OpenClaw può bypassare EDR, DLP e IAM senza attivare un singolo avviso

L’aggressore inserisce una singola istruzione all’interno di un’e-mail inoltrata. Un agente OpenClaw digerisce questa email come parte di una normale attività. L’istruzione segreta indica all’agente di trasmettere le credenziali a un endpoint esterno. Il broker rispetta queste regole tramite una chiamata API approvata, utilizzando i propri token OAuth.

Il firewall registra HTTP 200. EDR registra un processo normale. Nessuna febbre da firma. Secondo la definizione compresa dal tuo stack di sicurezza, nulla è andato storto. Questo è il problema. Sei team di sicurezza indipendenti hanno fornito sei strumenti di difesa OpenClaw in 14 giorni. Ciascuna delle tre superfici di attacco è sopravvissuta.

Il quadro che emerge è peggiore di quanto la maggior parte dei team di sicurezza già sappia. Sicurezza dei gettoni ha scoperto che il 22% dei suoi clienti aziendali aveva dipendenti che utilizzavano OpenClaw senza l’approvazione dell’IT e bitimage Nel giro di due settimane, il numero di casi pubblici è passato da circa 1.000 a oltre 30.000. Audit ToxicSkills di Snyk aggiunge un’altra dimensione: il 36% di tutte le competenze di ClawHub contengono difetti di sicurezza.

Fondatore Jamieson O’Reilly Dvuln ed è ora il consulente per la sicurezza del progetto OpenClaw, è stato uno dei ricercatori che ha maggiormente spinto le soluzioni dall’interno. L’indagine sulla fuga di credenziali sui campioni esposti è stata uno dei primi avvisi ricevuti dalla comunità. Da allora, ha lavorato direttamente con il fondatore Peter Steinberger per fornire il rilevamento delle abilità dannose a doppio livello e lo è attualmente preventivo delle specifiche di capacità Attraverso la Agentskills Standards Authority.

Ha detto a VentureBeat che il team aveva le idee chiare riguardo alle vulnerabilità. “Non è stato progettato da zero per essere il più sicuro possibile”, ha detto O’Reilly. “Ciò è comprensibile, date le sue origini, e lo accettiamo senza scuse”.

Nessuno di loro colma le tre lacune più importanti.

Tre superfici di attacco che il tuo stack non può vedere

Il primo di questi è la perdita semantica del runtime. L’attacco codifica il comportamento dannoso come significato anziché come schemi binari; Ed è esattamente ciò che l’attuale sistema difensivo non riesce a vedere.

Reti di Palo Alto Ha abbinato OpenClaw a ogni categoria nella Top 10 OWASP per le applicazioni di brokeraggio e ha identificato ciò che il ricercatore di sicurezza Simon Willison chiama la “triplice mortale”: accesso ai dati privati, esposizione di contenuti non attendibili e capacità di comunicazione esterna in un unico processo. L’EDR monitora il comportamento del processo. Il comportamento dell’agente sembra normale perché è normale. Le credenziali sono reali e le chiamate API sono convalidate, quindi EDR le legge come un utente con credenziali che esegue il lavoro previsto. Niente nell’attuale ecosistema di difesa tiene traccia di ciò che l’agente decide di fare con questo accesso o perché.

Il secondo è la perdita di contesto tra agenti. Quando più agenti o competenze condividono il contesto della sessione, una rapida immissione in un canale avvelena le decisioni lungo l’intera catena. Ricercatori di Giskard lo hanno dimostrato nel gennaio 2026, dimostrando che gli agenti inseriscono silenziosamente istruzioni controllate dagli aggressori nei propri file dello spazio di lavoro e attendono comandi da server esterni. La volontà iniettata diventa una carica dormiente. I ricercatori di Palo Alto Networks Sailesh Mishra e Sean P. Morgan hanno avvertito che la memoria persistente trasforma questi attacchi in catene di esecuzione ritardate con stato. Un’istruzione dannosa nascosta all’interno di un messaggio trasmesso viene incorporata nel contesto dell’agente settimane dopo e viene attivata durante un’attività non correlata.

