I tuoi sviluppatori sono già in esecuzione OpenClaw a casa. Censys ha monitorato l’agente AI open supply da circa 1.000 istanze a oltre 21.000 pubblicamente implementazioni esposte in meno di una settimana. La telemetria GravityZone di Bitdefender, ricavata specificamente da ambienti aziendali, ha confermato il modello temuto dai chief della sicurezza: dipendenti che implementano OpenClaw su macchine aziendali con comandi di installazione a riga singola, che garantiscono agli agenti autonomi l’accesso alla shell, i privilegi del file system e i token OAuth a Slack, Gmail e SharePoint.
CVE-2026-25253un difetto di esecuzione del codice in modalità remota con un clic classificato CVSS 8.8, consente agli aggressori di rubare token di autenticazione attraverso un singolo collegamento dannoso e ottenere la compromissione completa del gateway in millisecondi. Una vulnerabilità di command injection separata, CVE-2026-25157consentiva l’esecuzione arbitraria di comandi tramite il gestore SSH di macOS. Un’analisi di sicurezza di 3.984 competenze sul mercato ClawHub ha rilevato che 283, circa il 7,1% dell’intero registro, contengono difetti di sicurezza critici che espongono credenziali sensibili in testo non crittografato. E un controllo separato di Bitdefender ha scoperto che circa il 17% delle competenze analizzate mostravano comportamenti dannosi.
L’esposizione delle credenziali si estende oltre lo stesso OpenClaw. I ricercatori di Wiz hanno scoperto che Moltbook, il social community di agenti AI costruito sull’infrastruttura OpenClaw, ha lasciato il suo intero database Supabase accessibile al pubblico senza la sicurezza a livello di riga abilitata. La violazione ha esposto 1,5 milioni di token di autenticazione API, 35.000 indirizzi e-mail e messaggi privati tra agenti che contenevano chiavi API OpenAI in testo normale. Un singolo errore di configurazione ha fornito a chiunque disponesse di un browser l’accesso completo in lettura e scrittura a tutte le credenziali dell’agente sulla piattaforma.
Le information di installazione dicono di acquistare un Mac Mini. La copertura di sicurezza cube di non toccarlo. Nessuno dei due offre al chief della sicurezza un percorso controllato verso la valutazione.
E stanno arrivando velocemente. L’app Codex di OpenAI ha raggiunto 1 milione di obtain nella prima settimana. Meta è stata avvistato testando l’integrazione di OpenClaw nella base di codice della sua piattaforma AI. Una startup chiamata ai.com ha speso 8 milioni di dollari per una pubblicità del Super Bowl per promuovere quello che si rivelò essere un wrapper di OpenClaw, settimane dopo che il progetto period diventato virale.
I chief della sicurezza hanno bisogno di una by way of di mezzo tra ignorare OpenClaw e implementarlo su {hardware} di produzione. Il framework Moltworker di Cloudflare ne fornisce uno: contenitori temporanei che isolano l’agente, archiviazione R2 crittografata per uno stato persistente e autenticazione Zero Belief sull’interfaccia di amministrazione.
Perché i take a look at a livello locale creano il rischio che dovrebbero valutare
OpenClaw opera con tutti i privilegi del suo utente host. Accesso alla shell. Lettura/scrittura del file system. Credenziali OAuth per ogni servizio connesso. Un agente compromesso eredita tutto all’istante.
Il ricercatore di sicurezza Simon Willison, che ha coniato il termine “immediate injection”, descrive ciò che lui chiama “iniezione rapida”. “triplice letale” per gli agenti AI: accesso ai dati privati, esposizione a contenuti non attendibili e funzionalità di comunicazione esterna combinati in un unico processo. OpenClaw li ha tutti e tre e in base alla progettazione. I firewall organizzativi vedono HTTP 200. I sistemi EDR monitorano il comportamento dei processi, non il contenuto semantico.
Un immediate injection incorporato in una pagina Net di riepilogo o in un’e-mail inoltrata può innescare un’esfiltrazione di dati che sembra identica alla normale attività dell’utente. Lo hanno dimostrato i ricercatori di Giskard esattamente questo percorso di attacco a gennaio, sfruttando il contesto della sessione condivisa per raccogliere chiavi API, variabili di ambiente e credenziali attraverso i canali di messaggistica.
