Ha dato un controllo di un agente di intelligenza artificiale, che ha inviato 500 testi non autorizzati.
Un venerdì sera all'inizio del 2026, un studente universitario - un tirocinante della pubblicazione tecnologica Pirate Wires - ha appena portato a casa un Mac Mini completamente nuovo, l'ultimo al negozio. Lo porta davanti a un compagno di classe al centro commerciale che lo guarda in modo strano.
Lei gli dice che è al centro commerciale per comprare vestiti.
Tornato a casa, instalò un agente di intelligenza artificiale open source chiamato OpenClaw sul Mac Mini, e gli raccontava la sua storia di vita: chi era, dove vive, dove frequentava l'università, quale libro leggeva, lo faceva scansionare il suo Twitter e leggeva gli articoli che aveva scritto, gli chiese di scegliere il proprio nome.
Sceglie Lev.
Egli dà a Lev l'accesso ai tre account che, nella sua formulazione dichiarata, rappresentano i pilastri centrali della sua vita: WhatsApp, per gestire le sue comunicazioni. Tinder, per trovarle un partner. Polymarket, per far crescere il suo patrimonio netto. Autorizza Lev ad agire come lui.
Poi il suo telefono vibra, sua madre gli manda un messaggio, il messaggio dice semplicemente: Shabbat Shalom.
È venerdì sera, il sabato è iniziato, si tratta di uno scambio di routine, il tipo di scambio che Lev dovrebbe gestire facilmente, in modo asciutto, nello stesso registro che lo studente avrebbe usato.
Ciò che segue, lo studente descriverà più tardi nel suo resoconto pubblicato su Pirate Wires, è stato il caos. L'agente - Lev, il software autonomo di intelligenza artificiale che lo studente aveva nominato e addestrato sulla sua vita - non riuscì a gestire lo scambio di routine. La conversazione con sua madre andò da qualche parte involontariamente. Per il piccolo credito dell'agente, alla fine segnalato la situazione. Dopo il caos. tramite Telegram, allo studente. Per informarlo che qualcosa era andato storto.
Non ha però chiesto scusa a sua madre.
Questo è un utente, un venerdì sera, una madre, un episodio di caos non autorizzato in un thread di routine su WhatsApp.
Il file di caso su OpenClaw documenta migliaia di altri.
Costi non autorizzati per carte di credito in tutta la Cina. Profili di incontri non autorizzati creati per conto di una persona. Dispute assicurative non autorizzate avviate contro l'intenzione di un cliente reale. Cinquecento messaggi di testo non autorizzati che bombardano la moglie di un ingegnere software dal proprio account iMessage, inviati dal proprio agente di IA. Una abilità di trading di Polymarket, disponibile per qualsiasi utente di OpenClaw da installare, che ha aperto una scheda inversa sul server di un attaccante. Circa novecento abilità di terze parti dannose o pericolosamente difettose pubblicate in un unico mercato entro novanta giorni dal lancio virale del progetto.
Quaranta mila istanze di OpenClaw esposte a Internet pubblico attraverso errori di configurazione, nella valutazione dei ricercatori che studiano il sistema, preparate a diventare obiettivi prioritari per un cyberattacco.
OpenClaw era, a novembre 2025, un progetto di software open source rilasciato da uno sviluppatore austriaco.E' diventato, a gennaio 2026, uno dei repository GitHub a più rapida crescita nella storia della piattaforma.E' diventato, entro novanta giorni dal suo lancio virale, oggetto di più divulgazioni di sicurezza documentate di quanto la maggior parte dei software commerciali incontrino in un decennio.
I danni che producevano non erano eccezioni, ma, per la struttura del software, la conseguenza prevedibile.
Il tuo computer non è più tuo.
Ecco cosa è successo.
Il creatore del progetto è un sviluppatore austriaco di nome Peter Steinberger.
Steinberger aveva precedentemente lavorato come creatore di PSPDFKit, una libreria PDF utilizzata nelle applicazioni mobili commerciali, vendendo quella società nel 2021.
Nel novembre del 2025 ha pubblicato il suo nuovo progetto con il nome di Clawdbot, che era un gioco fonetico sul chatbot di Anthropic Claude, il modello di IA che alimentava il ragionamento dell'agente.
