OpenClaw avvelenato: 341 skills malevoli e Atomic macOS Stealer, mentre RoundCube entra nel mirino KEV

C’è un filo che nel 2026 collega due mondi che fino a ieri sembravano separati: i marketplace delle estensioni per agenti AI e i vecchi bersagli “stabili” delle intrusioni, come la webmail open-source. Da una parte, Trend Micro descrive una campagna che sfrutta skills OpenClaw apparentemente utili per consegnare una variante di Atomic macOS Stealer (AMOS). Dall’altra, CISA aggiorna il proprio catalogo KEV includendo due vulnerabilità sfruttate in RoundCube Webmail, spingendo la remediation in cima alla lista per le reti federali e, di riflesso, per chiunque gestisca posta esposta su internet. Il punto, però, non è la somma di due notizie. Il punto è l’evoluzione del modello di fiducia: ieri la supply chain era “solo” pacchetti, librerie, dipendenze. Oggi diventa anche skills, plugin, “utilità” pronte all’uso che un agente esegue al posto tuo, con la tua identità, i tuoi token e i tuoi privilegi. L’effetto pratico è brutale. Un utente o un team installa una skill da un hub “ufficiale” perché sembra risolvere un problema concreto, magari legato allo sviluppo o all’automazione. Quella stessa skill, invece, scarica payload, offusca comandi, sfrutta prompt e scorciatoie psicologiche come ClickFix e finisce per consegnare uno stealer progettato per rubare credenziali, sessioni, wallet crypto, chiavi private, token API. In parallelo, le vulnerabilità webmail rimangono una porta laterale molto redditizia: quando una falla entra nel KEV, significa che l’exploit non è teoria ma pratica, e che l’ecosistema degli attori opportunisti e dei gruppi più strutturati ha già capito come monetizzarla.

OpenClaw e il mercato delle skills come nuova superficie d’attacco

OpenClaw si presenta come un agente AI estendibile, un ecosistema in cui le skills funzionano come “mani” che eseguono azioni: scrivono codice, chiamano API, automatizzano workflow, interrogano servizi esterni, orchestrano tool locali. Questo modello è potente perché sposta la complessità dall’utente all’agente, ma proprio per questo crea un presupposto pericoloso: se l’agente si fida, allora anche l’utente si fida. E se una skill appare popolare o “ben nominata”, diventa ancora più facile installarla senza verifiche reali. È qui che la campagna descritta entra in scena: gli attori malevoli costruiscono skills che fingono utilità e replicano naming e branding di tool legittimi. Il dettaglio non è cosmetico, è operativo. Una skill che si chiama come un coding agent credibile, o come un plugin “pronto per la produttività”, entra in un flusso naturale di lavoro. L’utente non sta “scaricando un eseguibile”, sta aggiungendo una capacità al proprio agente. E proprio perché l’azione appare “alta” e astratta, i controlli mentali tipici del download di malware si abbassano.

La supply chain, in questo scenario, non passa solo dal codice. Passa dalla reputazione del marketplace, dai segnali social, dalle stelle su un repository, dai fork, dalla descrizione che promette efficienza. Il risultato è che l’attacco diventa un avvelenamento progressivo: cloni, varianti, repliche, piccole modifiche che cambiano l’intero significato di una funzione. E quando l’ecosistema è open-source e il tasso di contributi è alto, l’avversario trova terreno fertile per nascondersi.

ClawHub e ClawHavoc: il poisoning su larga scala

Nel tuo input emerge una narrativa precisa: Antiy Labs parla di ClawHavoc come campagna di poisoning nel mercato delle skills, con ClawHub che funge da punto di distribuzione e, in apparenza, da “casa” per plugin open-source. La dinamica tipica di questi casi non è il singolo payload, ma la riproducibilità. Se un attaccante può clonare, rinominare e ripubblicare una skill in pochi minuti, allora può anche industrializzare la presenza malevola e aumentare le probabilità che qualcuno, prima o poi, installi “quella sbagliata”.

