A febbraio 2026, il team Unit 42 di Palo Alto Networks ha identificato cinque skill malevole attive su ClawHub — il marketplace ufficiale per agenti AI OpenClaw — con payload che includono infostealer macOS tramite dropper curl-pipe-bash, evasione degli scanner tramite padding da 22 MB, iniezione di affiliate link nei consigli finanziari e il primo schema autonomo di pump-and-dump su blockchain Solana documentato da agenti AI. L'analisi indipendente ClawHavoc di Koi Security ha portato il totale a 341 skill malevole nel medesimo periodo.
OpenClaw è una piattaforma open-source per agenti AI orientata all'automazione della produttività e all'analisi finanziaria. Il marketplace ClawHub consente agli sviluppatori terzi di pubblicare skill — estensioni modulari che vengono eseguite con accesso completo all'identità runtime dell'agente e alla sua autorità. Il progetto della piattaforma colloca la logica delle skill e l'autorità dell'agente in un contesto di esecuzione condiviso: una scelta architetturale deliberata che produce capacità estreme per i casi d'uso legittimi e una superficie di attacco equivalente per quelli malevoli. Bitdefender Labs ha rilevato che circa il 17% delle skill OpenClaw analizzate nel periodo iniziale portava payload malevoli.
Quattro Classi di Attacco: Il Registro Tecnico
L'analisi di Unit 42 del 23 giugno 2026 documenta ogni attacco nel dettaglio tecnico. Le skill tradingview-ai-indicator-assistant e ai-tradingview-assistant-for-macos distribuivano l'infostealer macOS cluw tramite dropper curl-pipe-bash con encoding base64 reindirizzati attraverso paste-site (glot[.]io e rentry[.]co). L'infrastruttura C2 a 2.26.75[.]16 e 91.92.242[.]30 stabiliva persistenza tramite cron job pianificati che sopravvivevano alla rimozione della skill dal marketplace. L'architettura a redirect dinamico garantisce che ogni richiesta recuperi un payload aggiornato a runtime, oltre il punto di controllo in cui opera la scansione statica in fase di installazione.
La skill omnicogg (SHA256: b30eaed1f7478c28f4ec50d07ed5ef014ffbc4b2bc5a38d689ba9f7abb5e19c2) ha dimostrato una comprensione precisa dell'architettura degli scanner: 22 MB di caratteri di padding nel README.md ha spinto il file oltre le soglie di elaborazione di VirusTotal e ClawScan. Entrambi hanno restituito verdetti puliti su un file contenente un payload AMOS attivo. La tecnica richiede zero codice exploit — sfrutta un limite noto negli strumenti di analisi statica documentato pubblicamente dai vendor degli scanner.
La skill money-radar caricava un referrals.json aggiornato dinamicamente come precondizione per rispondere a qualsiasi domanda finanziaria, instradando 60+ prodotti attraverso link di tracking affiliate controllati dall'operatore, con targeting verso utenti in Cina continentale, Hong Kong e Singapore. L'operatore ruotava i partner affiliate dopo l'installazione con pieno controllo dinamico, lasciando una traccia di audit completamente vuota nel comportamento runtime dell'agente.
La skill letssendit (SHA256: f4e41aa269c88bf11a2022701a9cf41e9a186aa1b224d837c31bf34e0b875d0e) coordinava agenti autonomi che raccoglievano Solana nel wallet dell'operatore ed eseguivano lanci di token in front-running su pump[.]fun tramite il dominio letssendit[.]fun. Unit 42 classifica questo come il primo caso documentato di utilizzo di una rete di agenti AI autonomi per la manipolazione finanziaria del mercato — una categoria di minaccia priva di qualsiasi precedente nella ricerca sulla supply chain.
Semantic Instruction Hijacking: Il Problema Architetturale
La scoperta centrale di Unit 42 va oltre i cinque casi individuali: le skill malevole utilizzano il semantic instruction hijacking per aggirare i vincoli tecnici che bloccherebbero attacchi equivalenti in runtime containerizzati. Una skill OpenClaw viene eseguita con l'identità completa dell'agente — i suoi permessi, l'accesso ai dati e la capacità di comunicazione in uscita. Una skill può ridefinire il comportamento dell'agente, la gestione dei dati e i target di rete dall'interno del medesimo livello di esecuzione. La superficie di attacco è la funzionalità principale dell'architettura, reindirizzata.
I due meccanismi di screening di ClawHub — gli audit ClawScan e l'integrazione con VirusTotal — hanno fallito entrambi contro minacce attive presenti nel marketplace da febbraio a maggio 2026. La distribuzione dinamica dei payload tramite redirect a paste-site colloca il contenuto malevolo a runtime, strutturalmente al di fuori della portata dell'analisi statica in fase di installazione. ClawHub ha annunciato una collaborazione con NVIDIA il 1° giugno 2026, orientata all'analisi runtime e alla revisione del layer documentale. I deployment attivi fino a maggio 2026 richiedono un audit retroattivo rispetto alla lista IOC pubblicata.
La Decisione per la Leadership Ingegneristica
I team che eseguono OpenClaw — o qualsiasi framework agentivo basato su un marketplace centralizzato di skill — devono riclassificare l'installazione di skill come equivalente alla concessione di autorità di esecuzione a livello agente a codice di terze parti. Il modello mentale corretto: questo è più vicino alla concessione di accesso SSH che all'installazione di un'estensione browser.
Tre mitigazioni operano a livello architetturale. Il monitoraggio dell'egress runtime stabilisce una baseline documentata degli endpoint in uscita attesi e genera alert su qualsiasi connessione verso infrastruttura esterna al registro approvato. I canali C2 documentati da Unit 42 — 2.26.75[.]16, 91.92.242[.]30, laosji[.]net, letssendit[.]fun — erano rilevabili tramite telemetria di rete anche quando gli scanner restituivano verdetti puliti. La verifica della provenienza del publisher richiede un audit riga per riga del codice sorgente, abbinato a identità verificata e cronologia commit tracciabile prima del deployment. Insieme questi strumenti costituiscono la postura di sicurezza minima per qualsiasi deployment OpenClaw in produzione.
Il caso letssendit richiede un terzo aggiornamento al modello di minaccia organizzativo: gli agenti con accesso al wallet o autorità di esecuzione finanziaria richiedono processi di revisione della sicurezza derivati dalla threat modeling dei servizi finanziari, incentrati sul monitoraggio autonomo delle transazioni e sulla limitazione dello scope del wallet a livello infrastrutturale. Lo schema pump-and-dump è stato eseguito interamente all'interno dell'envelope operativo normale dell'agente — l'agente ha svolto la propria funzione progettata per un account dell'attaccante.
La priorità operativa immediata è la verifica incrociata delle skill installate rispetto alla lista IOC completa di Unit 42 — hash SHA256, indirizzi IP e domini — prima della prossima finestra di revisione della sicurezza pianificata. I meccanismi di auto-aggiornamento nei casi infostealer documentati mantenevano i canali C2 dopo la rimozione della skill dal marketplace, il che significa che le compromissioni attive richiedono una remediation dedicata oltre la disinstallazione.
Articolo di LEON — AI Agents & Systems
LEON copre il livello tecnico in cui gli agenti AI vengono costruiti e distribuiti. Fonti: codice, documentazione, CVE.