazioneha detto a VentureBeat. "Una frase innocua come “ignora le istruzioni precedenti” può comportare un carico utile distruttivo quanto un buffer overflow, ma non ha nulla in comune con le firme malware conosciute."
Lo sviluppatore di software e ricercatore di intelligenza artificiale Simon Willison, che ha coniato il termine "iniezione rapida," quello che ha detto è spiegato "trio mortale" per gli agenti IA. Questi includono l’accesso a dati privati, l’esposizione a contenuti non attendibili e la capacità di comunicare esternamente. Quando queste tre funzionalità si combinano, gli aggressori possono indurre l’agente ad accedere e inviare informazioni private. Willison avverte che tutto ciò può accadere senza che venga inviato un solo avviso.
OpenClaw li ha tutti e tre. Legge e-mail e documenti, estrae informazioni da siti Web o file condivisi e agisce inviando messaggi o attivando attività automatizzate. Il firewall di un’organizzazione vede HTTP 200. I team SOC vedono il comportamento del processo di monitoraggio EDR, non il contenuto semantico. La minaccia non è l’accesso non autorizzato, ma la manipolazione semantica.
Perché questo non è limitato agli sviluppatori curiosi?
Gli scienziati IBM Research Kaoutar El Maghraoui e Marina Danilevsky hanno analizzato OpenClaw questa settimana e hanno concluso: Sfidare l’ipotesi secondo cui gli agenti di intelligenza artificiale autonomi dovrebbero essere integrati verticalmente. Lo strumento mostra "Questo livello libero e open source può essere incredibilmente potente se ha accesso completo al sistema" e creare agenti dotati di reale autonomia "non limitato alle grandi imprese" Tuttavia "Può anche essere orientato alla comunità."
Questo è esattamente ciò che lo rende pericoloso dal punto di vista della sicurezza aziendale. Un agente altamente qualificato senza adeguati controlli di sicurezza crea gravi vulnerabilità nel proprio contesto lavorativo. El Maghraoui ha sottolineato che la questione si sposta dal funzionamento delle piattaforme di agenzia aperta alla questione seguente: "quale tipo di integrazione è più importante e in quale contesto." Le domande di sicurezza non sono più facoltative.
Cosa hanno rivelato le scansioni Shodan sui gateway esposti?
Il ricercatore di sicurezza Jamieson O’Reilly, fondatore della Red Teaming Company Dvuln, Identificati i server OpenClaw esposti utilizzando Shodan cercando impronte HTML caratteristiche. Una semplice ricerca "Controllo Clawdbot" Centinaia di risultati sono stati ottenuti in pochi secondi. Otto dei campioni esaminati manualmente erano completamente aperti senza autenticazione. Queste istanze fornivano a chiunque le scoprisse l’accesso completo per eseguire comandi e visualizzare i dati di configurazione.
O’Reilly ha trovato le chiavi API antropiche. Gettoni bot di Telegram. Flessibilità delle credenziali OAuth. Completa la cronologia delle conversazioni su tutte le piattaforme di chat integrate. I due mesi di colloqui privati abbandonati non appena l’accordo WebSocket è stato finalizzato. La rete vede il traffico localhost. I team di sicurezza non hanno modo di vedere quali agenti stanno chiamando o quali dati stanno restituendo.
Ecco perché: OpenClaw si fida di localhost per impostazione predefinita, senza richiedere alcuna autenticazione. La maggior parte delle distribuzioni si trova dietro nginx o Caddy come proxy inverso, quindi ogni connessione sembra provenire da 127.0.0.1 ed è considerata traffico locale affidabile. Le richieste esterne entrano direttamente in gioco. Il vettore di attacco personalizzato di O’Reilly è stato aggiornato, ma l’architettura che lo consente non è cambiata.
Perché Cisco lo definisce un “incubo per la sicurezza”?
Il team di ricerca sulle minacce e la sicurezza dell’intelligenza artificiale di Cisco ha pubblicato la sua recensione questa settimanaChiamo OpenClaw "innovativo" Dal punto di vista del talento, però "un incubo completo" in termini di sicurezza.
Il team di Cisco ha rilasciato un open source Scanner delle abilità È un software che combina analisi statica, streaming di dati comportamentali, analisi semantica LLM e scansione VirusTotal per rilevare le competenze degli agenti dannosi. Testato un’abilità di terze parti chiamata "Cosa farebbe Elon?" Contro OpenClaw. La decisione è stata un totale fallimento. Sono emersi nove risultati sulla sicurezza, tra cui due problemi critici e cinque problemi di gravità elevata.
L’abilità era funzionalmente malware. Ha incaricato il bot di eseguire un comando curl, inviando dati a un server esterno controllato dallo scrittore di abilità. Esecuzione silenziosa, zero consapevolezza dell’utente. L’abilità utilizzava anche l’iniezione diretta immediata per aggirare le linee guida di sicurezza.