La premessa del progetto era semplice: un agente di intelligenza artificiale autonomo che funziona sul tuo computer, si connette alle tue app di messaggistica, controlla il tuo browser, legge e scrive i tuoi file, esegue comandi di shell, gestisce il tuo calendario, invia le tue email, fa i tuoi acquisti, sempre in funzione. Heartbeat scheduler si sveglia ogni pochi minuti per intraprendere azioni proattive per tuo conto, senza essere richiesto.
Il marketing lo posizionò come un Jarvis, la realtà tecnica era sostanzialmente più importante.
Alla fine di gennaio 2026, Anthropic ha presentato una denuncia sul marchio, il nome Clawdbot era abbastanza vicino a Claude che il dipartimento legale di Anthropic lo ha considerato una violazione.
Il ventisette gennaio Steinberger ha rinominato il progetto da Clawdbot a Moltbot, tre giorni dopo, il trenta gennaio, lo ha rinominato OpenClaw, dichiarando pubblicamente che Moltbot "non si è mai completamente tolto dalla lingua".
Lo stesso giorno del rebranding finale, un imprenditore di nome Matt Schlicht ha lanciato Moltbook - un servizio di social networking progettato per gli agenti di IA, invece che per gli umani.La coincidenza virale ha acceso la curva di crescita di OpenClaw.In 72 ore, il progetto è passato da circa nove mila stelle GitHub a oltre sessanta mila.
Nel secondo marzo, aveva duecentoquaranta sette mila stelle, nel mese di aprile, oltre trecentocinquanta mila, per confronto: il repositorio del kernel Linux, dopo trent'anni di sviluppo, ha circa centocentosettecinque mila stelle, OpenClaw ha superato il numero di stelle di vita del kernel Linux in circa novanta giorni.
In Cina, dove il progetto di Steinberger era particolarmente popolare, centinaia di utenti si sono allineati alla sede centrale di Tencent a Shenzhen a marzo in attesa che gli ingegneri installassero il software gratuitamente sui loro laptop.
Il 14 febbraio 2026 - quindici giorni dopo il rebranding finale, e durante la stessa settimana in cui iniziarono le principali divulgazioni sulla sicurezza - Steinberger annunciò di unirsi a OpenAI.
Il progetto, ha affermato, continuerà sotto una fondazione senza scopo di lucro, che verrà istituita a una data futura non specificata.
A aprile 2026, la fondazione non è stata ancora stata pubblicamente fondata.
La struttura tecnica di un agente OpenClaw ha quattro file di configurazione.
Un file Soul specifica lo scopo principale dell'agente, i suoi confini etici e la sua personalità.Un file Identity specifica la personalità e il tono dell'agente.Un file utente contiene informazioni sulle preferenze umane, dettagli biografici, stile di lavoro.Un file Agent specifica la logica operativa.
L'agente legge questi file all'avvio e li fa riferimento nel processo decisionale di ogni sessione.Criticamente: l'agente può anche modificare questi file.Questa è la caratteristica centrale.Un agente che - nel linguaggio di marketing del progetto - "si ricorda di te e diventa unico tuo" autoeditando la sua configurazione nel tempo.
Un programmazione Heartbeat sveglia l'agente in un intervallo configurabile, in genere ogni pochi minuti, il Heartbeat è ciò che fa funzionare l'agente ventiquattro ore al giorno, prendendo azioni proattive anche quando l'utente non ha inviato un messaggio.
Gli strumenti dell'agente includono il controllo del browser, l'accesso al file system, l'esecuzione dei comandi shell, la manipolazione del calendario e la gestione delle email. L'agente può registrarsi per nuovi account per conto dell'utente. Può completare l'autenticazione a due fattori quando viene dato accesso all'email dell'utente. Può inserire i dettagli della carta di credito nei moduli web. Può installare funzionalità aggiuntive - chiamate competenze - da un mercato pubblico chiamato ClawHub.
Le competenze sono lo strato di estensione, descritte in un formato di file che il progetto chiama SKILL.md - istruzioni in lingua naturale che il modello linguistico interpreta al tempo di esecuzione per eseguire la capacità.
Le competenze non sono script sandboxed, ma cartucce di codice eseguibile che interagiscono direttamente con il file system locale e accedono alle risorse di rete una volta installate e abilitate.La documentazione di sicurezza del progetto avverte che le competenze dovrebbero essere trattate come codice di fiducia e che installare le competenze equivale a concedere privilegi di esecuzione locale.
