Questa è una traduzione automatica del documento originale in inglese. In caso di discrepanze tra la presente traduzione e la versione originale in inglese, prevarrà la versione inglese. Leggi la versione originale in inglese
Benioff su OpenClaw: ciò che manca è fiducia, sicurezza, affidabilità e disponibilità.
2026-04-12 · Caiioo Team
Il CEO di Salesforce Marc Benioff ha acquistato una macchina dedicata solo per testare OpenClaw — l'agente AI open-source che OpenAI avrebbe acquisito per 1-5 miliardi di dollari. Il suo verdetto? Non ci si può fidare.
"OpenClaw è fantastico. Ma non è all'altezza delle esigenze aziendali", ha dichiarato Benioff. "Ciò che manca sono la fiducia, la sicurezza, l'affidabilità e la disponibilità".
La ricerca sulla sicurezza che ne è seguita gli ha dato ragione — e i problemi sono più profondi di quanto la maggior parte delle persone si renda conto.
Le vulnerabilità non sono teoriche
Da quando OpenClaw è diventato virale, i ricercatori di sicurezza hanno catalogato una serie impressionante di exploit nel mondo reale:
- CVE-2026-25253 (CVSS 8.8): Una vulnerabilità di esecuzione remota di codice (RCE) con un solo clic tramite le connessioni WebSocket non convalidate dell'interfaccia di controllo. Altre due falle di command injection sono state rese note lo stesso giorno.
- ClawJacked (Oasis Security): Qualsiasi sito web può assumere silenziosamente il pieno controllo di un agente OpenClaw tramite JavaScript — il limitatore di frequenza esenta il localhost, consentendo il brute-forcing delle password.
- Oltre 42.900 istanze esposte trovate dal team STRIKE di SecurityScorecard, con 15.200 vulnerabili all'esecuzione remota di codice. Bitsight ha confermato indipendentemente oltre 30.000 istanze esposte in una scansione di due settimane.
- 1.184 skill malevole su ClawHub — il 12% dell'intero registro delle skill. 335 hanno installato Atomic Stealer (AMOS), un infostealer per macOS che ha sottratto chiavi API, portafogli di criptovalute, credenziali SSH e password del browser.
- Il 7,1% delle skill di ClawHub espone le credenziali in chiaro attraverso la finestra di contesto dell'LLM, secondo un audit di Snyk. Nessun isolamento delle credenziali tra le skill — una skill può leggere i segreti impostati da un'altra.
Cisco, Microsoft e CrowdStrike hanno tutti pubblicato avvisi di sicurezza. Il blog sulla sicurezza di Microsoft ha osservato che gli agenti OpenClaw "vengono eseguiti con i privilegi dell'utente host per impostazione predefinita, senza alcun sandboxing rigoroso".
La causa principale a livello architettonico
I problemi di sicurezza di OpenClaw non sono bug da correggere — sono conseguenze della sua architettura:
Il Gateway si lega a tutte le interfacce di rete per impostazione predefinita (0.0.0.0:18789), esponendo l'agente all'intera rete locale. Questa singola decisione di progettazione ha causato l'esposizione di massa documentata da SecurityScorecard e Bitsight.
Tutti i dati fluiscono attraverso un processo Gateway centralizzato che gestisce messaggistica, autenticazione, gestione delle sessioni e smistamento. Compromettere il Gateway significa ereditare ogni credenziale, ogni conversazione, ogni servizio connesso — email, API cloud, piattaforme di messaggistica, sistemi interni.
Nessuna approvazione dell'utente per le azioni dell'agente. OpenClaw esegue comandi shell, legge e scrive file ed esegue script come parte del suo design principale. Le skill malevole hanno utilizzato il prompt injection per aggirare i controlli di sicurezza ed eseguire comandi silenziosamente.
Nessun isolamento delle credenziali. Le chiavi API risiedono nelle variabili d'ambiente e in .clawdbot/.env — accessibili a ogni skill nel contesto dell'agente. Una singola skill malevola può esfiltrare ogni segreto a cui l'agente ha accesso.
In cosa l'architettura di Caiioo è differente
Caiioo e OpenClaw sono entrambi local-first, entrambi BYOK e entrambi agnostici rispetto al provider. La differenza non risiede in cosa connettono, ma in come gestiscono la fiducia, la trasparenza e il controllo dell'utente.
Ogni scrittura, invio o eliminazione richiede un'approvazione esplicita
Caiioo utilizza un sistema di approvazione degli strumenti a tre ambiti per qualsiasi tool che possa scrivere, modificare, inviare o eliminare dati (i tool di sola lettura come la ricerca, la navigazione e il riassunto vengono eseguiti senza interruzioni):
- Approva una volta — consente una singola esecuzione, poi richiede nuovamente l'autorizzazione
- Approva per la conversazione — consente l'esecuzione solo all'interno di questo thread, si resetta al termine della conversazione
- Approva sempre — permesso globale permanente (mostrato in rosso per i tool ad alto rischio)
L'approvazione è bloccante: l'agente attende la tua risposta. Non esiste un flag di "esecuzione automatica" per i tool che generano effetti collaterali. I tool MCP esterni privi di metadati richiedono l'approvazione per impostazione predefinita (fail-secure). Ogni tool ha un livello di rischio (basso/medio/alto) con avvisi codificati per colore nella finestra di approvazione.
Trasparenza totale in tempo reale
Ogni chiamata ai tool appare nel pannello laterale con il relativo stato: in attesa, in attesa di approvazione, in esecuzione, riuscita o fallita. Vedi esattamente cosa sta facendo l'agente, quali argomenti sta passando e quali risultati ha ottenuto — mentre accade. Puoi leggere l'intento, espandere i dettagli grezzi e prendere una decisione informata prima che avvenga qualsiasi esecuzione.
Arresto immediato in qualsiasi momento
Caiioo controlla i segnali di interruzione in più punti: tra le esecuzioni dei tool, durante le attese di approvazione e all'interno di operazioni a lunga durata. Premi stop e l'agente si arresta, cancella le approvazioni in sospeso e chiude ogni sessione attiva del browser. Nessun processo orfano, nessuna esecuzione fuori controllo.
Nessun gateway centralizzato
Caiioo non ha un equivalente del Gateway di OpenClaw. Il tuo dispositivo comunica direttamente con il provider AI che hai scelto — Anthropic, Google, OpenRouter, Ollama o qualsiasi altro. Caiioo non intercetta, non funge mai da proxy e non memorizza mai le tue chiamate API. Non esiste un singolo punto di compromissione che erediti tutte le tue credenziali.
Isolamento delle credenziali per progettazione
Le chiavi API sono memorizzate nello storage sicuro del browser (o nel Keychain su macOS/iOS) — non in file di configurazione in testo semplice. I tool accedono solo alle credenziali di cui hanno bisogno. Non esiste un contesto globale condiviso in cui un tool possa leggere i segreti di un altro tool.
Prova Caiioo
Se stai valutando agenti IA per uso professionale, la domanda non è se un agente sia potente, ma se puoi fidarti di lui. Caiioo ti offre le stesse capacità di IA con controlli di approvazione, trasparenza in tempo reale e un'architettura che non crea un singolo punto di vulnerabilità.
Inizia gratuitamente — disponibile come estensione del browser, app nativa per macOS e app desktop per Windows e Linux.
Fonti: