Il malware che ruba password e ambienti delle IA locali

Hudson Rock è un’azienda specializzata in sicurezza informatica che si è imbattuta (probabilmente) per prima in un’interessante evoluzione nel mondo degli infostealer. Per la prima volta, infatti, è stato trovato un malware che prende di mira non soltanto l’identità “umana”, ma anche l’identità operativa di un assistente software. Il payload, infatti, ha esfiltrato l’intero ambiente di configurazione di OpenClaw (ex – Clawdbot e Moltbot), cioè la “memoria” e i parametri che definiscono come un agente AI lavora e si comporta.

Alon Gal, CTO di Hudson Rock, ha ricondotto l’infezione a una probabile variante di Vidar, un infostealer attivo dal 2018, sottolineando però che l’acquisizione dei file non sarebbe avvenuta tramite un modulo dedicato a OpenClaw. Il punto, in questa storia, è proprio che la sottrazione del materiale sensibile è stata ottenuta con un approccio più grezzo ma efficace: una routine di raccolta file generalista, capace di pescare directory e formati “interessanti” e di trasformare un furto di segreti standard in un furto della “personalità” digitale di un agente.

Un twist interessante perché, alla fine, l’AI è un “rapimento collaterale”

Dal punto di vista tecnico, il caso diventa rilevante perché mostra quanto sia facile, per un infostealer tradizionale, intercettare dati ad alto valore senza conoscere nel dettaglio la piattaforma. La routine di file-grabbing avrebbe raccolto openclaw.json, un file che include il gateway token e metadati come email di riferimento e percorso del workspace, aprendo la strada all’abuso dell’autenticazione verso il gateway. Nello stesso set compaiono device.json, che contiene chiavi crittografiche usate per pairing sicuro e operazioni di firma, e soul.md, un documento che descrive principi operativi, linee comportamentali e limiti etici dell’agente ovvero il perimetro entro cui il sistema prende decisioni e agisce. La sottrazione del gateway token è la leva più immediata: se la porta dell’istanza locale è esposta, un attaccante può connettersi da remoto all’OpenClaw della vittima, oppure mascherarsi come client legittimo nelle richieste autenticate verso l’AI gateway. In pratica, si passa dal furto di password al furto di “autorità”: se l’agente ha accesso a email, API, cloud e risorse interne, l’attaccante ottiene un canale già autorizzato ad agire, spesso con privilegi che superano quelli di un singolo account umano.

Le contromisure sono ancora “crude”

Il contesto che circonda OpenClaw rende questa dinamica ancora più delicata, perché la superficie d’attacco non è solo endpoint e configurazione, ma anche ecosistema e supply chain di “skill AI”. I maintainers hanno annunciato iniziative come la collaborazione con VirusTotal per esaminare skill potenzialmente malevole caricate su ClawHub, definire un threat model e introdurre audit per intercettare configurazioni errate, segno che la piattaforma sta entrando nella fase in cui la sicurezza deve diventare un requisito strutturale. Nel frattempo, ricerche indipendenti descrivono campagne che sfruttano skill come esche e spostano il payload su siti lookalike, con l’obiettivo di bypassare i controlli e trasformare i registri di skill in vettori di attacco a catena. A questo si aggiungono criticità di governance dei dati, come il problema evidenziato su Moltbook, dove un account agente non risulterebbe eliminabile, lasciando gli utenti senza un meccanismo pratico per rimuovere identità e contenuti associati. E soprattutto pesa il tema dell’esposizione: analisi threat intelligence hanno indicato la presenza di centinaia di migliaia di istanze OpenClaw esposte che in presenza di vulnerabilità possono diventare un trampolino verso scenari di remote code execution.

• agentic AI, AI agent security, Clawdbot, ClawHub, credential theft, device keys, Endpoint security, exposed instances, gateway token, Hudson Rock, infostealer, malicious skills, Moltbot, OpenClaw, OX Security, RCE, remote code execution, secrets exfiltration, soul.md, supply chain attack, Threat intelligence, Vidar, VirusTotal