Cyera rivela Claw Chain, una catena composta da quattro vulnerabilità critiche in OpenClaw che permette furto di dati, escalation di privilegi e persistenza completa sugli agenti AI autonomi. La piattaforma open-source, adottata da aziende per automatizzare flussi IT, assistenza clienti e integrazioni con sistemi come Telegram, Discord e Microsoft Agent 365, risulta esposta in migliaia di deployment enterprise. I ricercatori individuano le falle nel sandbox OpenShell e nel sistema di controllo accessi e segnalano il problema ai maintainer nell’aprile 2026. Tutte le vulnerabilità vengono corrette con il rilascio del 23 aprile 2026, ma tutte le versioni precedenti restano vulnerabili. La catena di attacco permette di partire da un foothold minimo ottenuto tramite plugin malevolo, prompt injection o input esterno compromesso per poi rubare credenziali, file di configurazione, token bearer, API keys e dati SaaS senza attivare i tradizionali meccanismi di difesa. Gli attaccanti possono infine ottenere privilegi owner-level e installare persistenza modificando il comportamento futuro dell’agente. La ricerca di Cyera evidenzia un problema più ampio: gli agenti AI autonomi stanno diventando una nuova execution surface con privilegi elevati, ma i modelli di sicurezza enterprise non sono ancora maturi per controllarli in modo efficace. Le organizzazioni che usano OpenClaw devono aggiornare immediatamente, ruotare tutti i segreti accessibili dagli agenti e limitare drasticamente lo scope operativo delle automazioni AI.
Cosa leggere
Cos’è OpenClaw e perché espone una nuova superficie di attacco
OpenClaw nasce alla fine del 2025 con il nome iniziale di Clawdbot come piattaforma open-source per collegare modelli linguistici avanzati direttamente a filesystem, applicazioni SaaS, ambienti di esecuzione e credenziali enterprise. Le aziende la adottano rapidamente perché semplifica la creazione di agenti autonomi capaci di gestire task IT, workflow operativi, supporto clienti e integrazioni con strumenti di comunicazione e automazione. Il vantaggio principale della piattaforma è proprio la capacità di agire con privilegi elevati e accesso diretto a dati e sistemi. Questa caratteristica, però, trasforma OpenClaw in un bersaglio estremamente appetibile. Gli agenti AI non operano più come semplici chatbot ma come processi con accesso persistente a file, API, runtime e servizi cloud. Cyera dimostra che vulnerabilità nel sandbox OpenShell e nel meccanismo MCP loopback permettono agli attaccanti di weaponizzare il comportamento “normale” dell’agente per eseguire operazioni malevole senza produrre pattern facilmente rilevabili dai sistemi di sicurezza tradizionali. La piattaforma diventa quindi una nuova execution surface enterprise che eredita i privilegi dell’ambiente in cui opera.
Claw Chain concatena quattro vulnerabilità critiche
La ricerca di Cyera identifica quattro vulnerabilità distinte che possono essere concatenate in un’unica catena di compromissione completa. La prima falla, CVE-2026-44112 con punteggio CVSS 9.6, è una vulnerabilità TOCTOU write escape nel sandbox OpenShell. L’attaccante sfrutta una race condition per reindirizzare operazioni di scrittura fuori dai confini previsti del sandbox e modificare configurazioni o installare backdoor persistenti. La seconda vulnerabilità, CVE-2026-44113 con CVSS 7.7, sfrutta un meccanismo simile sulle operazioni di lettura e permette di accedere a file esterni al mount root, inclusi credenziali di sistema, artefatti runtime e configurazioni interne. La terza falla, CVE-2026-44115 con CVSS 8.8, espone variabili di ambiente tramite heredoc non quotati e consente di ottenere API keys, token bearer e segreti che appaiono protetti durante la validazione. La quarta vulnerabilità, CVE-2026-44118 con CVSS 7.8, permette escalation di privilegi perché OpenClaw si fida del flag senderIsOwner controllato dal client senza verificare correttamente la sessione autenticata. Un processo locale con token valido può quindi assumere privilegi owner-level e controllare scheduling cron, gateway e ambiente di esecuzione.
La catena di attacco parte da plugin malevoli o prompt injection
Claw Chain si sviluppa in quattro fasi precise che trasformano un foothold iniziale minimo in compromissione completa dell’ambiente. L’attaccante ottiene prima un punto di ingresso tramite plugin malevolo, prompt injection o input esterno manipolato. Una volta entrato, sfrutta la read escape e la disclosure delle variabili di ambiente per estrarre segreti, token e credenziali. A questo punto utilizza la vulnerabilità di escalation privilegi per ottenere controllo owner-level sul runtime dell’agente. Infine applica la write escape per installare persistenza, modificare configurazioni o alterare il comportamento futuro dell’agente AI. Il punto più critico della ricerca di Cyera è che tutte queste operazioni appaiono come attività legittime dell’agente stesso. I sistemi di difesa tradizionali vedono infatti richieste e accessi provenire da un processo autorizzato che opera con permessi elevati. Questo rende estremamente difficile distinguere tra comportamento normale e attività malevola, soprattutto in ambienti dove gli agenti AI sono progettati per leggere file, usare API e interagire con servizi interni.
