Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

nuove minacce

Clawdbot diventa Moltbot: come mitigare il rischio dell’infostealer camuffato da Agentic AI

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Le preoccupazioni relative alla sicurezza del nuovo strumento di Agentic AI, precedentemente noto come Clawdbot, permangono, nonostante il rebranding richiesto da Anthropic per motivi legati al marchio registrato. Ecco i principali rischi di un malware infostealer camuffato da assistente personale AI open source e come mitigarli

Pubblicato il 29 gen 2026
L'era dei malware AI-driven è iniziata: ecco i rischi per aziende e Pmi; Clawdbot diventa Moltbot: cambia pelle, ma non il vizio, ecco come proteggersi

Clawdbot cambia nome in Moltbot, ma l’Agentic AI open source non riesce a scrollarsi di dosso le problematiche di sicurezza.

L’assistente personale agentico è molto pubblicizzato, ma lascia molto perplessi gli esperti di sicurezza che si domandano perché qualcuno dovrebbe installarlo, date le numerose criticità.

“Affidare la propria identità digitale a un agente di IA ‘personale’ è un po’ come consegnare le chiavi di casa a uno sconosciuto perché promette di annaffiare le piante”, secondo Alessandro Curioni, Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity: “In questo caso la promessa è l’automazione della noia quotidiana e il prezzo è l’abbattimento sistematico di ogni confine di sicurezza costruito in decenni”.

“Il tema più critico oggi non è l’AI in sé, ma la vulnerabilità delle soluzioni immature”, commenta Francesco Iezzi, Cybersecurity Specialist NHOA.

Ecco come mitigrare i rischi di esposizione delle credenziali dovute a configurazioni errate o autenticazioni deboli.

Il rebranding di Clawdbot in Moltbot non rassicura: ecco gli aspetti critici

Le preoccupazioni relative alla sicurezza del nuovo strumento di Agentic AI, precedentemente noto come Clawdbot, permangono, nonostante il rebranding richiesto da Anthropic per motivi legati al marchio registrato.

Ma nessuno dovrebbe essere disposto a consegnare le chiavi del proprio regno identitario a un bot, che potrebbe essere esposto alle minacce di una rete aperta.

Soluzioni immature sono “strumenti lanciati rapidamente in produzione e collegati a email, calendari, chat e altri servizi con privilegi elevati, spesso senza adeguato hardening, controllo delle dipendenze e una gestione corretta dei secrets. Con le AI agentiche il rischio aumenta ulteriormente, perché non parliamo più solo di dati, ma di azioni”, mette in guardia Francesco Iezzi.

Clawdbot, ora noto come Moltbot, è diventato virale negli ultimi giorni nei circoli dell’intelligenza artificiale e degli sviluppatori, con i fan che salutano l’“assistente personale AI” open source come una potenziale svolta.

In sostanza, Moltbot può essere controllato utilizzando app di messaggistica, come WhatsApp e Telegram, in modo simile ai chatbot GenAI che tutti conoscono.

Andando un po’ oltre, le sue capacità agentiche gli consentono di occuparsi delle attività amministrative quotidiane degli utenti, come rispondere alle email, gestire i calendari, filtrare le telefonate o prenotare tavoli al ristorante, il tutto con un intervento o un input minimo da parte dell’utente.

Tuttavia, tutte queste funzionalità hanno un costo. E non solo quello che molti sembrano sostenere per l’acquisto di un Mac Mini al solo scopo di ospitare un’istanza di Moltbot.

Affinché Moltbot possa leggere e rispondere alle mail e svolga altre attività, ha bisogno di accedere agli account e alle relative credenziali. Gli utenti stanno consegnando le chiavi delle loro app di messaggistica crittografate, dei loro numeri di telefono e dei loro conti bancari a questo sistema agentico.

“Questi agenti diventano di fatto asset ad alta fiducia: se non governati con rigore, possono trasformarsi in poli di raccolta di informazioni e in punti di accesso privilegiato estremamente appetibili per il cybercrime. Non sorprenderà vedere comparire ‘soluzioni AI’ che, in realtà, sono cavalli di Troia progettati per intercettare account, token e identità digitali”, avverte Francesco Iezzi.

Le critiche degli esperti di sicurezza

In primo luogo, c’è stata una forte polemica riguardo alle esposizioni pubbliche.

Moltbot è un sistema complesso e, nonostante sia facile da installare come una classica app, le configurazioni errate ad esso associate hanno spinto gli esperti a sottolineare i pericoli derivanti dall’esecuzione di istanze Moltbot, senza conoscenze tecniche adeguate.

“Tra i casi che ho esaminato manualmente, otto erano aperti senza alcuna autenticazione ed esponevano l’accesso completo per eseguire comandi e visualizzare i dati di configurazione”, ha affermato Jamieson O’Reilly: “Gli altri presentavano livelli di protezione variabili”.