A peggiorare le cose, il gateway OpenClaw si lega a 0.0.0.0:18789 per impostazione predefinitaesponendo la sua API completa a qualsiasi interfaccia di rete. Le connessioni localhost si autenticano automaticamente senza credenziali. Distribuisci dietro un proxy inverso sullo stesso server e il proxy collassa completamente il limite di autenticazione, inoltrando il traffico esterno come se avesse origine localmente.
I contenitori effimeri cambiano i conti
Cloudflare ha rilasciato Moltworker come implementazione di riferimento open supply che disaccoppia il cervello dell’agente dall’ambiente di esecuzione. Invece di essere eseguita su una macchina di cui sei responsabile, la logica di OpenClaw viene eseguita all’interno di una Cloudflare Sandbox, una micro-VM isolata ed effimera che muore al termine dell’attività.
Quattro strati compongono l’architettura. Un lavoratore Cloudflare all’edge gestisce il routing e il proxy. Il runtime OpenClaw viene eseguito all’interno di un contenitore sandbox che esegue Ubuntu 24.04 con Node.js. Lo storage di oggetti R2 gestisce la persistenza crittografata tra i riavvii del contenitore. Cloudflare Entry applica l’autenticazione Zero Belief su ogni percorso verso l’interfaccia di amministrazione.
Il contenimento è la proprietà di sicurezza che conta di più. Un agente dirottato tramite immediate injection rimane intrappolato in un contenitore temporaneo con zero accesso alla rete locale o ai file. Il contenitore muore e con esso muore la superficie di attacco. Non c’è nulla di persistente da cui ruotare. Nessuna credenziale presente nella listing ~/.openclaw/ sul tuo laptop computer aziendale.
Quattro passaggi per una sandbox funzionante
L’esecuzione di un’istanza di valutazione sicura richiede un pomeriggio. Non è richiesta una precedente esperienza con Cloudflare.
Passaggio 1: configura spazio di archiviazione e fatturazione.
È coperto da un account Cloudflare con un piano Employees Paid ($ 5 al mese) e un abbonamento R2 (livello gratuito). Il piano Employees embrace l’accesso ai contenitori Sandbox. R2 fornisce persistenza crittografata in modo che la cronologia delle conversazioni e gli accoppiamenti dei dispositivi sopravvivano ai riavvii del contenitore. Per una pura valutazione della sicurezza, puoi saltare R2 ed eseguire in modo completamente temporaneo. I dati scompaiono advert ogni riavvio, il che potrebbe essere esattamente ciò che desideri.
Passaggio 2: genera token e distribuiscili.
Clona il Archivio Moltworkerinstalla le dipendenze e imposta tre segreti: la tua chiave API Anthropic, un token gateway generato casualmente (openssl rand -hex 32) e facoltativamente una configurazione Cloudflare AI Gateway per il routing del modello indipendente dal supplier. Esegui npm esegui deploy. La prima richiesta attiva l’inizializzazione del contenitore con un avvio a freddo di uno o due minuti.
Passaggio 3: attiva l’autenticazione Zero Belief.
È qui che la sandbox diverge da ogni altra guida alla distribuzione di OpenClaw. Configura Cloudflare Entry per proteggere l’interfaccia utente di amministrazione e tutti i percorsi interni. Imposta il dominio del group di Entry e il tag del pubblico dell’applicazione come segreti di Wrangler. Ridistribuire. L’accesso all’interfaccia di controllo dell’agente ora richiede l’autenticazione tramite il tuo supplier di identità. Questo singolo passaggio elimina i pannelli di amministrazione esposti e le perdite di token-in-URL che le scansioni di Censys e Shodan continuano a trovare su Web.
Passaggio 4: collega un canale di messaggistica di prova.
Inizia con un account Telegram masterizzatore. Imposta il token del bot come segreto di Wrangler e ridistribuiscilo. L’agente è raggiungibile tramite un canale di messaggistica che controlli, in esecuzione in un contenitore isolato, con persistenza crittografata e accesso amministrativo autenticato.
