Una mattina di martedi di gennaio 2026, un ricercatore di sicurezza ha pubblicato su GitHub un exploit proof-of-concept. Il titolo era sobrio: "OpenClaw WebSocket Origin Bypass". L'impatto non lo era.
L'exploit era elegante nella sua semplicita. Un attaccante poteva creare una pagina web malevola. Quando un utente OpenClaw visitava quella pagina, il JavaScript si connetteva silenziosamente all'istanza OpenClaw ed eseguiva comandi arbitrari. Nessuna autenticazione richiesta. Accesso completo alla macchina.
CVE-2026-25253 ha ottenuto un punteggio di 8.8 sulla scala CVSS. La comunita della sicurezza lo ha definito critico. Il team OpenClaw lo ha inizialmente definito una limitazione nota dell'architettura WebSocket.
La cronologia
Il primo CVE e emerso il 14 gennaio. Entro 48 ore, le scansioni Shodan hanno rivelato oltre 42.000 istanze OpenClaw pubblicamente esposte su internet. Molte erano deployment aziendali con accesso a file system interni, database e credenziali nelle variabili d'ambiente.
Prima della prima patch, e emerso CVE-2026-26327: un bypass dell'autenticazione. Due vulnerabilita critiche nella stessa settimana, entrambe sfruttabili da remoto, che colpivano le stesse 42.000+ istanze esposte.
Poi e emersa la situazione ClawHub. I ricercatori hanno scoperto che il 41,7% delle skill pubblicate conteneva vulnerabilita. Centinaia di skill malevole erano state caricate silenziosamente. XDA Developers ha pubblicato "Per favore smettete di usare OpenClaw". E diventato virale.
Perche non e stata solo sfortuna
Queste vulnerabilita non erano casuali. Erano la conseguenza prevedibile di specifiche decisioni architetturali prese anni prima, quando OpenClaw era un progetto del weekend e la sicurezza non era la preoccupazione principale.
Il modello di fiducia WebSocket era il primo problema. L'interfaccia web di OpenClaw accetta connessioni WebSocket senza validare l'header Origin. Questa e una classe di vulnerabilita ben documentata nota dal 2012. La correzione e semplice: controllare l'header Origin. Ma correggerla avrebbe rotto l'ecosistema di plugin, quindi e stata rinviata finche non e diventata CVE-2026-25253.
Il secondo problema erano i permessi a livello OS. Quando installi una skill OpenClaw, viene eseguita con gli stessi permessi del processo OpenClaw stesso. Nessun sandboxing, nessun modello di capability.
Il terzo problema era la supply chain JavaScript. Il node_modules di OpenClaw contiene 1.200+ pacchetti. Le skill malevole su ClawHub hanno sfruttato questo con il typosquatting.
Come appare la sicurezza by design
ZeroClaw e stato costruito con un diverso insieme di assunzioni. Non aggiungeremo la sicurezza dopo ma i vincoli di sicurezza plasmano l'architettura dal primo giorno.
Il sistema di ownership di Rust elimina intere classi di vulnerabilita in fase di compilazione. Buffer overflow, use-after-free, data race sono errori di compilazione.
Il gateway pairing sostituisce l'autenticazione con password per l'accesso remoto. ZeroClaw richiede il pairing crittografico tra client e gateway.
Il modello allowlist deny-by-default significa che ogni tool, percorso file ed endpoint di rete deve essere esplicitamente autorizzato prima che un agente possa accedervi.
L'architettura single binary elimina completamente la superficie di attacco della supply chain. Non c'e node_modules, nessun registro di pacchetti, nessuna dipendenza transitiva da auditare.
Effettuare il passaggio
Installa ZeroClaw con un singolo comando:
Esegui prima lo strumento di migrazione in modalita dry-run:
Quando sei soddisfatto, esegui la migrazione effettiva:
Cosa dovrebbe imparare il settore
La crisi OpenClaw non e una storia sui fallimenti di sicurezza di un singolo progetto. E una storia su cosa succede quando il software infrastrutturale viene costruito con le assunzioni di uno strumento di scripting.
Gli agenti AI gestiscono credenziali, accedono a file system, eseguono codice e funzionano 24/7. Sono infrastruttura, non script. La sicurezza non puo essere retrofittata su un'architettura permissiva. Deve essere progettata dall'inizio.
La domanda non e se il tuo agente AI sara preso di mira. E se la tua architettura e stata costruita per resistere quando accade.