Quella che doveva essere una scorciatoia per l’automazione sta rapidamente trasformandosi in una nuova superficie d’attacco. È il quadro che emerge dall’ultima analisi di Bitdefender, che ha passato al setaccio l’ecosistema delle skill di OpenClaw, un progetto open source cresciuto in modo esplosivo – oltre 160 mila stelle su GitHub – grazie alla promessa di agenti capaci di agire al posto dell’utente.
Il principio è semplice: OpenClaw funziona come un motore di esecuzione. Le sue “skills” sono piccoli moduli di codice che definiscono cosa l’AI può fare su un sistema: avviare workflow, interagire con servizi online, gestire account, operare su più dispositivi via chat. In pratica, un coltellino svizzero dell’automazione, molto popolare soprattutto nei flussi legati al mondo crypto.
Il problema è che quella stessa flessibilità viene oggi sfruttata attivamente dai criminali.
Il dato chiave: una skill su sei è malevola
Nel corso della prima settimana di febbraio 2026, i ricercatori hanno rilevato che circa il 17% delle skill OpenClaw analizzate presentava comportamenti dannosi. Non si tratta di casi isolati: molte vengono clonate e ripubblicate in massa con minime variazioni di nome, per aumentare visibilità e credibilità.
Il bersaglio principale è il denaro digitale. Oltre metà delle skill malevole individuate – il 54% – è legata a criptovalute: wallet helper, tracker del gas, strumenti per Solana, Phantom, Polymarket o bot di trading. Subito dopo arrivano le skill per social media (24%), pensate per compromettere account YouTube o X, e quelle di manutenzione o “auto-update” (17%), ideali per giustificare permessi elevati ed esecuzioni frequenti in background.
Dietro molte di queste attività ricorre la stessa infrastruttura: script e binari ospitati su servizi di paste pubblici o repository GitHub che imitano tool legittimi, con payload scaricati da un indirizzo IP specifico (91.92.242.30). In almeno tre casi distinti, le skill hanno portato all’installazione di AMOS Stealer su macOS, un infostealer capace di raccogliere credenziali, dati dei browser e informazioni crypto.
Come funziona l’attacco
Lo schema è sempre uguale. La skill si presenta come uno strumento utile – un “Base Trading Agent”, un wallet tracker, un updater. Una volta installata, esegue comandi shell leggermente offuscati, spesso codificati in Base64. Da lì parte il download di script remoti o binari aggiuntivi, che vengono eseguiti automaticamente.
In alcuni casi l’utente viene addirittura invitato a scaricare manualmente file esterni, come un presunto AuthTool.exe protetto da password banali, oppure a lanciare comandi separati su macOS. In altri, l’esfiltrazione è silenziosa: una skill mascherata da utility di “sync” scandaglia l’ambiente OpenClaw alla ricerca di file contenenti chiavi private, li codifica e li invia a server controllati dagli attaccanti.
Il risultato è un attacco a catena estremamente pulito:
- prima la pubblicazione della skill malevola,
- poi la clonazione sotto più nomi,
- quindi l’installazione da parte dell’utente,
- infine l’esecuzione nascosta dei payload.
Niente phishing. Niente popup sospetti. Solo automazione che fa esattamente ciò che le è stato consentito.
Dal consumer al corporate
Un aspetto nuovo – e più preoccupante – è l’ingresso di OpenClaw anche negli ambienti aziendali. Secondo le rilevazioni della divisione business dei ricercatori, sono già centinaia i casi osservati in contesti corporate. Quello che era nato come rischio prevalentemente consumer sta iniziando a toccare anche le imprese, dove le skill possono avere accesso a API, servizi cloud e workflow interni.
Particolarmente esposte sono le configurazioni crypto: in molti ecosistemi le chiavi private o i token API vengono conservati in chiaro o come variabili d’ambiente. Una volta che una skill malevola gira sul sistema, raccoglierli diventa banale.
Le “skills” come nuova supply chain del malware
Il punto centrale è che le AI skills stanno assumendo il ruolo che in passato era delle estensioni browser o dei pacchetti open source compromessi: una supply chain perfetta per distribuire malware mascherato da funzionalità.
Non serve più convincere qualcuno a cliccare su un link sospetto. Basta offrirgli uno strumento “utile”.
Per ridurre il rischio, Bitdefender ha messo a disposizione gratuitamente un AI Skills Checker, pensato per analizzare le skill prima dell’uso e individuare segnali d’allarme come download esterni, comandi pericolosi o comportamenti anomali. Ma la tecnologia, da sola, non basta.
La difesa reale passa da pratiche molto concrete: trattare ogni skill come un vero software installato, diffidare degli strumenti crypto “troppo comodi”, evitare componenti che chiedono di eseguire binari esterni, limitare l’esposizione di chiavi e segreti, e ricordare che un nome familiare o un repository pubblico non sono garanzia di legittimità.
In sintesi: l’automazione sta accelerando tutto, anche il cybercrime. E nel mondo degli agenti AI, le “skills” non sono semplici plug-in. Sono codice con privilegi reali. Ignorarlo oggi significa prepararsi a scoprirlo nel modo peggiore domani.
