Anatomia della Sicurezza di OpenClaw: Cosa Hanno Trovato i 35 Agenti di AiSec nell'Agente IA Piu Popolare al Mondo

Gli agenti IA non sono piu sperimentali. Scrivono codice, gestiscono infrastrutture, gestiscono interazioni con i clienti e prendono decisioni che influenzano milioni di persone. Ma mentre l'industria si e ossessionata con le capacita — quanti strumenti puo usare un agente, quanti token puo elaborare, quanto autonomamente puo operare — la sicurezza e stata trattata come un aspetto secondario. L'assunzione sembra essere che se un agente IA e abbastanza popolare, deve essere abbastanza sicuro. Quell'assunzione e sbagliata.

Abbiamo costruito AiSec (github.com/fboiero/AiSec) per testare quell'assunzione sistematicamente. AiSec e un framework di sicurezza IA open-source che distribuisce 35 agenti IA specializzati per scansionare sistemi IA alla ricerca di vulnerabilita — dall'iniezione di prompt e escape dalla sandbox alla fuga di dati e lacune di conformita. Abbiamo deciso di eseguirlo contro il bersaglio piu grande che potessimo trovare: OpenClaw, l'agente IA piu popolare al mondo con 191.000 stelle su GitHub. Quello che abbiamo trovato in 4 minuti e 12 secondi dovrebbe preoccupare ogni organizzazione che distribuisce agenti IA in produzione.

Cos'e OpenClaw?

OpenClaw e il framework di agenti IA open-source piu popolare al mondo, con oltre 191.000 stelle su GitHub e una comunita attiva di migliaia di contributori. Fornisce un'architettura general-purpose per costruire agenti IA che possono usare strumenti, eseguire codice, navigare il web, interagire con API e concatenare flussi di lavoro complessi multi-step. La sua popolarita deriva dalla sua flessibilita: gli agenti OpenClaw possono essere configurati per qualsiasi cosa, dagli assistenti chatbot semplici agli agenti di codifica autonomi, pipeline di analisi dati e automazione dei flussi di lavoro aziendali.

L'architettura di OpenClaw segue il pattern agentico ormai standard: un nucleo di modello linguistico con accesso a un registro di strumenti, un sistema di memoria per mantenere il contesto tra le interazioni e un motore di esecuzione che orchestra il completamento di task multi-step. Supporta piu backend LLM, set di strumenti personalizzabili e architetture di plugin estensibili. Questa flessibilita e sia la sua forza che — da una prospettiva di sicurezza — la sua superficie di rischio piu significativa. Ogni punto di estensione e un potenziale vettore di attacco. Ogni integrazione di strumento e un confine di privilegi che puo essere attraversato.

La Sfida: Perche Auditare l'Agente IA Piu Popolare?

Auditare OpenClaw non significava trovare difetti nei suoi manutentori — che hanno costruito qualcosa di genuinamente impressionante. Si trattava di rispondere a una domanda che conta per l'intero ecosistema IA: quanto e sicuro il framework di agenti IA piu testato, piu revisionato e piu distribuito? Se OpenClaw ha lacune di sicurezza significative, cosa ci dice questo sulle centinaia di framework di agenti meno scrutinati distribuiti in produzione?

Le audit di sicurezza tradizionali dei sistemi IA sono lente, costose e incomplete. Un penetration tester umano potrebbe passare settimane a revisionare un framework di agenti e comunque perdere classi di vulnerabilita in cui non e specializzato. L'esperto di iniezione di prompt potrebbe non individuare l'escape dalla sandbox. L'auditor di conformita potrebbe non identificare il percorso di fuga dei dati. Avevamo bisogno di uno strumento che potesse coprire l'intera superficie di attacco — ogni classe di vulnerabilita, ogni framework di conformita, ogni livello dell'architettura dell'agente — in minuti, non settimane. Per questo abbiamo costruito AiSec.