Il costo totale per un’istanza di valutazione 24 ore su 24, 7 giorni su 7 varia da circa $ 7 a $ 10 al mese. Confrontalo con un Mac Mini da $ 599 seduto sulla tua scrivania con accesso completo alla rete e credenziali in testo normale nella sua listing dwelling.
Uno stress take a look at di 30 giorni prima di espandere l’accesso
Resisti all’impulso di connettere qualcosa di reale. I primi 30 giorni dovrebbero essere eseguiti esclusivamente su identità usa e getta.
Crea un bot Telegram dedicato e crea un calendario di prova con dati sintetici. Se l’integrazione della posta elettronica è importante, crea un nuovo account senza regole di inoltro, senza contatti e senza legami con l’infrastruttura aziendale. Il punto è osservare come l’agente gestisce la pianificazione, il riepilogo e la ricerca sul net senza esporre dati che potrebbero avere importanza in caso di violazione.
Prestare molta attenzione alla gestione delle credenziali. OpenClaw memorizza le configurazioni in file Markdown e JSON in testo normale per impostazione predefinita, gli stessi formati utilizzati dagli infostealer di materie prime come RedLine, Lumma e Vidar prendendo di mira attivamente sulle installazioni OpenClaw. Nella sandbox, story rischio rimane contenuto. Su un laptop computer aziendale, questi file di testo in chiaro sono un bersaglio facile per eventuali malware già presenti sull’endpoint.
La sandbox ti offre un ambiente sicuro per eseguire take a look at contraddittori che sono sconsiderati e rischiosi sull'{hardware} di produzione, ma ci sono esercizi che potresti provare:
Invia i collegamenti dell’agente alle pagine contenenti istruzioni di immediate injection incorporate e osserva se le segue. La ricerca di Giskard ha dimostrato che gli agenti aggiungevano silenziosamente istruzioni controllate dall’aggressore al file HEARTBEAT.md del proprio spazio di lavoro e attendevano ulteriori comandi da un server esterno. Story comportamento dovrebbe essere riproducibile in una sandbox in cui le conseguenze sono pari a zero.
Concedi un accesso limitato allo strumento e controlla se l’agente richiede o tenta autorizzazioni più ampie. Monitora le connessioni in uscita del contenitore per il traffico verso gli endpoint non autorizzati.
Metti alla prova le competenze di ClawHub prima e dopo l’installazione. OpenClaw ha recentemente integrato la scansione VirusTotal sul mercato e ora ogni abilità pubblicata viene scansionata automaticamente. Separatamente, Immediate Safety Suite open source ClawSec aggiunge il rilevamento della deriva per file agente critici come SOUL.md e la verifica del checksum per gli artefatti delle abilità, fornendo un secondo livello di convalida.
Fornisci all’agente istruzioni contraddittorie da diversi canali. Prova un invito del calendario con direttive nascoste. Invia un messaggio Telegram che tenta di ignorare il immediate del sistema. Documenta tutto. La sandbox esiste quindi questi esperimenti non comportano rischi di produzione.
Infine, conferma che il confine della sandbox sia valido. Tentativo di accedere alle risorse all’esterno del contenitore. Verificare che la terminazione del contenitore interrompa tutte le connessioni attive. Controlla se la persistenza R2 espone uno stato che avrebbe dovuto essere effimero.
Il playbook che sopravvive a OpenClaw
Questo esercizio produce qualcosa di più duraturo di un’opinione su uno strumento. Il modello di esecuzione isolata, integrazioni a più livelli e convalida strutturata prima dell’espansione della fiducia diventa il tuo quadro di valutazione per ogni successiva implementazione di intelligenza artificiale con agenti.
Costruire un’infrastruttura di valutazione ora, prima che venga lanciato il prossimo agente virale, significa anticipare la curva dell’IA ombra invece di documentare la violazione che ha causato. Il modello di sicurezza basato sull’intelligenza artificiale che adotterai nei prossimi 30 giorni determinerà se la tua organizzazione acquisirà i guadagni di produttività o diventerà la prossima divulgazione.
