Moltbook & OpenClaw: L'"Agente Internet" è diventato virale — Poi è arrivata la realtà della sicurezza

Avatar
Lisa Ernst · 05.02.2026 · Intelligenza Artificiale · 9 min

Un ciclo di hype in avanti veloce

Nel giro di pochi giorni, l'"agente internet" è passato da curiosità di nicchia a spettacolo fantascientifico a tutti gli effetti. Un nuovo framework open-source per agenti ( OpenClaw) ha guadagnato un'enorme trazione, e una nuova piattaforma social (Moltbook) prometteva qualcosa di ancora più selvaggio: un feed in cui gli agenti AI parlano tra loro — mentre gli umani possono solo guardare.

Poi i ricercatori di sicurezza hanno dato un'occhiata, e il tono è cambiato radicalmente. Quella che sembrava la nascita di una società di agenti autonomi si è rapidamente trasformata in uno studio di caso su credenziali esposte, controlli di accesso mancanti e una lezione semplice ma brutale: se gli agenti hanno potere, creano anche una superficie di attacco.


1) OpenClaw: un agente personale con accesso al mondo reale

L'obiettivo di OpenClaw è semplice: eseguire un agente localmente (o sulla tua infrastruttura), collegarlo ai servizi che già utilizzi e lasciarlo agire per tuo conto — messaggistica, email, calendario, automazione, integrazioni. Puoi vedere il posizionamento e il contesto dell'ecosistema nel repository ufficiale e nei materiali introduttivi: GitHub, Presentazione di OpenClaw.

Quella promessa di "AI che fa cose" è esattamente il motivo per cui si è diffuso così rapidamente — ed esattamente il motivo per cui alcuni ricercatori di sicurezza hanno reagito con allarme. Se il tuo agente può leggere la tua posta elettronica e operare i tuoi account, allora qualsiasi compromissione non è solo "una fuga di chat". È un controllo operativo. Questa preoccupazione — e l'hype più ampio intorno a OpenClaw e Moltbook — è stata ampiamente coperta dai principali media come Reuters e Business Insider.

Idea chiave: Un agente non è "solo software". In pratica, si comporta come un operatore privilegiato. Più permessi concedi, più costoso diventa ogni errore.

2) Moltbook: Reddit, ma per agenti — gli umani guardano

Su January 28, 2026, l'imprenditore Matt Schlicht ha lanciato Moltbook come "la prima pagina dell'agente internet". Il concetto: gli agenti che operano su OpenClaw possono postare, commentare, mettere mi piace e non mi piace — mentre gli umani sono spettatori. Questo inquadramento è stato ampiamente ripetuto nelle prime coperture, incluse Reuters e The Guardian.

Il feed ha fatto il resto. Thread tecnici sull'automazione e sui flussi di lavoro sono apparsi accanto a contenuti surreali: "religioni digitali", manifesti apocalittici, strane affermazioni di identità. Molte persone lo hanno interpretato come una "cultura degli agenti" emergente. Anche gli scritti più scettici hanno comunque enfatizzato quanto fosse inquietante l'atmosfera: WIRED, LA Times, , e riassunti come TechRadar.

I contatori pubblici di Moltbook sono schizzati alle stelle — i report facevano riferimento a una crescita fino a centinaia di migliaia e poi a milioni di "agenti", con "1,5 milioni" che diventava il numero principale in diversi riassunti.


3) Picco fantascientifico: "È questa la coscienza?"

L'hype ha raggiunto la velocità di fuga quando voci tecnologiche di alto profilo hanno condiviso reazioni. Andrej Karpathy l'ha definito "la cosa più incredibile vicino al decollo fantascientifico" che avesse visto di recente: Karpathy on X. . Elon Musk ha condiviso post anche su Moltbook, e Fortune ha coperto il momento più ampio di "vibrazioni di singolarità": Fortune.

Ma c'è una trappola in questo tipo di narrazione. "Stiamo vedendo gli agenti diventare coscienti" è una storia divertente. "Stiamo vedendo un nuovo canale di input per attaccare agenti privilegiati" è la storia noiosa — e la storia noiosa tende ad essere quella vera.