“Quarantasette avevano un’autenticazione funzionante, di cui ho verificato manualmente la sicurezza. Gli altri si posizionavano in una posizione intermedia. Alcuni sembravano essere implementazioni di prova, altri avevano configurazioni errate, riducendo – ma senza eliminare – l’esposizione”.

I dettagli del proof-of-concept

Martedì 27 gennaio 2026, O’Reilly ha pubblicato un secondo post sul blog in cui descriveva in dettaglio un exploit della catena di approvvigionamento proof-of-concept per ClawdHub, la libreria di competenze dell’assistente AI, il cui nome non è ancora stato modificato.

È riuscito a caricare una competenza disponibile pubblicamente, gonfiando artificialmente il numero di download ad oltre 4.000 e così osservando gli sviluppatori di 7 Paesi scaricare il pacchetto compromesso.

La skill caricata da O’Reilly era innocua, ma ha dimostrato che avrebbe potuto eseguire comandi su un’istanza di Moltbot.

“Il payload ha inviato un ping al mio server per dimostrare che l’esecuzione era avvenuta, ma ho deliberatamente escluso i nomi host, i contenuti dei file, le credenziali e tutto ciò che avrei potuto prendere”, ha affermato l’esperto.

“Si trattava di una proof-of-concept, una dimostrazione teworica di ciò che è possibile fare. Nelle mani di qualcuno meno scrupoloso, quegli sviluppatori avrebbero visto le loro chiavi SSH, le credenziali AWS e l’intero codice sorgente sottratti prima ancora di rendersi conto che qualcosa non andava”.

Le criticità

ClawdHub afferma nelle sue note per gli sviluppatori che tutto il codice scaricato dalla libreria sarà trattato come codice affidabile – al momento non esiste un processo di moderazione -; quindi spetta agli sviluppatori verificare adeguatamente tutto ciò che scaricano.

Questo è infatti uno dei problemi chiave del prodotto. Salutato dai nerd come la prossima grande offerta di IA, in grado di avvantaggiare tutti, in realtà richiede competenze specialistiche per poter essere utilizzato in modo sicuro.

Eric Schwake, direttore della strategia di sicurezza informatica presso Salt Security, ha dichiarato a The Register: “Esiste un divario significativo tra l’entusiasmo dei consumatori per l’appeal one-click di Clawdbot e le competenze tecniche necessarie per gestire un gateway agentico sicuro.

Sebbene l’installazione possa sembrare simile a quella di una tipica app per Mac, una corretta configurazione richiede una conoscenza approfondita della governance dell’API per evitare l’esposizione delle credenziali a causa di configurazioni errate o autenticazioni deboli.

“Molti utenti creano involontariamente un grande vuoto di visibilità non riuscendo a tenere traccia dei token aziendali e personali che hanno condiviso con il sistema. Senza una visione a livello aziendale di queste connessioni nascoste, anche un piccolo errore nella configurazione di un ‘prosumer’ può trasformare uno strumento utile in una porta aperta, con il rischio di esporre sia i dati domestici che quelli lavorativi agli attacchi degli hacker”.

Non protegge neanche una configurazione corretta

Le preoccupazioni relative alla sicurezza di Moltbot persistono anche quando è configurato correttamente, come ha sottolineato questa settimana il team di Hudson Rock.

I suoi ricercatori hanno affermato di aver esaminato il codice di Moltbot e di aver scoperto che alcuni dei segreti condivisi con l’assistente dagli utenti erano memorizzati in file Markdown e JSON in chiaro sul file system locale dell’utente.

Ciò implica che se una macchina host, come uno dei Mac Mini acquistati in massa per ospitare Moltbot, fosse infettata da malware infostealer, i segreti memorizzati dall’assistente AI potrebbero risultare compromessi.

Malware in agguato

Hudson Rock sta già osservando che le famiglie di malware-as-a-service implementano funzionalità per prendere di mira strutture di directory local-first, come quelle utilizzate da Moltbot, tra cui Redline, Lumma e Vidar.

È plausibile che uno qualsiasi di questi popolari ceppi di malware possa trovare impiego contro le istanze di Moltbot esposte a Internet per rubare credenziali e sferrare attacchi a scopo di lucro.

Se l’autore dell’attacco è anche in grado di ottenere l’accesso in scrittura, può trasformare Moltbot in una backdoor, istruendolo a sottrarre dati sensibili in futuro, a fidarsi di fonti malevole e altro ancora.

“Clawdbot rappresenta il futuro dell’IA personale, ma la sua sicurezza si basa su un modello obsoleto di affidabilità degli endpoint”, ha affermato Hudson Rock. “Senza crittografia a riposo o containerizzazione, la rivoluzione dell’IA ‘Local-First’ rischia di diventare una miniera d’oro per l’economia globale del crimine informatico”.