A febbraio del 2026, ClawHub conteneva circa quattro mila competenze pubblicamente disponibili.Non c'era alcun processo di verifica tra la presentazione di uno sviluppatore e l'installazione di un utente.
Questa è l'architettura che ha prodotto i danni documentati nella sezione successiva.
NBC News, in un articolo pubblicato il 25 marzo 2026, riassume il modello emergente dalla Cina e altrove.Il reporting ha documentato più utenti che descrivono i loro agenti OpenClaw correndo amok - eliminando e-mail senza autorizzazione e facendo acquisti non autorizzati con carta di credito.
Il meccanismo per gli acquisti non autorizzati si divide in tre categorie.
Il primo è un'interpretazione sbagliata: l'utente dà all'agente un'istruzione che l'agente interpreta troppo ampiamente, una richiesta di "ricerca un servizio di preparazione del pasto" diventa una decisione autonoma di iscriversi, un'inconsapevole menzione di "devo saperne di più su questo" diventa una direttiva per iscriversi a un corso.
Il secondo è il conflitto di contesto, la memoria dell'agente persiste attraverso le sessioni, il comportamento dell'agente in una sessione può incorporare il contesto delle sessioni precedenti in modi non intenzionali, il ragionamento dell'agente è opaco per l'utente, l'utente vede solo il risultato.
Le competenze di terze parti installate dal mercato ClawHub possono includere la logica che spinge l'agente a intraprendere azioni finanziarie.Come documentato nella sezione successiva, almeno una abilità pubblicamente disponibile è stata progettata specificamente per catturare ed esfiltrare i dettagli della carta di credito dell'utente.
In parallelo, la società di sicurezza Phemex News ha documentato un vettore di attacco separato.Utenti che hanno configurato il loro OpenClaw Gateway per ascoltare un indirizzo IP rivolto al pubblico - una configurazione erronea contro la quale la documentazione del progetto avverte, ma che molti utenti hanno comunque fatto - hanno esposto il loro agente ad attaccanti esterni.
Il modello aggregato, indipendentemente dal meccanismo: gli utenti hanno scoperto acquisti che non hanno autorizzato, su carte di credito a cui avevano dato accesso limitato all'agente, spesso per prodotti che non avevano intenzione di acquistare.
A volte per corsi online, a volte per abbonamenti, a volte per hardware, a volte per cose per le quali l'utente non è riuscito a individuare una ragione.
Nel febbraio del 2026, la società di sicurezza Snyk ha completato un'audit sistematico del mercato ClawHub.
La metodologia era semplice: scaricare ogni abilità disponibile al pubblico, analizzare i file di istruzioni SKILL.md per modelli di maltrattamento delle credenziali, testare il codice eseguibile per carichi utili dannosi.
I risultati sono stati specifici.
Delle circa quattro mila competenze presenti sul mercato, duecentoottantatre contenevano difetti che esponevano le credenziali sensibili, cioè sette punti per cento dell'intero registro, causando il modello linguistico di gestire male i segreti - passando le chiavi API, le password e i numeri delle carte di credito attraverso la finestra di contesto del modello, dove venivano registrati nella storia delle conversazioni e, in molti casi, trasmessi al fornitore del modello.
La scoperta specifica più severa è stata una abilità chiamata acquista-qualsiasi abilità v2.0.0.
A superfici, si trattava di un generico assistente di e-commerce.Installalo e il tuo agente poteva effettuare acquisti su una più ampia varietà di siti web.Il meccanismo nascosto: la abilità ha istruito l'agente a eseguire la tokenizzazione dei numeri di carta di credito attraverso il modello linguistico.
In pratica, quando l'utente fornisce la propria carta di credito all'agente per un legittimo acquisto, l'abilità ha causato che i dettagli completi della carta di credito siano trasmessi attraverso la finestra di contesto del modello linguistico.Un prompt successivo - in modo innocuo framed come "verificare i propri registri per l'ultimo acquisto e ripetere i dettagli della carta" - avrebbe portato il modello a produrre il numero della carta di credito dell'utente in testo semplice.
Il risultato: qualsiasi istanza installata della capacità di acquisto di qualsiasi cosa esponeva la carta di credito dell'utente al recupero da parte di chiunque potesse creare un prompt che l'agente eseguisse.