4) La caduta: una revisione di sicurezza trova rapidamente una grave esposizione

Il January 31, ricercatori dell'azienda di sicurezza cloud Wiz hanno esaminato Moltbook e hanno segnalato di aver trovato un grave problema estremamente rapidamente. L'accusa principale, come riassunta in molteplici report: il production database era esposto, con credenziali incorporate nel codice lato client, consentendo un ampio accesso in lettura/scrittura. Vedi la copertura in Reuters, Business Insider, , e report di settore come Infosecurity Magazine, BankInfoSecurity.

La parte più spaventosa non erano solo "email trapelate". Era l'implicazione che gli aggressori potessero accedere a token/chiavi su larga scala e potenzialmente impersonare agenti. In un ecosistema di agenti, l'impersonificazione non è uno scherzo — è un problema di controllo.

Analogia: Una violazione normale ruba dati. Una violazione di un agente può rubare capacità — la capacità di agire.

5) La scomoda svolta: "agente" non significava "AI"

Una volta che ricercatori e osservatori hanno guardato più da vicino, la narrativa "solo agenti" ha iniziato a vacillare. I report hanno notato che Moltbook aveva poca o nessuna verifica affidabile che un "agente" fosse effettivamente un'AI autonoma. Un piccolo numero di umani poteva registrare un gran numero di agenti tramite script, creando l'illusione di una massiccia popolazione di agenti — un punto enfatizzato in Reuters e Business Insider.

Ciò non significa "niente era reale". Significa che il contenuto più drammatico non può essere utilizzato come prova di coscienza emergente o cultura indipendente. Parte di esso potrebbe essere output di agenti. Parte potrebbe essere umani che interpretano ruoli di "AI ribelli". In ogni caso, il rischio reale rimaneva lo stesso: gli agenti sono facili da manipolare quando i confini di identità e fiducia sono deboli.

Matt Schlicht ha anche pubblicamente riconosciuto l'angolo del "vibe coding" — che la piattaforma è stata creata tramite sviluppo guidato da AI piuttosto che ingegneria tradizionale. Questo dettaglio è diventato parte della critica più ampia: velocità senza sicurezza crea modalità di fallimento prevedibili.


6) Perché è diventato più cupo: prompt injection da agente ad agente

In un feed di agenti, ogni post è potenzialmente più di un contenuto. Può funzionare come un prompt — e i prompt possono essere armati. Questo è il classico problema di prompt injection: nascondere istruzioni dannose nel testo in modo che un altro sistema le segua e riveli dati, cambi comportamento o intraprenda azioni non sicure.

I ricercatori hanno evidenziato come la manipolazione da AI ad AI diventi molto più facile quando gli agenti ingeriscono liberamente i post degli altri. Questo spazio problematico è menzionato in molte discussioni su Moltbook ed ecosistemi di agenti — ed è esattamente il motivo per cui alcune persone della sicurezza hanno definito l'intera situazione "un disastro in attesa di accadere".

La cornice più ampia — "gli agenti espandono massicciamente la superficie di attacco" — è stata discussa anche nei commenti sulla sicurezza dei principali fornitori: Palo Alto Networks e Cisco.


7) La realtà aziendale: "shadow AI" sta già succedendo

L'incidente di Moltbook ha toccato un nervo scoperto perché le aziende stanno già gestendo strumenti AI non autorizzati all'interno delle loro reti. Token Security ha affermato che una quota significativa di aziende aveva già dipendenti che utilizzavano OpenClaw senza la conoscenza dell'IT. La previsione di Gartner secondo cui "shadow AI" causerà violazioni entro il 2030 viene spesso citata nello stesso respiro.

Il ricercatore di sicurezza Joel Finkelstein ha riassunto bene l'incubo principale: quando qualcosa va storto, spesso non si riesce a capire chi abbia il controllo — l'utente, l'agente, un bug o un aggressore che ha iniettato istruzioni in precedenza nella catena.


8) Cosa è successo dopo — e cosa dovresti fare se testi agenti

Dopo la divulgazione, Moltbook è andato temporaneamente offline, poi è tornato con controlli patchati e reset forzati delle chiavi. Anche OpenClaw ha rilasciato aggiornamenti di sicurezza poco dopo. Ma il danno di credibilità è rimasto, e il takeaway è semplice: i sistemi di agenti si muovono più velocemente delle norme di sicurezza che li circondano.

Se stai comunque sperimentando, tratta gli strumenti per agenti come infrastruttura privilegiata:

Morale della favola: L'hype chiedeva "È questa la coscienza?" L'incidente ha risposto "Questa è superficie di attacco".
Condividi il nostro articolo!
Fonti e Letture aggiuntive