OpenClaw è un assistente AI operativo: non si limita a rispondere in chat, ma può eseguire azioni reali come gestire email e calendario, automatizzare task e interagire con strumenti esterni (inclusi canali di messaggistica come WhatsApp o Telegram).

Questa è la sua forza—e anche il motivo per cui va trattato come un software con superpoteri: se lo configuri male o installi estensioni non affidabili, i rischi diventano concreti (furto credenziali, accesso a file, esecuzione comandi indesiderati).

TL;DR

• Cos’è: assistente AI open source e self-hosted che può usare tool e automazioni.
• Perché è diverso da una chat: ha tool access, memoria/stato e integrazioni operative.
• Rischio principale: è un “agent” con accesso a strumenti → superficie d’attacco alta.
• Regola d’oro: parti “safe by default” (tool pericolosi spenti), abilita solo ciò che serve e verifica qualsiasi skill/plugin.

Cos’è OpenClaw (e cosa lo rende diverso da una “chat”)

Una chat AI classica produce testo. Questo assistente AI operativo invece è pensato come gateway tra te e un set di strumenti: riceve richieste, ragiona e può fare (invio email, automazioni, chiamate API, operazioni via dashboard o messaggistica).

A livello concettuale può:

• mantenere memoria e stato (sessioni, profili, contesto)
• collegarsi a uno o più LLM provider (con possibili fallback)
• usare tool “ad alto impatto” (web, browser automation, exec/terminal) se abilitati
• esporre una Control UI/Dashboard e/o integrarsi con canali chat (Telegram, WhatsApp, ecc.)

È pubblicato e mantenuto su GitHub come open source personal AI assistant.

Leggi anche: Moltbook: il “social network per agenti AI” (senza umani)

A cosa serve (use case pratici)

1) Uso personale (produttività)

• gestione email, follow-up, promemoria
• appuntamenti e sincronizzazione calendario
• workflow “da chat”: comandi brevi → azioni ripetibili

2) Uso lavoro/team

• checklist operative, report periodici, aggiornamenti
• integrazione con tool e sistemi (in base alle skill abilitate)
• controllo tramite policy/allowlist e autorizzazioni

3) Uso “agentic” avanzato (area ad alto rischio)

• browser automation
• web fetch/search
• esecuzione comandi (exec) e processi in background

Se attivi tool come exec o browser automation, stai passando da “assistente” a “operatore di sistema”. Serve governance.

Prerequisiti (prima di installare)

OpenClaw richiede Node recente (nelle quickstart viene indicato Node 22+).

Best practice consigliate, soprattutto per uso serio:

• usa un ambiente dedicato (VM, macchina separata o almeno utente OS dedicato)
• usa chiavi/API con permessi minimi (principio del least privilege)
• parti in sola lettura: tool pericolosi spenti, abilitali gradualmente

Installazione: macOS / Linux (script ufficiale)

curl -fsSL https://openclaw.ai/install.sh | bash

Opzioni utili:

Mostrare i flag disponibili

curl -fsSL https://openclaw.ai/install.sh | bash -s -- --help

Installare senza onboarding (utile per setup headless)

curl -fsSL https://openclaw.ai/install.sh | bash -s -- --no-onboard

In generale l’installer verifica dipendenze, assicura Node, installa via npm (default) e avvia/prospetta l’onboarding.

Installazione Windows (PowerShell)

iwr -useb https://openclaw.ai/install.ps1 | iex

Primo avvio: onboarding, gateway e dashboard

Flusso tipico suggerito dalla quickstart:

1) Onboarding (auth, gateway, canali opzionali)

openclaw onboard --install-daemon

2) Verifica stato gateway

openclaw gateway status

3) Apri la Control UI (dashboard)

openclaw dashboard

Deploy su VPS / Cloud (sempre acceso)

Se vuoi OpenClaw attivo 24/7, la scelta comune è una VPS con accesso controllato (VPN/tailnet, firewall, token).

Best practice su VPS:

• non esporre il gateway “aperto” su Internet
• quando possibile fai bind su loopback
• accesso remoto via rete privata + autenticazione forte

Skills/estensioni: potenza e punto critico

OpenClaw può essere esteso con skills/plugin, installabili anche via UI. Alcune guide descrivono registry pubblici e installazioni “one-click”.

Il problema: se un registry è pubblico, può diventare terreno di attacchi “supply chain”. Negli ultimi giorni sono state riportate campagne di skills malevole (furto credenziali, social engineering, invito a eseguire comandi offuscati).

Tratta ogni skill come un eseguibile: se non la verifichi, stai eseguendo codice di terzi con accesso ai tuoi strumenti.

Rischi principali (in modo pratico)

1) Prompt injection

Un attaccante può inserire istruzioni malevole in:

• messaggi chat
• pagine web lette dal bot
• allegati o testo incollato

Obiettivo: convincere l’agente a ignorare regole e fare cose non desiderate (leggere file, eseguire comandi, esfiltrare dati).

Mitigazione reale: non “il prompt di sistema”, ma enforcement:

• allowlist
• approvazioni (human-in-the-loop)
• sandbox
• limitazione tool

2) Tool ad alto rischio abilitati senza governance

Abilitare exec/browser/web_fetch/web_search senza controlli aumenta drasticamente la superficie d’attacco.

3) Skills malevole o non verificate (supply chain)

Una skill “legittima” può:

• introdurre comportamenti dannosi
• spingerti a installare malware con comandi manuali
• rubare token e dati via log/file

4) Gateway esposto / misconfigurazioni

Il gateway (porta di default indicata spesso come 18789) se esposto senza firewall/auth adeguata diventa un bersaglio.

5) Segreti su disco e log/sessioni

In directory di stato (es. ~/.openclaw) possono vivere:

• config
• credenziali/token
• sessioni
• output dei tool

Se una skill/agente ottiene accesso in lettura a quei file, può esfiltrare segreti.

Checklist “Safe by default” (copia-incolla operativa)

• Esegui OpenClaw con utente OS dedicato (non il tuo utente principale)
• Tieni il gateway su loopback e accedi via VPN/tailnet (non bind pubblico)
• Imposta token/password del gateway e ruotali se sospetti compromissioni
• Disabilita/limita tool ad alto rischio (exec/browser/web_fetch/web_search) e abilitali solo quando servono
• Attiva sandboxing quando disponibile e limita l’accesso al filesystem
• Usa allowlist per DM/gruppi; evita bot in stanze pubbliche
• Installa skills solo verificate (o con code review). Considerale “codice eseguibile”
• Tratta link/allegati/testo incollato come ostile, anche se arriva da contatti fidati
• Proteggi directory di stato e log (permessi stretti, backup sicuri)

Nota su policy e contesto (importante)

Negli ultimi giorni sono emerse segnalazioni e avvisi pubblici legati a rischi derivanti da configurazioni improprie e dall’ecosistema di estensioni. In alcuni paesi sono state pubblicate note/avvertenze istituzionali sui rischi di sicurezza collegati a OpenClaw.

• Security researchers found hundreds of malicious add-ons on ClawHub
• Malicious OpenClaw ‘skill’ targets crypto users on ClawHub — 14 malicious skills were uploaded to ClawHub last month
• China warns of security risks linked to OpenClaw open-source AI agent

Conclusione

OpenClaw è interessante perché porta l’AI fuori dalla chat e dentro l’operatività quotidiana. Ma proprio perché può usare tool e automazioni, va configurato con mentalità “zero trust”: meno privilegi, meno superficie d’attacco, estensioni verificate, gateway non esposto.