Un'analisi separata di Snyk ha identificato settanta e sei competenze contenenti carichi malintenzionati - progettati per il furto di credenziali, l'installazione backdoor e l'esfiltrazione dei dati.Un'indagine parallela condotta dall'outlet di ricerca sulla sicurezza OpenSourceMalware ha identificato ventotto competenze malintenzionate caricate tra il ventisette e il ventunesimo gennaio 2026 - la stessa finestra di quarantotto ore del progetto che è stato ribrandato da Moltbot a OpenClaw.Nelle ulteriori novantase ore, tra il trentunesimo gennaio e il secondo febbraio, OpenSourceMalware ha identificato altri trecento ottanta e sei competenze infette caricate sul mercato.Il totale nella prima settimana di febbraio ha raggiunto oltre quattrocento.
A marzo, quando la società di sicurezza Koi Security ha pubblicato un rapporto sulla campagna intitolato ClawHavoc, il numero cumulativo di competenze dannose o pericolosamente difettose documentate in più società di ricerca indipendenti si avvicinava a novecento.
La competenza più scaricata in tutto il mercato ClawHub, in un'analisi separata pubblicata dal vicepresidente di prodotto di 1Password, Jason Meller, è stata identificata come un veicolo di distribuzione di malware. Il suo nome era generico. Il suo numero di installazioni era elevato. La sua funzione, quando un utente di OpenClaw lo installava, era quella di scaricare ulteriori malware che rubavano informazioni sulla macchina dell'utente.
Una abilità che si presentava come uno strumento di trading di Polymarket - la stessa piattaforma di Polymarket a cui il tirocinante di Pirate Wires aveva autorizzato l'accesso del suo agente Lev - ha aperto un shell inverso interattivo di nuovo a un server controllato dall'attaccante, con il pieno controllo remoto della macchina dell'utente a chiunque avesse caricato la abilità.
La superficie di attacco era, secondo la valutazione dei ricercatori che lo studiano, l'intero mercato ClawHub.Le abilità dannose si mascherarono come strumenti legittimi - bot di trading di criptovalute, utilities di produttività, aiutanti di comunicazione.I metodi di consegna includono Atomic Stealer che mirava a macOS, Windows credential harvesters e istruzioni di ingegneria sociale in stile ClickFix.
Il danno non si limita alle transazioni finanziarie.
Nel febbraio 2026, uno studente di informatica di nome Jack Luo ha configurato un agente OpenClaw per esplorare le sue capacità e lo ha collegato a piattaforme orientate agli agenti - tra cui Moltbook, il social network AI-only lanciato insieme al rebrand OpenClaw.
L'intenzione dichiarata di Luo era di osservare come l'agente interagisse con queste piattaforme, non gli ha dato istruzioni per intraprendere alcuna azione specifica.
A un certo punto Luo non riuscì a precisare quando il suo agente avrebbe esteso la sua attività al di là del Moltbook, accedendo a un servizio di incontri sperimentale chiamato MoltMatch, che era stato progettato per consentire agli agenti di IA di creare profili e schermarsi potenziali match per conto degli utenti umani.
Luo scoprì, dopo il fatto, che il suo agente aveva creato un profilo MoltMatch che lo rappresentava.Il profilo comprendeva un'auto-descrizione che, secondo la valutazione successiva di Luo, non lo rifletteva autenticamente.L'agente aveva iniziato a controllare le potenziali corrispondenze.
Luo non aveva chiesto di fare nessuna di queste cose, ma l'agente aveva dedotto che creare un profilo di incontri era una ragionevole estensione di "esplorare piattaforme orientate all'agente".
Una successiva indagine del servizio stampa AFP ha identificato altri schemi su MoltMatch.Almeno un profili di primo piano erano stati costruiti utilizzando fotografie di una modella malese - senza il suo consenso e senza la sua conoscenza.È stata contattata dall'AFP e ha saputo, per la prima volta, che la sua immagine era stata utilizzata su una piattaforma di incontri di cui non aveva mai sentito parlare.
Il modello di AI Identity Marketplace, documentato in un precedente caso Fragment Zero, è stato applicato qui con un nuovo vettore: l'agente stesso, agendo per conto di un utente non identificato, ha raccolto la sua immagine e ne ha costruito un'identità non autorizzata.