Come mitigare i rischi

“La mitigazione totale non esiste: esistono scelte consapevoli e controlli verificabili“, secondo Francesco Iezzi.

Secondo O’Reilly, la sicurezza di Moltbot ha catturato l’attenzione del settore, ma si tratta solo dell’ultimo esempio di esperti che mettono in guardia sui rischi associati a un più ampio uso degli agenti di IA.

Intervistata The Register, Wendi Whitmore, responsabile della sicurezza informatica di Palo Alto Networks, ha avvertito che gli agenti di IA potrebbero rappresentare la nuova era delle minacce interne.

Poiché vengono implementati in grandi organizzazioni e incaricati di svolgere compiti in modo autonomo, diventano obiettivi sempre più allettanti per gli aggressori che cercano di dirottarli a proprio vantaggio.

La chiave sarà ripensare la sicurezza informatica per l’era degli agenti, garantendo che a ciascuno di essi vengano concessi i privilegi minimi necessari per svolgere i compiti e che le attività dannose siano monitorate in modo rigoroso.

I fondamentali restano infatti gli stessi: “assumere che ogni nuovo componente possa diventare un punto d’ingresso e, se ha accesso a dati e account, trattarlo come un sistema critico, applicando privilegi minimi, tracciabilità e controlli. Open source o commerciale cambia poco se manca una governance solida: ciò che conta davvero sono maturità, manutenzione e responsabilità di chi lo sviluppa”, conferma Francesco Iezzi.

L’Agentic AI manda in soffitta 20 anni di storia cyber

Vent’anni a costruire sandboxing, isolamento dei processi, modelli di autorizzazione, firewall, separazione dell’ambiente interno dell’utente da Internet. Tutto per limitare il raggio d’azione e impedire l’accesso remoto alle risorse locali. Ma l’Agentic AI abbatte tutto per sua stessa natura. Ha bisogno di leggere i tuoi file, accedere alle tue credenziali, eseguire comandi e interagire con servizi esterni. La proposta di valore richiede di aprire delle brecce in ogni barriera che abbiamo impiegato decenni a costruire. Quando questi agenti sono esposti a Internet o compromessi attraverso le supply chain, gli aggressori ereditano tutto quell’accesso. Le barriere crollano, vanno in pezzi”.

L’accusa di un manager di Google, ma bisogna imparare la lezione

Inoltre, Heather Adkins, vicepresidente dell’ingegneria della sicurezza di Google Cloud, che la scorsa settimana ha messo in guardia dai rischi che l’intelligenza artificiale comporterebbe per il mondo dei toolkit malware clandestini, sta guidando la brigata anti-Moltbot, esortando le persone a evitare di installarlo.

“Il mio modello di minaccia non è il tuo modello di minaccia, ma dovrebbe esserlo. Non eseguire Clawdbot”, ha affermato, citando un altro ricercatore di sicurezza che ha affermato che Moltbot “è un malware infostealer camuffato da assistente personale AI”.

Il consulente capo per la sicurezza Yassine Aboukir domanda, retoricamente, come ci si possa fidare “di quella cosa con accesso completo al sistema”. La risposta giusta, al momento, è non fidarsi.

“Gli agenti intelligenti non sono pericolosi perché sbagliano“, conclude Alessandro Curioni, “ma perché funzionano esattamente come dovrebbero. Quando un sistema deve sapere tutto di te per esserti utile, lui smette di essere uno strumento e tu inizi a entrare nei panni della vittima”.

Il punto però “non è evitare la tecnologia, ma adottarla con rigore: nel nuovo equilibrio digitale, l’identità non umana proverà sempre più spesso a rubare la nostra identità“, conclude Francesco Iezzi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Le tendenze cyber nel 2026: il filo conduttore riguarderà l'AI autonoma, il progresso quantistico e la pressione

  • prospettive

    Trend cyber 2026: attacchi AI-driven, progresso quantistico e pressione normativa

    17 Dic 2025

    di Mirella Castigli

    Condividi
  • Microsoft Authenticator saluta le password e accoglie le passkey. Il cambiamento radicale dal primo agosto 2025

  • sicurezza AZIENDALE

    Cosa vuole dire che Microsoft Authenticator sta per eliminare le password

    02 Lug 2025

    di Giuditta Mosca

    Condividi
  • Privacy Meta cosa cambia

  • dati personali

    Privacy Meta, aggiornamento su informazioni ricevute da terzi: cosa cambia dal 16 giugno

    09 Giu 2025

    di Mirella Castigli

    Condividi
  • terrorismo

  • scenari

    La nuova frontiera cyber del terrorismo: ora c'è anche l'intelligenza artificiale

    22 Dic 2025

    di Federica Maria Rita Livelli

    Condividi
0
Lascia un commento, la tua opinione conta.x