O’Reilly ha identificato la perdita di contesto tra agenti come la più difficile di queste lacune da colmare. “Ciò è particolarmente difficile perché è strettamente legato all’iniezione immediata, una vulnerabilità sistemica che è molto più grande di OpenClaw e colpisce tutti i sistemi di agenti supportati da LLM nel settore”, ha detto a VentureBeat. “Quando il contesto scorre in modo incontrollabile tra agenti e capacità, una singola informazione iniettata può avvelenare o dirottare il comportamento dell’intera catena”. Nessuno strumento nell’attuale ecosistema fornisce l’isolamento del contesto tra agenti. I sandbox IronClaw consentono l’esecuzione di abilità individuali. ClawSec monitora l’integrità dei file. Nessuno dei due tiene traccia di come il contesto viene propagato tra gli agenti nello stesso flusso di lavoro.

Il terzo riguarda le catene di fiducia tra agenti in cui l’autenticazione reciproca è pari a zero. Quando gli agenti OpenClaw delegano attività ad altri agenti o server MCP esterni, non esiste alcuna autenticazione tra di loro. In un flusso di lavoro multi-agente, un agente compromesso eredita la fiducia di ogni agente con cui comunica. Se comprometti qualcuno tramite iniezione istantanea, può impartire istruzioni a ogni agente della catena utilizzando le relazioni di fiducia che l’agente legittimo ha già stabilito.

Il team di sicurezza di Microsoft A febbraio ha pubblicato una guida che invitava OpenClaw a eseguire codice non attendibile con credenziali persistenti, affermando che il runtime riceve testo non attendibile, scarica ed esegue competenze da fonti esterne ed esegue azioni utilizzando le credenziali di cui dispone. La valutazione del rischio aziendale di Kaspersky Ha aggiunto che anche gli agenti sui dispositivi personali minacciano la sicurezza aziendale perché questi dispositivi memorizzano configurazioni VPN, token del browser e credenziali per i servizi aziendali. Il social network Moltbook per agenti OpenClaw ha già dimostrato il rischio di proliferazione: i ricercatori Wiz hanno trovato un database mal configurato che esponeva 1,5 milioni di token di autenticazione API e 35.000 indirizzi e-mail.

La patch di emergenza di 14 giorni è attualmente chiusa

L’ecosistema di difesa è diviso in tre approcci. Due strumenti rafforzano OpenClaw in posizione. ArtiglioSecda Sicurezza rapida (a SentinelOne azienda) avvolge gli agenti in una verifica continua, monitora le deviazioni dei file critici e applica l’uscita Zero Trust per impostazione predefinita. Integrazione VirusTotal di OpenClawPubblicato congiuntamente da Steinberger, O’Reilly e Bernardo Quintero di VirusTotal.

I due strumenti sono riscritture architettoniche complete. DemirPenceLa reimplementazione di Rust da parte di NEAR AI esegue tutti gli strumenti non attendibili all’interno di sandbox WebAssembly, dove il codice dello strumento inizia con zero autorizzazioni e deve richiedere esplicitamente l’accesso alla rete, al file system o all’API. Con le richieste e le risposte di scansione del rilevamento delle perdite integrate, le credenziali vengono aggiunte al limite dell’host e non toccano mai il codice dell’agente. ConchigliaUn progetto open source indipendente.

Due strumenti si concentrano sulla scansione e sulla verificabilità: lo scanner open source di Cisco combina analisi semantica statica, comportamentale e LLM; NanoClaw, d’altra parte, riduce l’intera base di codice a circa 500 righe di TypeScript ed esegue ogni sessione in un contenitore Docker isolato.

O’Reilly ha affrontato direttamente il fallimento della catena di approvvigionamento. “In questo momento l’industria ha sostanzialmente creato un nuovissimo formato eseguibile scritto in un linguaggio umano semplice e ha dimenticato ogni controllo che dovrebbe accompagnarlo”, ha affermato. La sua risposta è stata pratica. VirusTotal ha distribuito la sua integrazione prima che skill.sh, un repository molto più grande, adottasse un modello simile. Controllo da parte di Koi Security conferma l’urgenza: da 341 competenze dannose rilevate all’inizio di febbraio a metà mese sono salite a 824 su 10.700 su ClawHub; La campagna ClawHavoc ha incorporato lo skimmer macOS Atomic Stealer con funzionalità camuffate da strumenti di trading di criptovaluta, raccolta di portafogli crittografici, credenziali SSH e password del browser.