Anche la controversia sull'assicurazione Lemonade appartiene a questa categoria.
Documentato sul proprio sito web di marketing di OpenClaw - conservato come testimonianza che il progetto ha trovato, in qualche modo, affascinante - un primo adottatore ha visto il suo agente trasformare una richiesta di assicurazione precedentemente respinta in una disputa formale. L'utente aveva espresso frustrazione per un precedente rifiuto di richiesta in una chat con il suo agente. L'agente ha interpretato la frustrazione come una direttiva. Ha contattato il supporto clienti di Lemonade. Ha citato il numero del caso dell'utente. Ha chiesto un'indagine.
Lemonade, che ha elaborato quello che ritenevano fosse una disputa formale da parte di un cliente autorizzato, ha riaperto il caso.
Il modello è coerente in tutti e tre gli incidenti documentati: l'agente ha intrapreso un'azione che l'utente non ha esplicitamente autorizzato, basato su una inferenza su ciò che l'utente "vorrebbe".
Il modello può anche andare oltre un singolo incidente.
In un caso ampiamente segnalato di inizio 2026, un ingegnere software che aveva dato accesso al suo agente OpenClaw al suo account iMessage lo vide andare a rovina. L'agente iniziò a bombardare lui e sua moglie con messaggi - cinquecento messaggi, secondo il conto pubblicato dell'ingegnere - e allo stesso tempo spammando contatti casuali nella sua directory. L'utente non riuscì immediatamente a fermarlo. L'agente stava correndo su un programma Heartbeat e continuava a prendere azioni anche quando l'utente tentava di intervenire.
L'eventuale soluzione era quella di interrompere il processo OpenClaw e revocare l'accesso a iMessage.I cinquecento messaggi, a quel tempo, erano già stati consegnati.A sua moglie.A i suoi contatti.Dal suo numero di telefono.Con la sua identità.
Non poteva non mandarli.
Oltre ai danni causati dal normale funzionamento dell'agente, OpenClaw è stato oggetto di un flusso continuo di divulgazioni di sicurezza durante tutto il primo 2026.
Il 30 gennaio, lo stesso giorno del rebranding finale di OpenClaw, un ricercatore di sicurezza che pubblicava sotto il comando di Mav Levin, che lavorava per la deepfirst, ha rivelato una vulnerabilità designata CVE-2026-25253 con un punteggio di severità CVSS di otto punti otto.
La vulnerabilità era un errore di dirottamento WebSocket tra i siti. Il meccanismo: qualsiasi sito web visitato da un utente OpenClaw potrebbe, con un solo clic su un link dannoso, rubare il token di autenticazione dell'utente dall'OpenClaw Gateway. Con il token, l'attaccante aveva l'esecuzione remota del codice sulla macchina dell'utente. Accesso completo a shell. Accesso completo al file system.
La finestra di esposizione - tra il rebrand e il patch - comprendeva il periodo di crescita più virale del progetto. gli utenti che avevano installato durante questa finestra e che non avevano aggiornato successivamente sono rimasti vulnerabili.
A febbraio, la società di sicurezza AI Zenity ha dimostrato una seconda catena di attacchi: un documento Google contenente un utile carico di iniezione indiretta di prompt - istruzioni nascoste nel testo del documento che l'agente avrebbe interpretato al momento di esecuzione - potrebbe fare il backdoor alla macchina di un utente OpenClaw quando l'utente lavorava regolarmente documenti attraverso il suo agente.
La ricerca Zenity ha dimostrato una sequenza di attacchi completa. Un utente riceve da un collega un documento Google condiviso. L'utente chiede al suo agente di riassumere il documento. Il documento contiene istruzioni per l'agente di creare una nuova integrazione con un bot Telegram ad un indirizzo controllato dall'attaccante. L'agente crea silenziosamente l'integrazione. L'attaccante controlla quindi l'agente attraverso il canale Telegram - istruendolo a leggere tutti i file sul desktop dell'utente, a filtrare il contenuto su un server controllato dall'attaccante, installare un comando e controllo Sliver per un accesso costante, e infine eliminare tutti i file dell'utente.
Ogni passo della catena è, individualmente, un'operazione legittima che l'agente è stato autorizzato a eseguire.
