Vai al contenuto
Home » Clawdbot (ora Moltbot): hype, agenti AI e disastri annunciati

Clawdbot (ora Moltbot): hype, agenti AI e disastri annunciati

Hype, automazioni e security fatta col culo

Se hai appena finito di digerire il circo “Dark Web su YouTube”, eccoti il sequel perfetto: stesso copione, stesso pubblico, stesso finale. Prima i video “WOW RAGAZZI È PAZZESCO”, poi due giorni dopo “RIMUOVETELLO SUBITO!!”. Nel mezzo: gente che si compra un Mac mini o un mini-PC “per hostarlo”, lo espone online con due click e si convince di aver costruito Jarvis. Spoiler: ha costruito un single point of failure con i privilegi di mezzo sistema.

🤖 Clawdbot/Moltbot: cos’è davvero

Clawdbot (oggi ribattezzato Moltbot) è un personal AI agent open source e self-hosted: gira in locale e non si limita a rispondere, ma esegue azioni per conto dell’utente (integrazioni, tool, automazioni). È diventato virale nel giro di un weekend proprio perché “fa cose”, non perché sia magia.

Il rebrand a Moltbot non è un dettaglio: è legato a questioni di trademark emerse durante l’hype (area Claude/Anthropic).

🔥 Il punto critico: privilegi e persistenza

Questa roba, per funzionare, deve vivere “sempre accesa” e deve avere accessi: API keys, OAuth tokens, filesystem, browser control, workflow vari. È qui che diventa pericolosa: non perché “pensa”, ma perché può agire con i tuoi privilegi, e basta un input ostile o una configurazione idiota per trasformarla in un moltiplicatore di danni. Cisco lo dice senza girarci attorno: dare accesso illimitato a un agente è una ricetta per il disastro se qualcosa viene abusato o compromesso.

🌍 Pannelli esposti: il disastro più comune

Il primo incidente “da manuale” è arrivato subito: pannelli di controllo pubblici (control panel), esposti online per comodità (reverse proxy improvvisato, porte aperte, authentication debole). Bitdefender ha segnalato proprio questo scenario: dashboard raggiungibili dall’esterno che possono portare a data leak di informazioni sensibili e, in cascata, account takeover.
The Register ha inquadrato la stessa dinamica: lo strumento è virale, e la gente lo mette online senza capire che sta esponendo la cabina di regia.

😈 Tre scenari bastardi (e realistici)

  1. Accessi + token: ti portano via dati e non te ne accorgi
    Gli dai cloud, foto, documenti, mail, note “perché così fa tutto lui”. Se qualcuno prende il controllo dell’agente (pannello esposto, token leak, account compromesso), non deve forzare nulla: legge e copia quello che l’agente può vedere. PDF, scansioni, allegati, conversazioni. Roba perfetta per estorsioni, furto d’identità e KYC fraud..
  2. Banking e trading: più che rubarti, ti mettono nei guai
    Se l’agente finisce collegato a banking/fintech/trading (anche solo per “monitorare”), il rischio non è solo economico. Il rischio è operativo: pagamenti partiti, beneficiari cambiati, impostazioni ritoccate, notifiche deviate, automazioni manipolate. Poi ti ritrovi blocchi, verifiche, contestazioni e controlli AML/compliance. Non è “mi hanno rubato 200 euro”. Il punto è che poi devi dimostrare che non eri tu.
  3. BEC/Impersonation: l’agente parla al posto tuo e frega gli altri
    Con mail e rubrica in mano, l’attaccante non inventa niente: usa thread reali e contesto reale. Arriva la richiesta “normale” al momento giusto: un file, un cambio IBAN, una fattura “aggiornata”, un’approvazione veloce. È Business Email Compromise, ma con un vantaggio sporco: sembra tutto legittimo perché arriva da te (o dall’agente che opera per te). E a rimetterci non sei solo tu, ma anche colleghi, clienti e contatti.

🧩 Skills e plugin: rischio supply chain

Secondo problema: l’ecosistema di skills. È comodo, quindi verrà abusato. Se installi “abilità” di terzi perché “ha tante stelle”, stai facendo supply-chain roulette: basta una skill malevola o “spinta” artificialmente in classifica e hai infilato codice non fidato dentro un agente già privilegiato. È una delle critiche che stanno emergendo in queste ore.

🧠 Prompt injection: quando l’input diventa azione

Con un agente che può fare azioni, la prompt injection non è più la barzelletta “gli ho fatto dire una cosa sbagliata”. Diventa: “gli ho fatto fare una cosa sbagliata”. È il salto di categoria: input non fidato → tool invocation → conseguenze reali. Prompt Security lo mette nel modo giusto: gli AI browser/agent introducono rischi strutturali legati ad azioni autonome e injection.

🕳️ Shadow AI: installato e lasciato lì

Ultimo pezzo (quello che in azienda fa più danni): la parte Shadow AI. Agenti installati senza governance, senza inventario, senza policy, con accessi che nessuno controlla. Noma Security parla proprio di istanze individuate su endpoint enterprise e dei rischi critici connessi a privilegi e configurazioni.

🔚 Conclusione: hype oggi, problemi domani

Il pattern è sempre lo stesso: prima lo pompano perché “è figo”, poi quando escono i problemi urlano “toglietelo”. Ma il punto non è ridere dei video: il punto è capire che un agente del genere non è un giocattolo, è un componente privileged. Se lo tratti come un’app da installare “tanto per”, il risultato è scontato: prima esposizione, poi leak, poi panico.

Clawdbot/Moltbot non è “malware”. È peggio: è software legittimo che, configurato e usato da mentecatti, ti mette le chiavi di casa sotto lo zerbino.

Tag: