Logo safebrach

Fenomeno OpenClaw, Agenti AI e PMI: quando l’innovazione diventa una backdoor involontaria 

L’entusiasmo per l’AI agentica sta creando una nuova superficie d’attacco nelle aziende. Il caso OpenClaw dimostra che il problema non è se uno strumento sia pericoloso, ma chi ne controlla il comportamento. 

Il caso OpenClaw: un risveglio necessario 

L’assistente AI che promette di fare tutto direttamente da WhatsApp o Telegram: gestire file, eseguire comandi, automatizzare attività sul vostro computer sta facendo parlare molto di sè. 

Piccolo problema: centinaia di utenti hanno già esposto le loro credenziali su Internet. 

📊 Centinaia di istanze esposte scoperte da Jamieson O’Reilly (fondatore di Dvuln): 

  • Pannelli di controllo senza autenticazione 
  • Chiavi API e token OAuth in chiaro 
  • Conversazioni private accessibili 
  • Possibilità di eseguire comandi sui computer delle vittime 

⏱️ Tempo necessario per rubare una chiave privata crypto: 5 minuti. 

Matvey Kukuy (CEO di Archestra AI) lo ha dimostrato dal vivo con una semplice email contenente prompt injection. 

Le Vulnerabilità Confermate 

SlowMist ha documentato tre CVE critici: 

  • CVE-2025-49596 (CVSS 9.4): Accesso non autenticato 
  • CVE-2025-6514 (CVSS 9.6): Command injection 
  • CVE-2025-52882 (CVSS 8.8): RCE + accesso arbitrario ai file 

Come sottolinea Eric Schwake di Salt Security

“C’è un enorme gap tra l’entusiasmo per l’installazione one-click e l’expertise necessaria. Molti utenti creano involontariamente una backdoor aperta.” 

ll vero problema 

OpenClaw è solo l’esempio più recente di un fenomeno più ampio: agenti AI con accesso completo al sistema (file, comandi, browser) installati da utenti senza competenze per configurarli in modo sicuro. 

E questo riguarda direttamente le PMI italiane. 

Perché? Perché mentre le grandi enterprise hanno policy IT rigide, processi di change management e team di sicurezza dedicati, le PMI spesso si affidano all’iniziativa individuale dei dipendenti per testare nuove tecnologie. 

Ed è qui che nasce il problema: uno strumento promettente diventa un rischio esistenziale. 

Perché gli Agenti AI non dovrebbero essere installabili liberamente in azienda 

In una PMI, un agente AI come ClawdBot, Perplexity Computer o equivalenti NON dovrebbe essere installabile liberamente. Quattro motivi: 

  1. Accesso a dati aziendali sensibili – L’agente può leggere file locali, share SMB, database 
  1. Automazione non tracciata – Esegue azioni senza change management 
  1. Potenziale esfiltrazione – Dati trasmessi verso servizi esterni 
  1. Shadow IT AI incontrollato – Nessuna visibilità su cosa viene installato e da chi 

 

I 4 rischi concreti per le PMI 

L’uso non governato di agenti AI espone a quattro categorie di rischio operative

1. Data Leakage 

Un agente con accesso a file locali, share SMB o API aziendali può trasmettere dati verso endpoint esterni via HTTPS, modelli remoti o logging cloud. 

Il problema per le PMI: Spesso non c’è egress filtering attivo. Il traffico HTTPS verso servizi AI esterni appare legittimo, ma può contenere dati sensibili. 

2. Credential Harvesting 

L’interazione con browser, token OAuth o sessioni autenticate può esporre credenziali e dati autenticati. 

Il problema per le PMI: In ambienti ibridi Active Directory + Entra ID, un agente compromesso può raccogliere credenziali valide per accedere a risorse cloud e on-premise. 

3. Automazioni Non Governate 

Script di provisioning, modifiche massive a file o automazioni su database possono essere creati da singoli utenti senza alcun change management. 

Il problema per le PMI: È di fatto un RPA (Robotic Process Automation) fuori controllo. Un dipendente può automatizzare processi critici senza che l’IT ne sia a conoscenza. 

4. Compliance e NIS2 

Software non autorizzato viola l’asset management, un’AI non valutata costituisce un rischio supply chain, e il trasferimento dati extra-UE viola il GDPR. 

Il problema per le PMI: In contesti regolamentati (NIS2, ISO27001), questo non è opzionale. L’uso di AI non governata può invalidare certificazioni e creare violazioni normative. 

Cosa dovrebbe fare il reparto IT 

Il reparto IT potrebbe considerare l’adozione di agenti AI, ma solo con un approccio strutturato: 

Fase 1: Assessment Iniziale 

  • Reverse engineering del comportamento di rete: Cosa comunica? Con chi? Quali dati trasmette? 
  • Verifica dipendenze: Quali librerie usa? Ci sono vulnerabilità note? 
  • Analisi traffico: Monitoraggio completo delle connessioni in uscita 
  • Privilegi richiesti: Accesso al filesystem? Esecuzione comandi? API token? 

Fase 2: Proof of Concept Isolata 

  • VM dedicata: Ambiente completamente separato dalla rete aziendale 
  • Account limitato: Nessun accesso a risorse critiche 
  • Monitoraggio EDR: Ogni azione deve essere loggata e analizzata 

Fase 3: Governance (se adottato) 

  • Policy di utilizzo scritte: Chi può usarlo? Per quali scopi? Con quali limiti? 
  • Logging centralizzato: Ogni interazione tracciata in SIEM 

Revisione periodica: Audit trimestrali sull’uso effettivo 

La Lezione: GOVERNANCE, non divieto!  

l punto non è se uno strumento AI sia pericoloso di per sé, ma chi ne controlla il comportamento. 

Un agente AI con accesso al filesystem, alle API e con autonomia decisionale è a tutti gli effetti un operatore automatizzato interno: se compromesso o mal configurato, il suo impatto è paragonabile a quello di un insider threat. 

La soluzione non è vietarlo a priori, ma governarlo. 

La linea sottile tra innovazione e nuova superficie d’attacco la traccia esclusivamente il livello di controllo che si esercita su di esso. 

Conclusione: il futuro degli Agenti AI é promettente, ma solo con Security-by-Design 

Gli agenti AI non sono il nemico. Sono strumenti potenti che possono davvero aumentare la produttività. 

Ma come tutti gli strumenti potenti, richiedono: 

  • Consapevolezza dei rischi 
  • Controllo operativo 
  • Governance chiara 
  • Monitoraggio continuo 

Per le PMI italiane, il messaggio è chiaro: non lasciate che l’entusiasmo per l’AI crei backdoor involontarie nella vostra infrastruttura. 

SafeBreach può aiutare la tua azienda 

Se nella tua azienda qualcuno ha già installato ClawdBot, Perplexity Computer o strumenti simili, o se vuoi valutare l’impatto di agenti AI sulla tua sicurezza, SafeBreach può supportarti con: 

✅ Assessment di sicurezza specifici su AI agents: Analisi comportamentale, reverse engineering, identificazione dati esposti 
✅ Policy di governance AI: Definizione regole d’uso, logging, controlli 
✅ Red Team simulation: Test di prompt injection e lateral movement via agenti compromessi 
✅ Formazione team tecnici: Consapevolezza rischi AI agentica e difese operative 

info@safebreach.it
Visita l'Academy

Fonti e approfondimenti: 

  • CVE Database: CVE-2025-49596, CVE-2025-6514, CVE-2025-52882 
Taggato , , , , ,