Due mesi fa un tipo mi scrive alla mail di redazione e mi fa: “Devi provare Clawdbot, è pazzesco”. Mi racconta che puoi mandargli un messaggio su Telegram tipo “prenotami un volo per Milano giovedì mattina”, e lui lo fa davvero. Cerca, compara, prenota. “È come avere Jarvis”, mi ha scritto. Io sono andato a vedere il sito, ma confesso un mio limite: giudico i progetti anche dalla proposta e dall’interfaccia, e non mi ha molto convinto.
Così, rischiando di perdere l’anteprima della notizia (cosa che è effettivamente successa), ho pensato: per ora passo, vediamo come va a finire.
È finita che Clawdbot è diventato Moltbot per ragioni legali. Poi in pochi giorni ha cambiato ancora nome in OpenClaw, non chiedetemi perché. È finita che il creatore stesso, Peter Steinberger, ha ammesso: “Non è un prodotto rifinito, dovete capire i rischi”, e i ricercatori di Token Security l’hanno trovato installato in una azienda su cinque tra quelle monitorate, spesso senza autorizzazione. È finita, per farla breve, che basta un messaggio in chat per dirottarlo, e le tue credenziali (TUTTE) possono finire online.
Forse l’istinto ha avuto ragione, e ho fatto bene ad aspettare.
Come funziona OpenClaw (quando funziona)
L’idea è seducente, non lo nego: OpenClaw è un assistente AI locale che gira sul tuo computer e interagisce con tutto: email, browser, file, app. Non ha un’interfaccia tradizionale, è un po’ ovunque: lo usi chattando con lui su WhatsApp, Telegram, Discord, Signal, anche iMessage. Come se fosse un contatto umano in carne e ossa: uno particolarmente efficiente.
Gli scrivi “riordina la posta per urgenza”, e lui lo fa. Ti rimette a posto tutte le cartelle del PC, ti trova un ristorante giapponese vicino all’ufficio comparando recensioni e proponendo opzioni. “Scrivi una sintesi della riunione di ieri basandoti sulle note”, gli ho detto. Lui è scivolato via per un po’, è entrato nei file, ha elaborato, ha restituito il risultato. Avesse avuto la voce di Scarlett Johansson avrei potuto innamorarmi anch’io di questo assistente personale che non dorme mai, non si lamenta, e costa solo il tempo dell’installazione.
Il progetto è open-source, supporta Windows, macOS, Linux. Si collega ai modelli linguistici che preferisci: Claude (da cui il nome originale, un po’ troppo richiamato all’inizio), Gemini, GPT. Mantiene memoria tra sessioni, impara dalle tue richieste, può persino espandere le sue capacità in base ai tuoi comandi.
È, tecnicamente, impressionante.
E poi c’è il però.
Il prezzo dell’accesso totale
Per fare tutto quello che vi ho elencato (e anche di più), OpenClaw ha bisogno di accesso totale. File, applicazioni, credenziali di login. Alcuni utenti gli hanno dato persino i dati della carta di credito, per permettergli di fare acquisti autonomamente. È la logica del maggiordomo digitale: se deve gestire la casa, deve avere le chiavi.
Il problema è che quelle chiavi non stanno in una cassaforte. Stanno appese all’ingresso, basta infularle in una serratura e aprono tutto.
I buchi di sicurezza (enormi)
- Prompt injection: Come altri strumenti AI, OpenClaw è vulnerabile a comandi nascosti che ne modificano il comportamento. Un messaggio costruito ad arte può dirottarlo.
- Hijacking via chat: Se OpenClaw è collegato a una chat di gruppo, tutti gli altri partecipanti possono inviargli comandi. Anche gente che non conosci. Basta scrivere nella conversazione.
- Fuga delle credenziali: Almeno un ricercatore ha scoperto che OpenClaw può esporre informazioni sensibili online, incluse conversazioni e login.
- Installazioni non autorizzate: Token Security, come vi scrivevo, ha trovato OpenClaw attivo nel 20% delle aziende analizzate, spesso senza che i dipartimenti IT ne fossero a conoscenza.
Rahul Sood, imprenditore tech, l’ha riassunto così: “È brillante, ed è terrificante”. È una sintesi onesta, io sono stato meno pratico e un po’ isterico, del tipo: state giocando con qualcosa che non è pronto.
L’entusiasmo prima della prudenza
La cosa interessante è che la gente lo installa lo stesso. Perché funziona, perché fa davvero quello che promette, e lo fa pure bene. È il sogno dell’automazione personale che diventa realtà: deleghi tutto, e va alla grande. Niente clic, niente interfacce complicate, niente frustrazione. Solo risultati.
E questa, come immaginerete, è anche la trappola. Più OpenClaw funziona, più ti fidi. E più ti fidi, più gli dai. Più gli dai, più sei esposto quando qualcosa va storto. In altri termini: più gli dai, più si piglia. E con falle di sicurezza di questa portata, l’incidente non è ipotetico.
È come lasciare la porta di casa aperta perché il cane deve entrare e uscire liberamente. Funziona finché passate solo tu e lui. Poi passa qualcun altro e… Già sai.
La domanda che resta
OpenClaw magari non è la soluzione. Va bene, l’ho accertato. Oltre a pettinarmi l’ego per non essermi fidato, però, devo come sempre trarre una lezione da questa cosa, perché è chiaro che si farà avanti con prepotenza e in altre forme nei prossimi anni. Lo dico anche io da tempo immemore. Il punto è un altro: quando arriverà quello giusto, saremo pronti a fidarci?
Perché prima o poi arriverà un assistente AI che fa davvero tutto, che si proclama (e sembra) sicuro, magari con un bel marchio familiare, che ci fa sentire protetti (non vedo come). E dovremo decidere quanto della nostra vita digitale consegnare.
Le credenziali. I file. Le email, le carte di credito. La fiducia che un software, per quanto intelligente, gestisca decisioni che oggi prendiamo noi. Questa è la traiettoria. E OpenClaw, con tutti i suoi difetti, è un’anteprima molto ravvicinata di quel futuro.
La lezione, forse, è che l’entusiasmo va calibrato. Non basta che “funzioni”. Prima di consegnare le chiavi di casa a qualcuno, anche digitale, conviene sempre controllare se sa chiudere la porta. Ecco: OpenClaw non la chiude. I prossimi magari sì.
Ma chi garantisce?