Il dato più pesante è quello attribuito a Koi Security: 341 skills malevoli rilevate su ClawHub con capacità di distribuire AMOS e altri stealer, sfruttando anche tecniche di inganno basate su interazioni guidate. Non è più il malware che si intrufola in un host con un exploit, ma una componente che si fa installare perché “serve”. È un cambio di paradigma che sposta la responsabilità dal perimetro tecnico al perimetro sociale, e rende la difesa molto più difficile se l’organizzazione non ha policy specifiche per l’adozione di estensioni e automazioni.

In questa cornice, il poisoning assomiglia sempre di più a una campagna pubblicitaria al contrario: l’obiettivo è comparire dove si installa, non dove si clicca. Se il marketplace diventa il canale di distribuzione, allora il ciclo di infection non passa più dal classico phishing massivo. Passa da un gesto di configurazione, spesso ripetuto e delegato, che in molti team è considerato “normale manutenzione” dell’agente.

Bitdefender e il 17%: quando la metrica diventa un segnale strutturale

Il valore che citi da Bitdefender è un altro nodo. Dire che il 17% delle skills osservate risulta malevolo non è solo una statistica: è un indicatore di saturazione. Significa che l’avversario non sta facendo esperimenti, sta popolando l’ecosistema. Significa che il controllo qualità e la moderazione non reggono la velocità con cui le varianti vengono create, e che l’utente medio non ha strumenti pratici per distinguere una skill “buona” da una skill “clonata” con un payload nascosto. L’uso di nomi “credibili” come speckit-coding-agent o varianti con suffissi casuali è un meccanismo di confusione che sfrutta due bias. Il primo è l’abitudine: se ho già visto un nome simile, lo considero familiare. Il secondo è la delega: se sto installando qualcosa per un agente, l’azione mi sembra indiretta, e quindi meno rischiosa. In mezzo, ci sono repository che ospitano codice che scarica stealer, spesso senza mostrare chiaramente cosa avviene davvero, perché i comandi sono offuscati, i link sono su paste site, e la logica “pericolosa” è nascosta in funzioni secondarie.

La parte che cambia il gioco è l’offuscamento leggero ma efficace: non servono tecniche da APT quando l’obiettivo è passare inosservati in un mare di plugin. Bastano comandi base64, fetch dinamici, esecuzione di script remoti, e un pacchetto che fa “anche” la cosa promessa. In altre parole, non si tratta necessariamente di un plugin vuoto e malevolo, ma di un plugin funzionale che contiene una seconda pista.

Atomic macOS Stealer: perché AMOS è perfetto per il modello “skill”

Atomic macOS Stealer, identificato spesso come AMOS, si inserisce perfettamente in questa architettura perché è un malware che vive di contesto: credenziali, sessioni, token, wallet, dati di browser e app. In un ambiente in cui un agente AI viene usato per coding, automazione, gestione di cloud, accesso a strumenti DevOps o perfino gestione di portafogli e pagamenti, il valore dei dati disponibili su un host macOS cresce. Non è solo “furto di password”, è furto di capacità operativa: ciò che ti permette di lavorare, distribuire, accedere.

La catena descritta nel tuo testo è coerente con il pattern moderno degli stealer: la skill avvia un flusso che appare legittimo, poi esegue una porzione di codice che recupera un binario. Il download non avviene per forza da un dominio che grida “malware”, ma da risorse che possono sembrare tecniche, come un snippet hosting o un repository. Da lì si passa al payload finale, che su macOS punta a raccogliere rapidamente tutto ciò che può essere monetizzato: sessioni di servizi, credenziali salvate, dati di wallet crypto, chiavi o seed dove l’utente è stato imprudente, e token che consentono accesso a sistemi esterni. In uno scenario del genere, la gravità non sta solo nel furto. Sta nel tempo di reazione. Se un agente è compromesso e continua a operare, può generare ulteriori esposizioni: nuovi token, nuove sessioni, nuove credenziali. È un moltiplicatore.

