OpenClaw ha 500.000 istanze e nessun kill switch aziendale

“La tua IA? La mia IA adesso.” Questa frase è arrivata da Etay Maor, vicepresidente di Threat Intelligence. Reti di CatoneIn un’intervista esclusiva con VentureBeat RSAC2026 – e l’esempio di OpenClaw offerto in vendita su BreachForums descrive esattamente cosa è successo a un CEO del Regno Unito. La tesi di Maor è che l’industria offre agli agenti dell’intelligenza artificiale il tipo di autonomia che non potrebbero mai estendere a un lavoratore umano, abbandonando la fiducia zero, il privilegio minimo e la presunzione di trasgressione nel processo.

La prova è arrivata Forum di violazione Tre settimane prima dell’intervista di Maor. Il 22 febbraio un hacker che utilizzava lo pseudonimo “fluffyduck” ha pubblicato un annuncio in cui pubblicizzava l’accesso tramite root shell al computer del CEO per 25.000 dollari in Monero o Litecoin. La shell non era il punto di forza. Era l’assistente personale AI di OpenClaw del CEO. Il destinatario riceverebbe ogni conversazione che il CEO ha avuto con l’intelligenza artificiale, il database completo di produzione dell’azienda, i token bot di Telegram, le chiavi API di Trading 212 e i dettagli personali che il CEO ha rivelato all’assistente su famiglia e finanze. L’autore della minaccia ha notato che il CEO si stava impegnando attivamente con OpenClaw in tempo reale, rendendo l’elenco un flusso di intelligence in tempo reale piuttosto che un dump di dati statici.

Vitaly Simonovich, ricercatore senior sulla sicurezza di Cato CTRL, ha documentato l’elenco Il 25 febbraio l’istanza OpenClaw del CEO ha archiviato tutto in file Markdown di testo normale in ~/.openclaw/workspace/, senza crittografia durante l’uso. L’autore della minaccia non aveva bisogno di far trapelare nulla; L’amministratore delegato lo aveva già installato. Quando il team di sicurezza ha scoperto la violazione, non esisteva alcun kill switch aziendale locale, nessuna console di gestione e nessun modo per fare l’inventario di quante altre istanze erano in esecuzione nell’organizzazione.

OpenClaw funziona in modo nativo con accesso diretto al file system del computer host, alle connessioni di rete, alle sessioni del browser e alle applicazioni installate. I rilasci fino ad oggi hanno tenuto il passo, ma ciò che non è stata mappata è la superficie della minaccia. I quattro fornitori che hanno utilizzato RSAC 2026 per inviare risposte non hanno ancora prodotto il controllo di cui le aziende hanno maggiormente bisogno: un kill switch locale.

La minaccia emerge nei numeri

Maor ha eseguito un controllo Censys dal vivo durante un’intervista esclusiva con VentureBeat all’RSAC 2026. “La prima settimana in cui è stato lanciato, c’erano circa 6.300 campioni. La settimana scorsa ho controllato: 230.000 campioni. Controlliamo ora… quasi mezzo milione. È quasi raddoppiato in una settimana”, ha detto. Tre CVE ad alta gravità definiscono la superficie di attacco: CVE-2026-24763 (CVSS 8.8, iniezione di comandi tramite gestione Docker PATH), CVE-2026-25157 (CVSS 7.7, iniezione di comandi del sistema operativo) e CVE-2026-25253 (CVSS 8.8, esfiltrazione di token per compromissione completa del gateway). Tutti e tre i CVE sono dotati di patch, ma OpenClaw non dispone del piano di gestione aziendale, di un meccanismo di patch centralizzato e di un kill switch a livello di flotta. I singoli amministratori devono aggiornare manualmente ciascuna istanza e la maggior parte non lo ha fatto.

La telemetria difensiva è altrettanto preoccupante. I sensori Falcon di CrowdStrike attualmente rileva oltre 1.800 diverse applicazioni AI Genera quasi 160 milioni di istanze uniche sugli endpoint aziendali del parco clienti, da ChatGPT a Copilot a OpenClaw. ClawHavoc, un’abilità dannosa distribuita attraverso il mercato ClawHub, è diventata il caso di studio principale nella OWASP Agent Skills Top 10. Il CEO di CrowdStrike George Kurtz ha definito questo come il primo grande attacco alla catena di fornitura contro un ecosistema di strumenti di intelligenza artificiale nel suo keynote RSAC 2026.