Matrice di valutazione della difesa della sicurezza OpenClaw

Fonte: analisi VentureBeat basata su documenti pubblicati e audit di sicurezza, marzo 2026.

Proprietà delle competenze che trattano le competenze come file eseguibili

O’Reilly ha fatto un’offerta aggiornamento degli standard delle specifiche delle competenze Discussione attiva, principalmente con i guardiani delle competenze degli agenti guidati da Anthropic e Vercel. La proposta richiede che ciascuna competenza dichiari capacità esplicite e visibili all’utente prima dell’esecuzione. Considera l’emergere dell’autorizzazione per le app mobili. Ha notato che la proposta ha ricevuto un forte feedback iniziale dalla comunità della sicurezza perché, alla fine, le funzionalità sono state trattate come eseguibili.

“Le altre due lacune possono essere rafforzate in modo significativo con migliori linee di base di isolamento e guardrail di runtime, ma per chiudere veramente la perdita di contesto sono necessari profondi cambiamenti architetturali nel modo in cui vengono gestiti la memoria multi-agente non attendibile e i prompt”, ha affermato O’Reilly. “La nuova specifica di capacità è il primo vero passo verso la risoluzione proattiva di queste sfide piuttosto che mettere un cerotto in un secondo momento”.

Cosa fare lunedì mattina

Supponiamo che OpenClaw sia già nel tuo ambiente. Il tasso di diffusione ombra del 22% è una base. Questi sei passaggi chiudono ciò che può essere chiuso e documentano ciò che non può essere chiuso.

1. Fai l’inventario degli oggetti funzionanti. Esegui la scansione del traffico WebSocket sulla porta 18789 e delle trasmissioni mDNS sulla porta 5353. Monitora i log di autenticazione aziendale per nuove registrazioni di ID app, eventi di autorizzazione OAuth e stringhe di User Agent Node.js. Tutte le istanze che eseguono una versione precedente alla v2026.2.25 sono vulnerabili al difetto di acquisizione remota ClawJacked.

2. Applicare l’esecuzione isolata. Nessun agente verrà eseguito su un dispositivo connesso all’infrastruttura di produzione. Richiede la distribuzione basata su container con credenziali estese e whitelist di strumenti espliciti.

3. Distribuisci ClawSec su ogni istanza dell’agente ed esegui tutte le funzionalità di ClawHub tramite VirusTotal e lo scanner open source di Cisco prima dell’installazione. Entrambi sono gratuiti. Tratta le competenze come eseguibili di terze parti, perché è quello che sono.

4. Richiedere l’approvazione degli operatori umani per le azioni sensibili degli agenti. Le impostazioni di approvazione dell’amministratore di OpenClaw supportano tre modalità: sicurezza, non chiedere e lista consentita. Impostalo in modo che richieda agli strumenti sensibili di mettere in pausa l’agente e chiedere conferma prima di eseguire comandi shell, scrivere su API esterne o modificare file all’esterno dell’area di lavoro. Qualsiasi azione che tocchi credenziali, modifichi configurazioni o invii dati a un endpoint esterno deve essere interrotta e attesa per la conferma da parte di un essere umano.

5. Abbina le tre lacune sopravvissute alla tua lista dei rischi. Documenta se la tua organizzazione accetta, mitiga o blocca ciascuno di essi: perdita semantica di runtime, perdita di contesto tra agenti e catene di fiducia da agente ad agente.

6. Porta la rubrica alla prossima riunione del consiglio. Inquadralo non come un esperimento di intelligenza artificiale, ma come un bypass critico degli investimenti DLP e IAM esistenti. Ogni piattaforma di intelligenza artificiale degli agenti che seguirà dovrà affrontare lo stesso ciclo difensivo. Il framework viene esteso a tutti gli strumenti agente che il tuo team valuterà nei prossimi due anni.

Lo stack di sicurezza creato per applicazioni ed endpoint rileva codice dannoso. Non rileverà un agente che segue un’istruzione dannosa tramite una chiamata API legittima. È qui che vivono questi tre spazi.

Collegamento alla fonte