ClickFix come “bypass umano”: la scorciatoia che disinnesca l’istinto di difesa

ClickFix è la parte più inquietante perché rende la difesa “classica” quasi ininfluente. La logica è semplice: l’attaccante induce l’utente a copiare e incollare un comando con una motivazione apparentemente tecnica, spesso presentata come passaggio necessario per completare l’installazione o risolvere un errore. Questo schema scavalca avvisi e frizioni perché sposta l’azione sul piano del troubleshooting. L’utente non sente di star aggirando la sicurezza, sente di star sistemando qualcosa. Nel mondo delle skills, questa dinamica è perfetta. Il contesto è già tecnico, l’utente si aspetta di interagire con terminale o script, e l’installazione di plugin spesso richiede passaggi manuali. Se a questo si aggiunge un comando offuscato, magari con base64, l’utente medio non lo decodifica. E se lo decodifica, potrebbe comunque non cogliere l’impatto reale perché l’operazione avviene in un ambiente che sembra controllato.

Questa è la ragione per cui l’avvelenamento del marketplace AI non è un problema “di nicchia”. È un problema di design della fiducia: se l’installazione si basa su prompt e comandi, allora la linea tra installazione e compromissione diventa sottilissima. E l’attaccante può spostare quella linea con una sola frase.

Trellix, Trend Micro, Antiy, Koi: la convergenza delle letture e il rischio “ecosistema”

Non è un incidente isolato, è un trend. Trend Micro inquadra l’abuso delle skills come vettore di distribuzione. Antiy Labs dà un nome a una campagna ampia, ClawHavoc, suggerendo un’operazione pensata per scalare. Koi Security fornisce una misura volumetrica che indica presenza massiccia. Bitdefender quantifica un tasso di malevolenza che, se vicino alla realtà operativa, impone misure di governance che molti team oggi non hanno. La somma di queste letture porta a un’implicazione chiara: i marketplace di estensioni AI, se non implementano filtri robusti e verifiche, diventano una supply chain attack di default. Non serve più violare un provider. Basta infiltrarsi nel canale dove le persone installano capacità operative. In questo scenario, i target non sono solo utenti individuali. Sono team di sviluppo, operatori IT, professionisti che usano agenti per lavorare su infrastrutture e cloud, persone che maneggiano credenziali e asset digitali di alto valore. E macOS, con la sua diffusione nel mondo dev e creativo, diventa una piattaforma appetibile, soprattutto quando lo stealer è già pronto, collaudato e orientato a monetizzazione rapida.

CISA e RoundCube Webmail: quando il KEV diventa una sirena operativa

In parallelo alla storia OpenClaw, c’è un terreno più “classico” ma non meno attuale: RoundCube Webmail e l’inserimento nel catalogo Known Exploited Vulnerabilities di CVE-2025-49113 e CVE-2025-68461. Il fatto che CISA le aggiunga al KEV implica che sono osservate come sfruttate attivamente. E in un contesto dove la posta rimane un asset critico, RoundCube continua a essere un bersaglio naturale: diffusione ampia, installazioni spesso non aggiornate, esposizione diretta. Nel tuo testo, la descrizione è netta: CVE-2025-49113 riguarda una deserializzazione di dati non fidati, un pattern che spesso, in ambiente web, può portare a esiti pesanti fino a esecuzione di codice in certe condizioni. CVE-2025-68461 riguarda una cross-site scripting, che può essere “meno devastante” a livello infrastrutturale ma potentissima per furto di sessioni, impersonificazione e compromissione dell’identità dell’utente all’interno della webmail. In pratica, la XSS è spesso un ponte: si entra dall’utente, si scala verso l’organizzazione.

• CVE-2025-49113 RoundCube Webmail Deserialization of Untrusted Data Vulnerability
• CVE-2025-68461 RoundCube Webmail Cross-site Scripting Vulnerability

Qui entra in gioco la direttiva BOD 22-01 per le agenzie FCEB. Quando CISA formalizza una scadenza e una priorità, spinge un’intera filiera a muoversi, e in molti casi quel movimento si riflette anche sul settore privato perché gli attaccanti, sapendo che il patching accelera nel pubblico, cercano rapidamente installazioni lasciate indietro altrove. È la dinamica del “trailing edge”: chi aggiorna tardi diventa più prezioso.