Gli agenti AI hanno accesso root. La sicurezza non è riuscita a trovare nulla.

Maor ha inquadrato il fallimento della visibilità attraverso il ciclo OODA (osservare, orientare, decidere, agire) durante la sua intervista RSAC 2026. Molte organizzazioni falliscono al primo passaggio: i team di sicurezza non possono vedere quali strumenti di intelligenza artificiale sono in esecuzione sulle loro reti; Ciò significa che gli strumenti di produttività portati dai dipendenti diventano un’intelligenza artificiale ombra sfruttata dagli aggressori. L’elenco di BreachForums si è rivelato l’ultimo. L’istanza OpenClaw del CEO è diventata un hub centrale di intelligence in cui le sessioni SSO, gli archivi di credenziali e la cronologia delle comunicazioni vengono raccolti in un’unica posizione. “Se acquisti l’accesso a questo computer, l’assistente del CEO può diventare il tuo assistente”, ha detto Maor a VentureBeat. “È l’assistente dell’aggressore.”

Gli agenti fantasma aumentano l’esposizione. Le organizzazioni adottano strumenti di intelligenza artificiale, eseguono un progetto pilota, perdono interesse e vanno avanti, mantenendo gli agenti in funzione con le loro credenziali intatte. “Abbiamo bisogno del punto di vista delle risorse umane sulle agenzie. Assunzioni, monitoraggio, licenziamento. A meno che non ci sia un motivo commerciale? Licenziamento”, ha detto Maor a VentureBeat. “Non sono rimasti agenti fantasma nella nostra rete perché questo sta già accadendo”.

Cisco si muove verso il kill switch di OpenClaw

Jeetu Patel, presidente e Chief Product Officer di Cisco, ha delineato i rischi durante un’intervista esclusiva con VentureBeat all’RSAC 2026. Patel ha detto degli agenti IA: “Li paragono più agli adolescenti. Sono estremamente intelligenti, ma non hanno paura delle conseguenze”. “La differenza tra delegare compiti a un agente e delegare in modo affidabile… Uno di questi porta alla bancarotta, l’altro al dominio del mercato.”

Cisco ha rilasciato tre strumenti di sicurezza open source gratuiti per OpenClaw all’RSAC 2026. DefenseClaw Comprende Skills Scanner, MCP Scanner, AI BoM e CodeGuard in un unico framework open source che viene eseguito all’interno del runtime NVIDIA OpenShell, che NVIDIA ha lanciato al GTC una settimana prima di RSAC. “Ogni volta che attivi effettivamente un agente in un contenitore Open Shell, ora puoi avviare automaticamente tutti i servizi di sicurezza che abbiamo creato tramite Defense Claw”, ha detto Patel a VentureBeat. Edizione AI Defense Explorer Si tratta di una versione gratuita e self-service del motore algoritmico di red teaming di Cisco e testa qualsiasi modello o agente di intelligenza artificiale per l’iniezione rapida e il jailbreak in oltre 200 sottocategorie di rischio. Quadro di valutazione della sicurezza del Master Classifica i modelli chiave in base alla resilienza competitiva piuttosto che ai parametri di riferimento delle prestazioni. Anche Cisco ha inviato ID delegato Duo Identity Intelligence per registrare gli agenti come oggetti identità con autorizzazioni basate sul tempo, per scoprire agenti ombra tramite il monitoraggio della rete e Agent Runtime SDK per incorporare l’applicazione delle policy al momento della creazione.

Palo Alto rende gli endpoint intermedi la propria categoria di sicurezza

Durante un esclusivo briefing pre-RSA con VentureBeat il 18 marzo, il CEO di Palo Alto Networks, Nikesh Arora, ha descritto gli strumenti di classe OpenClaw come la creazione di una nuova catena di fornitura che opera su mercati non regolamentati e insicuri. Koi ha trovato 341 abilità dannose Presso ClawHub durante il suo primo audit, il totale è cresciuto fino a 824 con l’espansione del registro. Snyk ha rilevato il 13,4% delle competenze analizzate conteneva vulnerabilità critiche della sicurezza. Palo Alto Networks ha creato Prisma AIRS 3.0 attorno a un nuovo registro degli agenti che richiede a ciascun agente di accedere prima dell’esecuzione, con autenticazione delle credenziali, controllo del traffico del gateway MCP, red teaming degli agenti e monitoraggio del runtime per l’avvelenamento della memoria. L’acquisto in sospeso di Koi aumenta la visibilità della catena di approvvigionamento, in particolare per gli endpoint intermedi.