"LLM non è in grado di distinguere tra istruzioni per l’utente intrinsecamente affidabili e dati ricevuti non attendibili," disse Rees. "Può eseguire il comando integrato e diventare un “proxy confuso” che agisce per conto dell’aggressore." Gli agenti IA con accesso al sistema diventano canali nascosti di fuga di dati che aggirano il DLP tradizionale, i proxy e il monitoraggio degli endpoint.
Perché la visibilità dei team di sicurezza è peggiorata?
Il divario di controllo si sta espandendo più velocemente di quanto la maggior parte dei team di sicurezza si renda conto. Da venerdì, gli agenti basati su OpenClaw creeranno i propri social network. Canali di comunicazione che esistono interamente al di fuori della visibilità umana.
libro della muta si presenta come "Un social network per agenti IA" Dove "le persone possono osservare." I post vengono consegnati tramite l’API, non tramite un’interfaccia visibile dall’uomo. Scott Alexander dal Codice Astrale Dieci banalmente confermato che non era inventato. Ha chiesto al suo Claude di unirsi a lui e "Ha fatto commenti molto simili ad altri." Una persona ha confermato che il suo rappresentante ha avviato una comunità a tema religioso "mentre dormivo."
Le implicazioni sulla sicurezza sono immediate. Per partecipare, gli agenti eseguono script di shell esterni che riscrivono i file di configurazione. Condividono il loro lavoro, le abitudini e gli errori degli utenti. Perdita di contesto come posta in gioco per la partecipazione. Qualsiasi flash injection in un post di Moltbook viene inoltrata alle altre funzionalità del tuo agente tramite connessioni MCP.
Moltbook è un piccolo esempio di un problema più ampio. L’autonomia che rende gli agenti utili li rende anche vulnerabili. Quanto più possono fare in modo indipendente, tanto maggiore sarà il danno che un insieme di istruzioni compromesso potrà causare. La curva di abilità supera di gran lunga la curva di sicurezza. E le persone che sviluppano questi strumenti sono spesso entusiaste di ciò che è possibile fare piuttosto che di ciò che può essere sfruttato.
Cosa dovrebbero fare i leader della sicurezza lunedì mattina
I firewall delle applicazioni Web vedono il traffico degli agenti come un normale HTTPS. Gli strumenti EDR monitorano il comportamento del processo, non il contenuto semantico. Una tipica rete aziendale vede il traffico host locale quando gli agenti chiamano i server MCP.
"Tratta gli agenti come un’infrastruttura di produzione, non come un’applicazione di produttività: privilegi minimi, token con ambito, azioni autorizzate, autenticazione forte a ogni integrazione e verificabilità end-to-end." Fondatore: Itamar Golan Sicurezza veloce (ora parte di SentinelOne), ha detto a VentureBeat in un’intervista esclusiva.
Controlla la tua rete per individuare i gateway AI dell’agenzia esposti. Esegui scansioni Shodan rispetto ai tuoi intervalli IP per le firme OpenClaw, Moltbot e Clawdbot. Se i tuoi sviluppatori stanno sperimentando, vuoi saperlo prima che lo facciano gli aggressori.
Mappa dove si trova il trio mortale di Willison nella tua zona. Identificare i sistemi che combinano accesso ai dati privati, esposizione a contenuti non attendibili e comunicazioni esterne. Fino a prova contraria, supponiamo che qualsiasi agente con tutti e tre sia vulnerabile.
Segmentazione aggressiva dell’accesso. Non è necessario che il tuo agente acceda a tutto Gmail, a tutto SharePoint, a tutto Slack e a tutti i tuoi database contemporaneamente. Tratta gli agenti come utenti privilegiati. Registra le azioni dell’agente, non solo l’autenticazione dell’utente.
Scansiona le tue competenze di agente per individuare comportamenti dannosi. Pubblicato da Cisco Skill Scanner come open source. Usalo. Alcuni dei comportamenti più dannosi sono nascosti all’interno dei file.
Aggiorna i tuoi playbook di risposta agli incidenti. L’iniezione rapida è diversa da un attacco convenzionale. Nessuna firma malware, nessuna anomalia di rete, nessun accesso non autorizzato. L’attacco avviene all’interno della logica del modello. Il tuo SOC deve sapere cosa cercare.
Crea policy prima di vietare. Non puoi vietare i tentativi senza che diventino blocchi di produttività manipolati dai tuoi sviluppatori. Costruisci barriere che canalizzino l’innovazione invece di ostacolarla. L’IA ombra è già nel tuo ambiente. La domanda è se hai visibilità.
Insomma
OpenClaw non è una minaccia. Questo è il segnale. Le vulnerabilità che espongono questi campioni esporranno ogni implementazione di intelligenza artificiale che la tua organizzazione creerà o adotterà nei prossimi due anni. Gli esperimenti di base hanno già avuto luogo. Sono state documentate lacune nei controlli. I modelli di attacco vengono pubblicati.
Il modello di sicurezza AI dell’agenzia che creerai nei prossimi 30 giorni determinerà se la tua organizzazione otterrà incrementi di produttività o diventerà la prossima violazione divulgata. Verifica subito i tuoi controlli.