Il punto di contatto tra OpenClaw e RoundCube: fiducia, automazione, identità

Apparentemente, OpenClaw e RoundCube non c’entrano nulla. Uno è un ecosistema di agenti AI, l’altro è una webmail. In realtà, il contatto è l’identità. Nel 2026 gli attacchi più efficaci non cercano solo vulnerabilità tecniche, cercano contesti di fiducia in cui l’utente delega. Nel caso OpenClaw, delega all’agente e alle skills. Nel caso RoundCube, delega alla webmail e alle sessioni. In entrambi i casi, l’obiettivo è rubare accesso, rubare continuità operativa, rubare credenziali e token, rubare la possibilità di agire “come te”. C’è anche una seconda convergenza: l’operatività in tempo reale. Un agente AI con skills malevole può esfiltrare token appena generati, perché lavora nel flusso di lavoro. Una webmail compromessa può essere usata per intercettare comunicazioni e resettare credenziali di servizi esterni, perché la posta è spesso la chiave di recupero di tutto il resto. L’avversario non deve più scegliere tra endpoint e web app. Può incastrare i due piani, e l’utente finisce nel mezzo.

Implicazioni per macOS, team di sviluppo e organizzazioni

Per gli utenti macOS, la lezione è diretta: una skill non è “solo codice”, è un’estensione di fiducia. Se una skill può eseguire comandi e scaricare binari, allora deve essere trattata come un software a tutti gli effetti, con controlli, reputazione verificabile e, idealmente, esecuzione in ambiente limitato. Per i team, il problema è di governance. Se in azienda si consente l’uso di agenti AI estendibili, allora serve una policy su quali marketplace sono ammessi, su quali repository sono affidabili, su come si valida una skill, su come si gestiscono i token. Il rischio, altrimenti, è che una singola installazione “utile” diventi un furto di credenziali con impatto a catena. Per chi gestisce posta, RoundCube ricorda una verità vecchia e sempre attuale: le webmail esposte sono bersagli persistenti. L’inserimento nel KEV suggerisce priorità assoluta per patching, auditing e monitoraggio. Anche perché la posta è spesso il punto in cui l’attaccante consolida il controllo, recupera credenziali, e costruisce persistenza sociale tramite comunicazioni credibili.

Difese pratiche in un mondo di skills e KEV

In questo scenario, la difesa efficace non è una singola misura, ma un cambio di postura. Per le skills, serve un approccio che tratti ogni estensione come un pacchetto di supply chain: verifica del repository, controllo di comandi offuscati, diff tra versioni, attenzione a script remoti e link su paste site. Ogni presenza di base64 “non spiegato” deve essere un campanello d’allarme, non un dettaglio tecnico. Per macOS, le soluzioni endpoint restano importanti, ma diventano decisive anche le misure di controllo sull’esecuzione: limitazioni, monitoraggio dei processi anomali, visibilità sulle richieste di rete generate da tool “insospettabili”. La differenza la fa la telemetria, perché gli stealer spesso puntano a muoversi rapidamente e a esfiltrare via canali relativamente standard. Per RoundCube e servizi web esposti, la priorità è la velocità di patching e la riduzione della superficie: aggiornamenti, hardening, monitoraggio dei log, controllo delle sessioni, e una gestione dell’autenticazione che riduca l’impatto della compromissione. Quando una CVE entra nel KEV, non è più un “se”, è un “quanto tempo”.

Evoluzione 2026: l’attacco AI-assisted come modello economico

La fotografia complessiva che emerge è una: il cybercrime sta adattando la propria economia alla nuova infrastruttura della produttività. Se la produttività passa per agenti e marketplace, l’attacco passa per agenti e marketplace. Se la posta rimane la centrale di controllo dell’identità, l’attacco continua a colpire la posta con vulnerabilità note e sfruttate. La conseguenza è che nel 2026 la sicurezza non può limitarsi a “non cliccare link”. Deve includere “non installare fiducia”, soprattutto quando la fiducia si presenta come un plugin che promette di renderti più veloce. E deve includere “non rimandare patch”, soprattutto quando la vulnerabilità è già diventata un pezzo del toolkit degli attaccanti.