Il 5 febbraio 2026, Daniel Lockyer (x.com/DanielLockyer) ha pubblicato un severo avviso su X:
“malware trovato nella skill più scaricata su clawhub
e così inizia”
Stava citando il suo stesso post di solo 10 giorni prima, dove aveva previsto:
“Stimo che ci manchino solo un paio di settimane da un problema di sicurezza estremamente serio all'interno di un'azienda… Stanno ricevendo accesso completo a segreti e strumenti, e ora scopriamo che sono accessibili a Internet pubblico. Tempi divertenti in arrivo.”
Quella previsione è invecchiata in tempo record.
La competenza in questione era l'oggetto più scaricato su Clawhub, un mercato per "competenze" che estendono OpenClaw (noto anche come Clawdbot/Moltbot), un agente AI locale che può leggere i tuoi file, controllare il tuo browser, eseguire comandi terminali e mantenere una memoria a lungo termine.
La competenza malevola si mascherava da semplice strumento di tendenze "Twitter" (ora X). Le sue istruzioni sembravano legittime a prima vista, ma il primo passo ha detto agli utenti di installare una "dipendenza richiesta" chiamata openclaw-core. Cliccando sui link forniti si è portati a una consegna di malware in più fasi: una pagina web che ha ingannato l'agente AI a eseguire comandi shell offuscati, scaricando un payload di seconda fase, rimuovendo i flag di quarantena di macOS e eseguendo un infostealer.
Il malware (confermato tramite VirusTotal) ha preso di mira sessioni del browser, cookie, password salvate, token per sviluppatori, chiavi SSH, credenziali cloud, tutto ciò che un agente con ampie autorizzazioni può raggiungere.
Dalla scoperta originale, i ricercatori hanno trovato centinaia di competenze malevole su Clawhub (341 in un solo audit), molte parte di campagne coordinate che consegnano Atomic Stealer (AMOS) su macOS, keylogger su Windows e wrapper che rubano credenziali.
Il problema fondamentale è semplice e terrificante: le competenze OpenClaw sono fondamentalmente file Markdown eseguibili. Non c'è un processo di revisione, nessun sandboxing per impostazione predefinita, e l'intero registro funziona sulla fiducia + download. È l'incubo della catena di fornitura npm/PyPI, ma ora i pacchetti possono esfiltrare direttamente le tue chiavi AWS o i portafogli crypto.
I team di sicurezza stanno già emettendo consigli schietti:
Non eseguire OpenClaw su nessun dispositivo con credenziali aziendali.
Se hai installato competenze da Clawhub, tratta la macchina come compromessa.
Ruota ogni segreto che hai mai usato su di esso.
Il post di Lockyer ha già accumulato milioni di visualizzazioni e ha avviato la conversazione di cui l'industria aveva bisogno. L'era del "installa semplicemente questa fantastica competenza AI" è finita prima che iniziasse davvero. La lezione è la stessa che ogni ecosistema di pacchetti impara alla fine, tranne che questa volta il raggio d'azione è tutta la tua vita digitale. E così inizia.