AiSec: 35 Agenti, Una Missione

AiSec (github.com/fboiero/AiSec) e un framework di sicurezza IA open-source sviluppato da Xcapit. Adotta un approccio fondamentalmente diverso alla valutazione della sicurezza IA: invece di eseguire un singolo scanner con una checklist di regole, AiSec distribuisce 35 agenti IA specializzati, ciascuno addestrato e configurato per rilevare una classe specifica di vulnerabilita. Questi agenti lavorano in parallelo, condividendo il contesto attraverso un livello di coordinamento che consente la correlazione tra agenti — trovando catene di vulnerabilita che nessun singolo agente rileverebbe da solo.

I 35 agenti includono PromptInjectionAgent (che testa vettori di iniezione diretta, indiretta e multi-turno), SandboxEscapeAgent (che sonda i confini dell'esecuzione del codice e gli escape dai container), DataLeakageAgent (che traccia i flussi di dati per l'esposizione di informazioni sensibili), ToolChainAgent (che analizza i percorsi di escalation dei privilegi tra strumenti), AuthenticationAgent (che testa i meccanismi di identita e controllo degli accessi) e ComplianceAgent (che mappa i risultati ai requisiti normativi e di framework). Agenti aggiuntivi coprono l'integrita della supply chain, i vettori di avvelenamento dei modelli, il rate limiting, la sicurezza API, l'iniezione di memoria, gli attacchi di serializzazione e altro.

L'Architettura di Analisi a 5 Livelli

AiSec organizza la sua analisi in cinque livelli distinti, ciascuno rivolto a un aspetto diverso della postura di sicurezza del sistema IA. Questo approccio stratificato garantisce una copertura completa — dalle vulnerabilita del codice a basso livello alle lacune di conformita ad alto livello.

• Livello 1 — Analisi Statica: Scansione del codice sorgente per segreti hardcoded, pattern insicuri, vulnerabilita delle dipendenze e debolezze di configurazione. Gli agenti statici di AiSec hanno analizzato oltre 340.000 righe di codice OpenClaw in 2.100 file in 47 secondi.
• Livello 2 — Analisi Dinamica: Test runtime del comportamento dell'agente in condizioni avversarie. Gli agenti inviano input appositamente creati, osservano le invocazioni degli strumenti, monitorano l'accesso alle risorse e testano le condizioni limite. Questo livello ha identificato 28 dei 63 risultati.
• Livello 3 — Analisi dell'Architettura: Valutazione dei pattern di progettazione del sistema, dei confini dei privilegi, dei percorsi di flusso dei dati e delle relazioni di fiducia. Il ToolChainAgent e l'AuthenticationAgent operano principalmente a questo livello, identificando debolezze strutturali che abilitano attacchi multi-step.
• Livello 4 — Analisi del Flusso dei Dati: Tracciamento end-to-end di come i dati utente, il contesto delle conversazioni e gli output degli strumenti fluiscono attraverso il sistema. Il DataLeakageAgent traccia le informazioni sensibili dall'ingestione attraverso l'elaborazione fino allo storage, identificando i punti in cui i dati escono dal loro confine previsto.
• Livello 5 — Mappatura della Conformita: Correlazione automatizzata di tutti i risultati dai livelli 1-4 contro 8 framework di sicurezza. Ogni risultato riceve valutazioni di severita specifiche per framework, guida alla remediation e valutazioni dell'impatto sulla conformita.

Risultati: 63 Scoperte in 4 Minuti

AiSec ha completato la sua analisi completa di OpenClaw in 4 minuti e 12 secondi. I 35 agenti hanno identificato collettivamente 63 risultati di sicurezza attraverso tutti e cinque i livelli di analisi. La distribuzione per severita e stata significativa: 8 risultati critici che richiedono attenzione immediata, 15 risultati di severita alta con percorsi di attacco sfruttabili, 22 risultati di severita media che rappresentano lacune nella difesa in profondita e 18 risultati di severita bassa che coprono opportunita di hardening e deviazioni dalle best practice.

