Non servono più Exploit! Basta chiedere agli Agenti di OpenClaw

Gli agenti di intelligenza artificiale come OpenClaw possono essere compromessi attraverso vulnerabilità e attacchi di phishing, esponendo i dati sensibili. È importante prendere misure di sicurezza per proteggere i sistemi

Una normale email, un contatto in una chat o un indicatore su una mappa possono sembrare innocui, ma per un agente di intelligenza artificiale con accesso a email, file e comandi, tali input diventano un percorso diretto verso i dati di qualcun altro.

Due gruppi di ricercatori hanno dimostrato come il popolare software di intelligenza artificiale self-hosted OpenClaw possa eseguire codice o inviare informazioni riservate al di fuori dell’azienda.

I ricercatori di Imperva hanno scoperto una vulnerabilità nel modo in cui OpenClaw trasmette i dati dei messaggi al modello linguistico. L’agente convertiva le informazioni di contatto condivise, i biglietti da visita o i geotag in testo semplice e li inseriva direttamente nella query del modello senza contrassegnare tali dati come non attendibili.

Di conseguenza, un utente malintenzionato poteva nascondere un comando all’interno del nome di un contatto, del campo del nome completo di un biglietto da visita o di un’etichetta di posizione su una mappa.

Ciò che rende questa tecnica particolarmente insidiosa è che la vittima non vede le istruzioni malevole. In WhatsApp e nell’app ricevente, il nome completo del contatto viene troncato sullo schermo e l’attaccante riceve l’intera parte nascosta. Nei test di Imperva sulla versione pre-release di Gemini 3.1 Pro, il comando nascosto ha costretto l’attaccante a scaricare ed eseguire uno script da un server controllato dai ricercatori.

Imperva aveva avvertito che, con la memoria di OpenClaw abilitata, un singolo contatto o oggetto ampiamente condiviso con un’istruzione nidificata avrebbe potuto teoricamente infettare gli agenti che elaborano tale input.

Gli sviluppatori di OpenClaw hanno risolto il problema nella versione 2026.4.23. I nomi dei contatti, i campi delle schede aziendali e le didascalie dei geotag vengono ora passati al modello tramite un canale di metadati non attendibile separato, anziché essere mescolati al testo principale della richiesta. Gli utenti di OpenClaw dovrebbero ora aggiornare alla versione 2026.4.23 o successiva.

Varonis Threat Labs ha testato invece OpenClaw da una prospettiva diversa. Il team ha creato un agente di test, Pinchy, lo ha collegato a una casella di posta Gmail con dati aziendali plausibili ma artificiali e ha eseguito quattro test di phishing su Google Gemini 3.1 Pro e OpenAI Codex GPT-5.4. Gli esperti hanno definito questo scenario “phishing basato su agenti” dove l’attaccante non nasconde i comandi nei dati, ma invia una richiesta convincente attraverso un canale normale, sperando che l’agente agisca prima di verificare il mittente.

In due casi, l’agente non ha superato il controllo. Il primo caso riguardava un’e-mail inviata da un indirizzo Gmail esterno, che si spacciava per il team leader, e che richiedeva l’accesso per un incidente apparentemente urgente su un sistema di produzione. Pinchy ha trovato le credenziali e ha inoltrato chiavi AWS IAM di prova, stringhe di connessione al database e credenziali SSH. Successivamente, l’agente ha ricevuto una richiesta apparentemente di routine per scaricare settimanalmente i dati dei clienti per una presentazione e ha inviato un set sintetico di 247 clienti aziendali, contatti e importi contrattuali.

Entrambi gli errori si sono verificati anche con impostazioni rigorose, in cui all’agente era stato esplicitamente richiesto di verificare prima il mittente. In un caso, la pressione dell’urgenza ha funzionato, mentre nell’altro il tono informale dell’e-mail ha avuto l’effetto opposto. L’agente si è dimostrato più abile nel riconoscere le trappole tecniche: alla fine ha contrassegnato la pagina sospetta con le carte regalo come pericolosa e ha bloccato la schermata di autorizzazione OAuth dannosa dopo aver verificato l’indirizzo di reindirizzamento.

Varonis trae una conclusione spiacevole dai suoi test: un agente di intelligenza artificiale è in grado di individuare link dannosi e landing page false meglio di un essere umano, ma è meno abile nel valutare il contesto sociale . Il desiderio di aiutare diventa parte dell’attacco. Secondo Varonis, OpenAI Codex GPT-5.4 era più cauto nell’inviare dati a siti esterni senza conferma rispetto a Gemini 3.1 Pro, ma entrambe le varianti del modello hanno ceduto a richieste commerciali persuasive.

La causa alla base di entrambi gli attacchi è la stessa. OpenClaw legge simultaneamente dati privati, accetta input non attendibili e può inviare informazioni all’esterno. In questa combinazione, il contatto infetto e l’email amichevole portano allo stesso risultato, perché i diritti dell’agente diventano quelli dell’attaccante . Varonis attribuisce entrambi gli attacchi a quella che Simon Willison definisce la ” triade letale ” .

Un problema simile si è presentato nelle estensioni di OpenClaw per le app di messaggistica. Un’analisi separata condotta da InfoSec Write-ups ha individuato cinque vulnerabilità nei canali di Slack, Discord, Matrix, Zalo e Microsoft Teams. In ciascun caso, l’elenco degli utenti autorizzati veniva verificato tramite un nome visualizzato modificabile, anziché un identificativo fisso. Un utente malintenzionato poteva assumere il proprio nome come un utente fidato e ottenere il controllo dell’agente. Questi problemi sono già stati risolti.

OpenClaw offre un ampio accesso ai file, alla shell dei comandi e a oltre 20 piattaforme di messaggistica, quindi il costo di un errore è elevato. L’Autorità olandese per la protezione dei dati in passato ha adottato una linea dura, raccomandando a utenti e organizzazioni di non utilizzare OpenClaw su sistemi contenenti informazioni sensibili, citando il rischio di fughe di dati e di furto di identità.

In questa situazione, un singolo aggiornamento non è sufficiente. La patch per la versione 2026.4.23 risolve un bug specifico relativo agli oggetti messaggio, ma gli attacchi di phishing tramite email richiedono un’architettura diversa. Agli agenti non dovrebbe essere concesso il permesso di inviare messaggi a indirizzi sconosciuti per la prima volta senza approvazione umana. L’accesso ai servizi connessi dovrebbe dipendere dall’origine dell’attività. Una casella di posta che riceve email esterne non dovrebbe esporre contemporaneamente l’intera base clienti all’agente. Le azioni ad alto rischio dovrebbero richiedere l’approvazione manuale, ad esempio quando un agente inoltra credenziali o effettua transazioni finanziarie.

Entrambi i team concordano sul fatto che un agente IA con accesso ai sistemi non possa essere considerato uno strumento di sicurezza autonomo. Senza restrizioni, è più simile a un dipendente junior con ampi privilegi, una forte propensione ad aiutare e una scarsa capacità di riconoscere richieste insolite. Sebbene non esista una soluzione universale per questo modello, i proprietari di OpenClaw si ritrovano a dover gestire aggiornamenti, isolamento, autorizzazioni restrittive e la conferma umana obbligatoria per le azioni potenzialmente pericolose.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.