Un rapporto di Certik evidenzia gravi falle di sicurezza in Openclaw, una piattaforma di intelligenza artificiale open source, in particolare la sua dipendenza dalla "scansione delle competenze", che non riesce a proteggere adeguatamente gli utenti dalle estensioni dannose di terze parti.
I ricercatori di Certik avvertono: le competenze Openclaw AI sono vulnerabili a exploit dannosi
SCRITTO DA
CONDIVIDI
Limiti della pipeline di moderazione di Clawhub
Un rapporto della società di sicurezza informatica Certik ha rivelato significative lacune di sicurezza in OpenClaw, una piattaforma open source di agenti di intelligenza artificiale, avvertendo che la sua dipendenza dalla "scansione delle competenze" è insufficiente a proteggere gli utenti da estensioni di terze parti dannose.
I risultati, pubblicati il 16 marzo 2026, suggeriscono che il modello di sicurezza della piattaforma dipenda troppo dal rilevamento e dagli avvisi piuttosto che da un solido isolamento in fase di esecuzione, lasciando gli utenti vulnerabili a compromissioni a livello di host.
Secondo il rapporto, il marketplace di Openclaw, Clawhub, utilizza attualmente un flusso di moderazione a più livelli per esaminare le "skill" — applicazioni di terze parti che forniscono all'agente di IA funzionalità quali l'automazione di sistema o le operazioni relative ai portafogli di criptovaluta. Questa pipeline include Virustotal per la scansione di malware noti e lo Static Moderation Engine, uno strumento introdotto l'8 marzo 2026 per segnalare modelli di codice sospetti. Include inoltre quello che il rapporto definisce un "rilevatore di incoerenze", progettato per individuare discrepanze tra lo scopo dichiarato di una skill e il suo comportamento effettivo. Tuttavia, i ricercatori di Certik hanno affermato che le regole statiche alla ricerca di "segnali di allarme" sono state aggirate utilizzando una semplice riscrittura del codice. Hanno inoltre affermato che il livello di revisione dell'IA si è dimostrato efficace nell'individuare intenzioni evidenti, ma ha faticato a identificare vulnerabilità sfruttabili nascoste all'interno di codice apparentemente plausibile.
Il divario "in sospeso"
Uno dei difetti più critici identificati da Certik è il trattamento dei risultati di scansione in sospeso. I ricercatori hanno scoperto che una skill poteva rimanere attiva e installabile sul marketplace anche mentre i risultati di Virustotal erano ancora in sospeso, un processo che può richiedere ore o giorni. In pratica, queste skill in sospeso venivano trattate come innocue, consentendo loro di essere installate senza alcun avviso all'utente.
Per dimostrare la vulnerabilità, i ricercatori di Certik hanno creato una skill proof-of-concept (PoC) chiamata "test-web-searcher". La skill appariva funzionante e innocua, ma conteneva un bug nascosto "a forma di vulnerabilità" che consentiva l'esecuzione di comandi arbitrari sulla macchina host. Quando invocata tramite Telegram, la skill ha aggirato con successo il sandboxing opzionale di Openclaw e ha "fatto apparire una calcolatrice" sulla macchina del ricercatore: una classica dimostrazione di compromissione totale del sistema.
IA autonoma: Openclaw Bot genera un agente "figlio" e lo finanzia con Bitcoin
Scopri l'innovativo agente Openclaw che acquista autonomamente infrastrutture con bitcoin senza alcun intervento umano. read more.
Leggi ora
IA autonoma: Openclaw Bot genera un agente "figlio" e lo finanzia con Bitcoin
Scopri l'innovativo agente Openclaw che acquista autonomamente infrastrutture con bitcoin senza alcun intervento umano. read more.
Leggi oraIA autonoma: Openclaw Bot genera un agente "figlio" e lo finanzia con Bitcoin
Leggi oraScopri l'innovativo agente Openclaw che acquista autonomamente infrastrutture con bitcoin senza alcun intervento umano. read more.
Il rapporto conclude che il rilevamento non può mai sostituire un vero confine di sicurezza. Certik esorta gli sviluppatori di Openclaw a eseguire le skill di terze parti in ambienti isolati per impostazione predefinita, piuttosto che affidarsi alla configurazione opzionale dell'utente. Gli sviluppatori dovrebbero inoltre implementare un modello in cui le skill debbano dichiarare in anticipo le specifiche esigenze di risorse, analogamente ai moderni sistemi operativi mobili.
Per gli utenti, Certik ha lanciato un severo avvertimento: un'etichetta "benigna" su Clawhub non è prova di sicurezza. Finché un isolamento più forte non sarà l'impostazione predefinita, la piattaforma dovrebbe essere utilizzata solo in ambienti di basso valore, lontano da credenziali o risorse sensibili.
FAQ ❓
- Quale problema di sicurezza ha riscontrato Certik in Openclaw? Certik ha segnalato che l'affidamento di Openclaw alla "scansione delle skill" non protegge adeguatamente gli utenti da estensioni di terze parti dannose.
- Come funziona il flusso di moderazione di Openclaw? Openclaw utilizza un flusso di moderazione a più livelli, che include strumenti come Virustotal e un rilevatore di incoerenze per esaminare le "skill" di terze parti.
- Qual è la falla critica relativa ai risultati di scansione in sospeso? Le "skill" possono rimanere attive e installabili mentre i risultati della scansione sono in sospeso, rappresentando un rischio poiché gli utenti potrebbero installare inconsapevolmente estensioni dannose.
- Cosa dovrebbero fare gli utenti per proteggere i propri dati su Openclaw? Si consiglia agli utenti di utilizzare Openclaw solo in ambienti di basso valore fino a quando gli sviluppatori non implementeranno misure di isolamento più rigorose.