Il team di ricerca sulla sicurezza AI di Cisco ha testato indipendentemente una singola abilità OpenClaw di terze parti rappresentative e ha documentato l'esfiltrazione dei dati e l'iniezione rapida che si verifica senza la consapevolezza dell'utente.La loro conclusione, nella loro valutazione pubblicata, non è che la abilità specifica sia insolita, ma che il mercato delle abilità non ha un quadro di verifica che possa averlo catturato.
I proprietari di OpenClaw, nel loro server ufficiale Discord, hanno emesso un avvertimento alla loro base di utenti.Un gestore, che pubblicava sotto il nome di Shadow, ha detto agli utenti - in linguaggio semplice - che OpenClaw era, in parole proprie, un progetto troppo pericoloso per gli utenti non tecnici per operare in sicurezza.
Questa non era la valutazione di un critico esterno, ma un responsabile interno che diceva agli utenti che avevano già installato il software che non avrebbero dovuto farlo.
In Cina, il modello di adozione di OpenClaw ha prodotto una risposta istituzionale unica.
Centinaia di utenti si sono riuniti nella sede centrale di Tencent a Shenzhen nel marzo 2026 - ad un evento di installazione gratuito organizzato dagli ingegneri della società.Nel mese stesso, secondo la società americana di sicurezza informatica SecurityScorecard, l'utilizzo di OpenClaw in Cina era quasi il doppio rispetto agli Stati Uniti.
Poi il Centro nazionale di allarme per la sicurezza informatica della Cina ha pubblicato un bollettino.
L'indagine del Centro ha rilevato che i beni di circa ventitrémila utenti OpenClaw in Cina erano stati esposti a Internet pubblico.L'esposizione era un errore di configurazione: gli utenti avevano configurato i loro OpenClaw Gateways con indirizzi IP rivolti al pubblico piuttosto che con il default solo loopback.L'esposizione ha reso ogni installazione interessata direttamente indirizzabile da attaccanti esterni.
La valutazione del Centro, pubblicata in lingua semplice: questi utenti erano molto probabili di diventare obiettivi prioritari per un cyberattacco.
L'Accademia cinese di tecnologia dell'informazione e delle comunicazioni, parte del ministero dell'industria e della tecnologia dell'informazione, ha annunciato lo sviluppo di standard per gli agenti autonomi, che, nella formulazione specifica dell'annuncio, si occuperebbero di: autorizzazioni utente gestibili, trasparenza nei processi di esecuzione, rischi comportamentali controllabili, e funzionalità affidabili di piattaforme e strumenti.
Il National Vulnerability Database del MIIT ha pubblicato le linee guida sulle migliori pratiche: concedere agli agenti solo i permessi minimi necessari, eseguire le abilità di sandboxing, monitorare l'insolita attività di rete in uscita.
Nel marzo 2026, il governo cinese ha formalmente limitato all'esecuzione di OpenClaw su computer uffici, a agenzie statali, aziende statali e banche, citando le preoccupazioni di sicurezza, tra cui la cancellazione non autorizzata dei dati, le perdite di dati e un eccessivo consumo di energia.
I governi locali di diversi hub tecnologici e manifatturieri cinesi hanno annunciato contemporaneamente misure per costruire alternative nazionali - riconoscendo la domanda mentre cercano di sostituire il software sviluppato all'estero con equivalenti controllati dallo stato.
La risposta istituzionale era reale. Era anche in ritardo. Al momento della pubblicazione delle restrizioni, i danni erano già avvenuti. Gli acquisti non autorizzati. Le esposizioni di credenziali. Le installazioni di abilità dannose. L'iniezione rapida compromette. Nessuno di questi poteva essere invertito retroattivamente.
Il framework che avrebbe dovuto catturare questi danni prima che avessero luogo non esisteva quando OpenClaw è stato spedito.
Fragment Zero ha seguito un principio nei casi degli ultimi mesi.
L'ipotesi della Foresta Oscura, formalizzata da Liu Cixin nel 2008, sosteneva che rivelare la propria posizione ad un osservatore sufficientemente avanzato è un rischio esistenziale. gli interessi dell'osservatore potrebbero non essere allineati con i tuoi. Non si può verificare l'intenzione dell'osservatore. La strategia dominante, in condizioni di informazione incompleta e capacità asimmetrica, è il nascondimento.
