C'e un momento che capita a quasi ogni team che costruisce un agente AI per la prima volta. La demo funziona magnificamente. L'agente risponde alle domande, usa gli strumenti, ricorda il contesto. Lo mostri agli stakeholder e sono impressionati. Poi qualcuno chiede: "Possiamo metterlo in produzione?"
Questa domanda rivela un divario che la maggior parte dei team sottovaluta. Gli agenti demo sono costruiti per funzionare una volta, in un ambiente controllato, con uno sviluppatore che guarda. Gli agenti di produzione devono funzionare migliaia di volte, in condizioni imprevedibili, senza nessuno che guarda. Il divario tra questi due requisiti e dove la maggior parte dei progetti di agenti AI si blocca.
La Trappola della Demo
La trappola della demo e seducente perche le demo sono genuinamente facili da costruire. I moderni framework AI rendono banale collegare un modello linguistico, dargli alcuni strumenti e fargli rispondere alle domande. La parte difficile non e farlo funzionare — e farlo continuare a funzionare.
Gli agenti demo sono tipicamente stateless. Riavviali e non si perde nulla, perche nulla e stato salvato. Non hanno autenticazione, perche lo sviluppatore che esegue la demo e fidato. Non hanno rate limiting, perche c'e solo un utente. Non hanno monitoraggio, perche lo sviluppatore puo vedere cosa sta succedendo. Non hanno gestione degli errori, perche il percorso felice e tutto cio che conta per la demo.
La produzione elimina ognuna di queste assunzioni. Gli utenti perdono il contesto quando l'agente si riavvia. Gli utenti non autorizzati trovano l'endpoint. Qualcuno invia mille messaggi in un minuto. L'agente da una risposta sbagliata e nessuno sa perche. Il provider AI va giu e l'agente crasha invece di degradare con grazia.
Cosa Richiede Davvero la Produzione
Il primo requisito e uno stato persistente e affidabile. Un agente di produzione gestisce conversazioni in corso, preferenze utente accumulate, code di attivita e contesto appreso. Quello stato deve sopravvivere ai riavvii, sopravvivere ai crash ed essere recuperabile quando qualcosa va storto.
ZeroClaw gestisce questo con SQLite in modalita WAL: conforme ACID, file singolo, sopravvive alle interruzioni di corrente. L'intero stato dell'agente vive in un file. Il backup e cp memory.db memory.db.bak. Il ripristino e cp memory.db.bak memory.db. Nessun server di database da gestire, nessun pool di connessioni da configurare.
Il secondo requisito e un modello di sicurezza che non si basa sulla fiducia. Gli agenti di produzione gestiscono credenziali reali, accedono a file system reali e interagiscono con utenti reali che cercheranno le debolezze. Il modello di sicurezza non puo essere "fidati dello sviluppatore del plugin" o "assumi che gli utenti si comportino bene." Deve essere deny-by-default: ogni strumento, ogni percorso di file, ogni endpoint di rete deve essere esplicitamente autorizzato prima che l'agente possa accedervi.
E precisamente qui che l'architettura di OpenClaw ha fallito nel 2026. Il modello di fiducia WebSocket, i permessi a livello OS delle skill e il marketplace di plugin con il 41,7% di voci vulnerabili non erano bug — erano decisioni architetturali che avevano senso per uno strumento per sviluppatori e sono diventate passivi quando quello strumento e stato deployato come infrastruttura di produzione.
Il terzo requisito e l'osservabilita. Quando un agente da una risposta sbagliata in produzione, "ha usato il contesto sbagliato" non e una diagnosi utile. Hai bisogno di request tracing dalla ricezione del messaggio alla consegna della risposta, tracking dell'utilizzo dei token per conversazione e per utente, log di esecuzione degli strumenti con input e output.
L'affidabilita e il quarto requisito. La produzione significa aspettative di uptime 24/7, il che significa riavvio automatico in caso di crash, degradazione graziosa quando il provider AI non e disponibile, retry della connessione con backoff esponenziale per i canali. Significa anche un tempo di cold start che non crea interruzioni visibili agli utenti. Un agente che impiega 8 secondi per riavviarsi crea una finestra di indisponibilita. Un agente che si riavvia in 10 millisecondi e effettivamente sempre disponibile.
Il quinto requisito e il controllo dei costi. Gli agenti AI non controllati bruciano token in modi difficili da prevedere. Un singolo utente che scopre di poter avere lunghe conversazioni con il tuo agente puo generare centinaia di euro in costi API in un giorno. La produzione richiede budget di token per utente e per canale, rate limiting per prevenire abusi e routing del modello.
Cosa Sbaglia la Maggior Parte dei Framework
Il pattern e coerente tra i framework non progettati per la produzione: ottimizzano per la demo e investono poco in tutto il resto.
Il percorso felice riceve tutta l'attenzione. La gestione degli errori ottiene un try-catch che logga sulla console. La logica di retry e lasciata come esercizio per il lettore. Quando il provider AI restituisce un 429, l'agente crasha invece di mettere in coda la richiesta e riprovare con backoff.
L'efficienza delle risorse e trattata come un nice-to-have piuttosto che un moltiplicatore di costi. Un framework che usa 1 GB di RAM per una singola istanza di agente non puo scalare a deployment multi-tenant senza infrastruttura costosa. A 1 GB per istanza, hai bisogno di un server da 10.000 euro al mese. A 4 MB per istanza, basta un VPS da 50 euro al mese.
La sicurezza e il ripensamento piu comune. L'istinto e costruire prima la funzionalita e aggiungere la sicurezza dopo. Ma la sicurezza non puo essere retrofittata su un'architettura permissiva — la crisi di OpenClaw lo ha dimostrato su larga scala.
La Storia di Produzione di ZeroClaw
ZeroClaw e stato progettato per la produzione fin dall'inizio. Un singolo binario significa che il deployment consiste nel copiare un file da 12 MB. Il footprint di 4 MB di RAM significa che puoi eseguire 50 istanze di agente su un singolo VPS da 1 GB, rendendo i deployment multi-tenant economicamente fattibili. Il cold start sotto i 10 ms significa che i riavvii sono invisibili agli utenti.
La memory safety di Rust elimina intere classi di vulnerabilita a compile time. Il modello allowlist deny-by-default significa che ogni strumento, percorso di file ed endpoint di rete deve essere esplicitamente autorizzato in config.toml. SQLite con modalita WAL ti da uno stato conforme ACID in un singolo file senza server di database da gestire.
La Checklist di Produzione
Per i team che portano gli agenti AI in produzione, la checklist riguarda meno le funzionalita e piu la maturita operativa. Definisci i permessi degli strumenti esplicitamente prima del lancio. Imposta budget di token per utente e per canale prima di essere sorpreso da una fattura. Configura monitoraggio e alerting su tassi di errore e percentili di latenza. Imposta backup automatici del database di memoria. Testa deliberatamente gli scenari di fallimento: cosa succede quando il provider AI e giu? Quando il canale si disconnette? Quando il disco si riempie?
Il divario tra demo e produzione e maturita operativa. Il framework che scegli determina quanta di quella maturita e integrata rispetto a quella aggiunta in seguito.