Catone CTRL ha presentato controprove

Cato CTRL, la divisione di threat intelligence di Cato Networks, ha presentato due sessioni all’RSAC 2026. Rapporto sulle minacce Cato CTRL del 2026Rilasciato separatamente, include un attacco proof-of-concept “Living AI” che prende di mira MCP di Atlassian e Jira Service Management. La ricerca di Maor fornisce una verifica contraddittoria indipendente che gli annunci dei prodotti dei fornitori da soli non possono fornire. I fornitori di piattaforme stanno costruendo la governance per gli agenti sanzionati. Cato CTRL ha documentato cosa accadrebbe se il rappresentante non approvato sul laptop del CEO fosse venduto sul dark web.

Elenco delle azioni del lunedì mattina

Indipendentemente dal set di fornitori, vengono immediatamente implementati quattro controlli: connettere OpenClaw solo all’host locale e prevenire l’esposizione alle porte esterne, applicare la whitelist dell’applicazione tramite MDM per impedire installazioni non autorizzate, ruotare tutte le credenziali sulle macchine su cui OpenClaw è in esecuzione e applicare l’accesso con privilegi minimi a qualsiasi account toccato da un agente AI.

1. Esplora la base di installazione. Il sensore Falcon di CrowdStrike, la piattaforma SASE di Cato e Cisco Identity Intelligence rilevano tutti l’IA ombra. Per i team senza strumenti premium, interroga gli endpoint per la directory ~/.openclaw/ utilizzando i criteri di ricerca file EDR o MDM nativi. Se l’organizzazione non ha visibilità sugli endpoint, esegui query Shodan e Censys sugli intervalli IP aziendali.

2. Patch o isolare. Confronta ogni istanza rilevata con CVE-2026-24763, CVE-2026-25157 e CVE-2026-25253. Le istanze a cui non è possibile applicare patch devono essere isolate dalla rete. Non esiste un meccanismo di patching a livello di flotta.

3. Controllare le installazioni delle competenze. Scarica le competenze installate nello Skills Browser di Cisco o Segretamente E koi ricerca. Qualsiasi abilità proveniente da una fonte non verificata dovrebbe essere rimossa immediatamente.

4. Richiedi controlli DLP e ZTNA. I controlli ZTNA di Cato limitano le applicazioni AI non approvate. Cisco Secure Access SSE applica la policy per le chiamate dell’agente MCP. Prisma Access Scanner di Palo Alto controlla il flusso di dati a livello del browser.

5. Uccidi gli agenti fantasma. Crea un registro di ogni agente AI in esecuzione. Documentare il business case, il proprietario umano, le credenziali possedute e i sistemi a cui si accede. Cancellare i dati identificativi degli intermediari senza fornire alcuna motivazione. Ripeti settimanalmente.

6. Distribuisci DefenseClaw per l’uso approvato. Esegui OpenClaw all’interno del runtime OpenShell di NVIDIA con quello di Cisco DefenseClaw per eseguire la scansione delle funzionalità, verificare i server MCP e misurare automaticamente il comportamento in fase di esecuzione.

7. Prima che venga schierata la squadra rossa. Da usare Edizione Cisco AI Defense Explorer (gratuito) o avere un rappresentante della squadra rossa Prisma AIRS 3.0 di Palo Alto Networks. Testa il flusso di lavoro, non solo il modello.

Competenze dell’agente OWASP Top 10Pubblicato utilizzando ClawHavoc come caso di studio principale, fornisce un quadro di livello standard per la valutazione dei rischi. Quattro fornitori hanno inviato risposte all’RSAC 2026. Nessuno di questi sono kill switch aziendali nativi per distribuzioni OpenClaw non approvate. Finché non ne esiste uno, l’elenco delle azioni del lunedì mattina sopra è la cosa più vicina a uno.

Collegamento alla fonte