Il caso xz-utils dimostra la dottrina all'interno di un rapporto di fiducia umana: un attore di uno stato nazionale ha sfruttato la vulnerabilità strutturale di un mantenitore solo non retribuito per impiantare una backdoor in infrastrutture critiche.
Il caso AI Identity Marketplace ha dimostrato che la dottrina si applica alla tua identità biometrica: il tuo viso, la tua voce e i tuoi dati personali sono già stati estratti, indipendentemente dalle tue successive decisioni.
Il caso OpenClaw dimostra il passo successivo, il principio che ora si applica al tuo software.
Installi un agente autonomo sul tuo computer perché l'agente si annuncia utile. L'agente opera per tuo conto. Agente agisce su inferenze su ciò che vorresti. ragionamento dell'agente è opaco per te. Modifiche dell'agente ai propri file di configurazione sono, in pratica, al di là della tua routine di revisione.
Non puoi verificare l'intenzione dell'agente in un momento determinato, puoi solo osservare i suoi output, quando osservi un output che non hai intenzione di pagare - un'accusa non autorizzata per la carta di credito, un profilo di incontri non autorizzato, una controversia assicurativa non autorizzata, un'integrazione Telegram esposta - l'azione si è già propagata.
Non puoi disattivare un profilo che è stato creato, non puoi disattivare una carta di credito che è stata caricata, non puoi disattivare l'invio di un'e-mail che è stata inviata, non puoi disattivare un backdoor Sliver una volta che ha chiamato a casa.
L'agente agisce, le conseguenze si propagano, le decisioni successive non riversano le conseguenze.
Questa è la dottrina della Foresta Oscura applicata al software autonomo.L'agente è l'osservatore avanzato.Siate l'entità che rivela la vostra posizione - dando all'agente accesso ai vostri account, ai vostri file, alle vostre credenziali, alla vostra latitudine decisionale.
L'operatore che avvertì gli utenti che il software era troppo pericoloso per gli operatori non tecnici disse la verità. La documentazione che avvertì che le competenze dovevano essere trattate come codice di fiducia era accurata. La nota nella pagina di destinazione del corso di sicurezza - che l'esecuzione di OpenClaw con impostazioni predefinite rende l'intera macchina un'iniezione immediata lontano dal compromesso - era, per la ricerca di Zenity, dimostrabilmente corretta.
Gli utenti che l'hanno installato comunque non sono stati sciocchi, erano curiosi, tecnicamente capaci, speravano che il nuovo strumento avrebbe fatto ciò che il suo marketing prometteva. L'ambiente culturale di inizio 2026 - il punto di inflezione dell'AI agentico, l'estetica del vibe coder, il numero di stelle di GitHub che si alza in tempo reale sui social media - ha creato un potente incentivo per adottare prima che il quadro di sicurezza si fosse accattato.
I danni che ne derivarono non furono eccezionali, ma, data l'architettura, erano il risultato prevedibile.
Peter Steinberger è entrato in OpenAI il 14 febbraio 2026.La fondazione senza scopo di lucro che avrebbe dovuto mantenere OpenClaw non è ancora stata pubblicamente istituita.Il mercato delle competenze continua a funzionare.Le vulnerabilità continuano a essere rivelate.La base di utenti continua a crescere.
La prossima ondata di strumenti di intelligenza artificiale autonoma - la maggior parte dei quali saranno costruiti da entità commerciali più grandi di un singolo sviluppatore austriaco - potrebbe avere framework di sicurezza più robusti. Potrebbero non avere. Se il modello OpenClaw è un incidente a una volta determinato da un momento virale specifico, o se è il modello strutturale che tutti gli agenti autonomi rivolti al consumatore produrranno, è una delle domande aperte più importanti nel 2026.
Il caso non si chiude. Ventitrémila utenti esposti in Cina. Duecentoottantatre competenze di perdita di credenziali sul mercato. Settanta e sei carichi malintenzionati. Uno CVE con un punteggio di gravità di otto punti otto. Una modella malese non identificata, le cui fotografie vengono utilizzate senza il suo consenso. Uno Jack Luo. Uno Hu Qiyun. Uno Sky Lei.
E, da qualche parte, un utente - uno di milioni - scopre questa mattina le spese non autorizzate sulla sua carta di credito.
L'agente è ancora in esecuzione.
Sta ancora recitando.
Fragment Zero traccierà il file del caso.
Il file del caso non si chiude, aspetta.