• Critici (8): Vettori di iniezione di prompt con esecuzione di codice dimostrata, percorsi di escape dalla sandbox, esposizione di dati sensibili nello storage persistente, concatenamento di strumenti senza restrizioni che abilita l'escalation dei privilegi
• Alti (15): Validazione dell'input insufficiente sui parametri degli strumenti, rate limiting mancante sui loop degli agenti, isolamento debole tra le sessioni utente, configurazioni predefinite insicure per il caricamento dei plugin, esposizione delle chiavi API attraverso messaggi di errore
• Medi (22): Logging incompleto degli eventi rilevanti per la sicurezza, verifiche di integrita mancanti sul codice dei plugin, controlli di timeout insufficienti sulle chiamate API esterne, configurazioni CORS eccessivamente permissive, assenza di policy di sicurezza dei contenuti per gli output renderizzati
• Bassi (18): Risultati informativi tra cui versioni di dipendenze deprecate, pattern di gestione degli errori non standard, header di sicurezza mancanti sugli endpoint interni, lacune nella documentazione per le opzioni di configurazione della sicurezza

Approfondimento sui Risultati Critici

CVE-2026-25253: Iniezione di Prompt Multi-Vettore

Il PromptInjectionAgent ha identificato una vulnerabilita critica di iniezione di prompt che consente a un attaccante di sovrascrivere le istruzioni di sistema di OpenClaw attraverso contenuto manipolato in fonti di dati esterne. L'attacco sfrutta il fatto che OpenClaw elabora gli output degli strumenti — inclusi contenuti di pagine web, contenuti di file e risposte API — nello stesso contesto delle istruzioni di sistema, senza un'applicazione adeguata dei confini. Un attaccante che controlla qualsiasi contenuto che l'agente recupera (una pagina web, un documento, un repository di codice) puo incorporare istruzioni che l'agente eseguira con il suo accesso completo agli strumenti.

Il PromptInjectionAgent ha dimostrato questa vulnerabilita attraverso tre vettori di attacco indipendenti: istruzioni nascoste in commenti markdown all'interno di documenti recuperati, caratteri di controllo Unicode che ristrutturano il contesto del prompt e manipolazione del contesto multi-turno che gradualmente devia il seguimento delle istruzioni dell'agente. Ogni vettore e stato confermato sfruttabile sulla configurazione predefinita, e due sono rimasti sfruttabili anche con la 'modalita rigorosa' opzionale di OpenClaw abilitata. Questo risultato e stato assegnato come CVE-2026-25253 e colpisce tutte le versioni precedenti all'ultima patch di sicurezza.

Escape dalla Sandbox Attraverso l'Esecuzione del Codice

Il SandboxEscapeAgent ha scoperto che la sandbox di esecuzione del codice di OpenClaw — l'ambiente in cui viene eseguito il codice richiesto dall'utente — ha un isolamento insufficiente dal sistema host. Attraverso una sequenza di richieste di esecuzione del codice attentamente progettate, un agente puo accedere al filesystem dell'host oltre la sua directory sandbox designata, leggere variabili d'ambiente (incluse chiavi API e credenziali memorizzate nell'ambiente shell) e, in certe configurazioni, stabilire connessioni di rete in uscita per esfiltrare dati.

Il percorso di escape sfrutta una race condition nella sequenza di inizializzazione della sandbox: durante la finestra di 200 millisecondi tra la creazione del processo e l'applicazione della policy della sandbox, il codice eseguito ha accesso all'ambiente host senza restrizioni. Il SandboxEscapeAgent ha automatizzato lo sfruttamento di questa finestra, dimostrando un accesso affidabile in lettura ai file di /etc/passwd, estrazione di variabili d'ambiente e esfiltrazione di dati basata su DNS — tutto dall'interno di quello che gli utenti credono essere una sandbox di esecuzione isolata.

Esposizione di Dati Sensibili nei Log delle Conversazioni

Il DataLeakageAgent ha tracciato il flusso dei dati di OpenClaw e ha identificato che le cronologie delle conversazioni — che contengono regolarmente chiavi API, password, informazioni personali e codice proprietario condiviso dagli utenti — sono memorizzate in testo in chiaro sul filesystem locale con permessi che consentono l'accesso da parte di qualsiasi processo in esecuzione sotto lo stesso account utente. Nei deployment multi-utente (che rappresentano una percentuale significativa delle installazioni aziendali di OpenClaw), cio significa che i dati delle conversazioni di qualsiasi utente sono potenzialmente accessibili ai processi di altri utenti.