Gli attaccanti possono rubare token, segreti e dati SaaS
L’impatto di Claw Chain è diretto e potenzialmente devastante per ambienti enterprise. Gli attaccanti possono rubare variabili di ambiente contenenti chiavi API, token bearer e credenziali di accesso a servizi cloud. Possono leggere file di configurazione interni, artefatti runtime, prompt utente, cronologia delle conversazioni e dati raggiungibili tramite connessioni SaaS dell’agente. In ambienti regolamentati come sanità, finanza o legale questo significa possibile esposizione di PII e PHI. Le organizzazioni che espongono OpenClaw direttamente su Internet o lo integrano con sistemi sensibili senza segmentazione di rete risultano particolarmente vulnerabili. Un singolo compromise iniziale può trasformarsi rapidamente in accesso persistente all’intero runtime dell’agente e alle piattaforme collegate. Cyera sottolinea che molte aziende trattano ancora gli agenti AI come semplici strumenti di produttività, mentre in realtà operano con privilegi equivalenti o superiori a quelli di molti account amministrativi tradizionali. Questo sbilanciamento tra potenza operativa e maturità dei controlli di sicurezza crea una superficie di attacco ideale.
OpenClaw corregge le falle con la release del 23 aprile 2026
I maintainer di OpenClaw correggono tutte le vulnerabilità con il rilascio del 23 aprile 2026. Le patch coprono i GitHub Security Advisories GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh e GHSA-x3h8-jrgh-p8jx. Gli amministratori devono aggiornare immediatamente alla versione 2026.4.22 o successiva. Entro 24 ore dalla scoperta di esposizione conviene identificare tutte le istanze OpenClaw, proteggerle con autenticazione forte, limitarne l’accesso tramite firewall e ruotare ogni segreto raggiungibile dagli agenti. Le organizzazioni devono inoltre mappare con precisione quali dati e sistemi ogni agente può toccare e ridurre drasticamente i privilegi operativi secondo principi di least privilege. Gli agenti AI dovrebbero essere trattati come identità privilegiate, con monitoraggio continuo, auditing rigoroso e controllo dell’intero lifecycle operativo. Cyera suggerisce anche di rivedere plugin, prompt esterni e supply chain delle integrazioni imponendo verifiche obbligatorie prima dell’installazione o dell’esecuzione.
Gli agenti AI autonomi sfuggono ai modelli di sicurezza tradizionali
La ricerca di Cyera evidenzia un problema strutturale che va oltre OpenClaw. Gli agenti AI autonomi stanno superando i modelli di sicurezza progettati per applicazioni classiche. Un agente AI non è soltanto un software che risponde a richieste: è un runtime capace di accedere a filesystem, API, database, servizi cloud e workflow interni con privilegi elevati. Gli attaccanti possono sfruttare proprio questa capacità operativa per muoversi lateralmente nell’ambiente senza produrre segnali sospetti. I tradizionali strumenti EDR, SIEM o firewall vedono infatti l’agente operare all’interno del proprio comportamento previsto. Questo rende le prompt injection, i plugin malevoli e le escalation interne particolarmente pericolose. Cyera sottolinea la necessità di modelli di sicurezza specifici per gli execution surface AI, basati su monitoraggio comportamentale continuo, validazione rigorosa degli input, segmentazione di rete e controllo fine dei privilegi. Le aziende che adottano agenti autonomi senza ridefinire il proprio modello di sicurezza rischiano di introdurre un nuovo livello di esposizione invisibile ai controlli tradizionali.
Le aziende devono trattare gli agenti AI come identità privilegiate
Uno dei punti centrali emersi da Claw Chain è che gli agenti AI devono essere gestiti come identità privilegiate. Molte implementazioni attuali concedono agli agenti accessi troppo ampi a filesystem, ambienti cloud e sistemi SaaS per semplificare le automazioni. Questo approccio accelera l’adozione ma moltiplica l’impatto di eventuali compromissioni. OpenClaw dimostra che basta un plugin malevolo o una prompt injection per trasformare un agente legittimo in uno strumento di esfiltrazione e persistenza. Le aziende dovrebbero isolare gli agenti in ambienti segmentati, limitare i privilegi al minimo indispensabile, separare i segreti per workload e monitorare ogni accesso a dati sensibili. È inoltre fondamentale implementare approvazioni umane per operazioni critiche e introdurre audit continui delle attività degli agenti. Gli strumenti AI non possono più essere considerati semplici componenti applicativi: rappresentano nuove identità operative con capacità autonome e privilegi elevati. Senza una governance specifica, ogni deployment AI rischia di diventare un punto cieco all’interno dell’infrastruttura enterprise.
Claw Chain ridefinisce il rischio degli agenti AI enterprise
La scoperta di Claw Chain segna un passaggio importante nella sicurezza degli agenti AI autonomi. OpenClaw rimane uno strumento potente per automazioni IT e integrazioni enterprise, ma la ricerca di Cyera dimostra che questi sistemi introducono una nuova categoria di rischio. Le vulnerabilità non sfruttano comportamenti anomali ma capacità legittime dell’agente stesso, rendendo difficile la rilevazione con i modelli di sicurezza tradizionali. Gli attaccanti possono partire da un foothold minimo e trasformarlo rapidamente in furto di segreti, escalation di privilegi e persistenza invisibile. La rapidità con cui i maintainer hanno distribuito le patch rappresenta un segnale positivo per la community open-source, ma il vero nodo resta operativo: molte aziende non hanno ancora sviluppato processi maturi per monitorare, limitare e controllare gli agenti AI autonomi. OpenClaw dimostra che il futuro della cybersecurity non riguarderà soltanto server, endpoint o cloud, ma anche runtime AI con privilegi elevati capaci di agire autonomamente all’interno delle infrastrutture aziendali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