Escalation dei Privilegi Attraverso il Concatenamento degli Strumenti

Il ToolChainAgent ha identificato un percorso critico di escalation dei privilegi in cui un agente con accesso a un set limitato di strumenti puo concatenare invocazioni di strumenti per ottenere capacita oltre i suoi permessi previsti. Specificamente, l'agente ha dimostrato che uno strumento con accesso in sola lettura al filesystem puo invocare lo strumento di esecuzione del codice per scrivere file, che a loro volta possono essere usati per modificare la configurazione dell'agente stesso per concedere accesso a strumenti aggiuntivi. Questa capacita di auto-modifica elude efficacemente qualsiasi modello di permessi applicato a livello di configurazione.

Correlazione Cross-Framework: 8 Framework, Un Report

Una delle capacita piu potenti di AiSec e la correlazione cross-framework automatizzata. Ogni risultato viene mappato su tutti i controlli applicabili attraverso 8 framework di sicurezza simultaneamente: OWASP Top 10 per LLM (2025), NIST AI Risk Management Framework (AI RMF), MITRE ATLAS (Adversarial Threat Landscape for AI Systems), ISO 42001 (AI Management System), EU AI Act (classificazioni di rischio e requisiti), OWASP Application Security Verification Standard (ASVS), CIS Controls v8 e NIST Cybersecurity Framework 2.0.

Questa mappatura cross-framework non e solo un esercizio accademico — e operativamente critica. Un CISO che deve riportare la postura di sicurezza IA al consiglio di amministrazione mappa i risultati a NIST CSF. Un team di conformita che si prepara per i requisiti dell'EU AI Act mappa i risultati alle categorie di rischio del regolamento. Un team di sviluppo che prioritizza le correzioni mappa i risultati a OWASP per una guida di remediation azionabile. AiSec genera tutte queste viste da una singola scansione, eliminando lo sforzo manuale di cross-referenziare i risultati tra framework.

Per l'analisi di OpenClaw, la correlazione cross-framework ha rivelato che 6 degli 8 risultati critici si mappano a OWASP LLM01 (Iniezione di Prompt) o LLM06 (Divulgazione di Informazioni Sensibili). Sotto l'EU AI Act, l'uso di OpenClaw nel processo decisionale autonomo lo classificherebbe come ad alto rischio, attivando requisiti obbligatori per trasparenza, supervisione umana e test di sicurezza — requisiti che l'architettura attuale non soddisfa completamente. Sotto NIST AI RMF, i risultati si raggruppano nelle funzioni GOVERN e MAP, indicando che le cause radice sono decisioni di governance architetturale piuttosto che bug di implementazione.

Cosa Hanno Fatto Bene i Manutentori di OpenClaw

Un audit di sicurezza che evidenzia solo i fallimenti da un'immagine incompleta. I manutentori di OpenClaw hanno preso diverse decisioni di sicurezza solide che altri framework di agenti dovrebbero emulare. Il progetto ha un modello di permessi completo che, sebbene aggirabile attraverso la vulnerabilita di concatenamento degli strumenti descritta sopra, fornisce un'architettura chiara per limitare le capacita dell'agente — le fondamenta sono solide anche se l'implementazione ha delle lacune. La sandbox di esecuzione del codice esiste e applica correttamente le restrizioni in operazione stabile — la vulnerabilita della race condition e un problema di timing, non un'assenza di design.

Il processo di risposta alla sicurezza di OpenClaw e esemplare. Quando abbiamo segnalato i risultati critici attraverso il loro programma di divulgazione responsabile, i manutentori hanno riconosciuto tutti gli 8 risultati critici entro 48 ore, hanno confermato la riproducibilita entro una settimana e avevano le patch in revisione entro due settimane. Questo tempo di risposta pone OpenClaw davanti al 90% dei progetti open-source con cui abbiamo lavorato. Il progetto mantiene anche una pagina di advisory di sicurezza, supporta release firmate e ha un programma attivo di bug bounty — pratiche che dimostrano un impegno genuino verso la sicurezza.

Implicazioni per l'Ecosistema degli Agenti IA

Se il framework di agenti IA piu popolare e piu scrutinato ha 8 vulnerabilita critiche di sicurezza, lo stato dell'ecosistema piu ampio e preoccupante. OpenClaw beneficia di 191.000 paia di occhi, un team di sicurezza dedicato, un programma di divulgazione responsabile e ora un'analisi di AiSec. La maggior parte dei framework di agenti IA distribuiti in produzione non ha nessuno di questi vantaggi. Sono costruiti da team piccoli, distribuiti senza revisione di sicurezza e operati con fiducia implicita nel comportamento dell'agente.

I risultati di questa analisi indicano problemi sistemici in come l'industria costruisce agenti IA. Le difese contro l'iniezione di prompt non sono ancora pratica standard — la maggior parte dei framework elabora contenuti esterni nello stesso contesto delle istruzioni di sistema. L'isolamento della sandbox e trattato come un dettaglio implementativo piuttosto che un confine critico di sicurezza. I dati a riposo raramente sono crittografati. I modelli di permessi sono consultivi piuttosto che applicati. Questi non sono bug di OpenClaw specificamente; sono pattern ripetuti attraverso l'intero ecosistema di agenti. L'industria ha bisogno di un cambiamento fondamentale: trattare la sicurezza degli agenti IA come una disciplina ingegneristica di prima classe, non come una casella da spuntare prima del lancio.

Come Eseguire AiSec sui Propri Sistemi IA

AiSec e open source e disponibile su github.com/fboiero/AiSec. Eseguirlo contro i propri sistemi di agenti IA richiede minuti, non giorni. Il framework e progettato per essere autocontenuto — non e necessario modificare il sistema target o installare agenti sull'infrastruttura di produzione. AiSec opera esternamente, sondando il target attraverso le stesse interfacce che un attaccante userebbe.

• Clonare il repository: git clone https://github.com/fboiero/AiSec.git && cd AiSec
• Installare le dipendenze: pip install -e . (Python 3.10+ richiesto)
• Configurare il target: modificare config/target.yaml con gli endpoint, l'autenticazione e i parametri di scope del proprio sistema IA
• Eseguire la scansione completa: aisec scan --target config/target.yaml --frameworks all --output report.json
• Generare report di conformita: aisec report --input report.json --format pdf --frameworks owasp-llm,nist-ai-rmf,eu-ai-act
• Per l'integrazione CI/CD: aisec scan --target config/target.yaml --fail-on critical,high --output-format junit

La scansione esegue tutti i 35 agenti in parallelo per impostazione predefinita, completando un'analisi completa in meno di 5 minuti per la maggior parte dei sistemi IA. E possibile anche eseguire singoli agenti per test mirati — ad esempio, aisec scan --agents PromptInjectionAgent,SandboxEscapeAgent per una valutazione focalizzata sulle superfici di attacco piu critiche. L'output include una guida dettagliata di remediation per ogni risultato, prioritizzata per severita e mappata ai framework di conformita rilevanti per la propria organizzazione.

In Xcapit, la sicurezza IA non e un'attivita secondaria — e centrale a tutto cio che costruiamo. AiSec e nato dalle nostre pratiche di sicurezza interne, perfezionate attraverso anni di costruzione di agenti IA per clienti enterprise nei settori fintech, energia e governo. Lo abbiamo reso open source perche crediamo che l'intero ecosistema benefici quando gli strumenti di sicurezza IA sono accessibili a tutti, non solo alle organizzazioni che possono permettersi audit di sicurezza a sei cifre. Se si vuole andare piu in profondita — configurazioni personalizzate di AiSec per la propria architettura specifica, monitoraggio continuo della sicurezza per i propri deployment IA, o un engagement completo di red team — il nostro team di cybersecurity puo aiutare. Visitare xcapit.com/services/cybersecurity per iniziare la conversazione.