Gli agent autonomi evolvono: da progetti sperimentali sono oggi veri sistemi operativi dei workflow di sviluppo e degli ambienti cloud. Tuttavia, mentre le loro capacità accelerano, la sicurezza risulta essere ancora insufficiente. Molti framework per gli agent AI si basano su un’assunzione di fiducia implicita: fiducia nel download di skills, nei prompt che migliorano nel tempo e nel fatto che gli agent non esfiltrino dati o non agiscano in modalità rischiosa.

Una valutazione che si è già dimostrata errata. Lo scorso gennaio, i ricercatori hanno individuato oltre 200 OpenClaw skills dannose distribuite in pochi giorni, tutte camuffate da utility legittime ma in realtà veicolo di malware per la condivisione di credenziali.

Non si è trattato di un caso isolato. La crescita di OpenClaw, il suo ecosistema decentralizzato di skills e gli ampi privilegi di sistema hanno ampliato la superficie d’attacco, in gran parte non gestita. Le skills vengono installate direttamente da repository pubblici, la documentazione è accettata senza verifiche e gli agent hanno accesso persistente a memoria e strumenti ma senza gli opportuni controlli di sicurezza.

Marco Rottigni, Global Solutions Architect di SentinelOne

Perché serve ripensare la sicurezza degli agent

I modelli di sicurezza applicativa standard non si adattano perfettamente ai sistemi agentic. Di seguito gli errori più comuni:

• Fiducia cieca nelle skills scaricate da repository pubblici
• Attacchi di prompt injection che variano il comportamento dell’agent in runtime
• Cambio silenzioso della configurazione che indebolisce gradualmente le protezioni
• Invio di dati all’esterno senza consapevolezza da parte dell’utente

Dettagli su ClawSec

Poiché l’assunzione di fiducia implicita non è più consentita, ClawSec nasce per colmare questa lacuna. E’ una suite di sicurezza open source capace di proteggere gli agent OpenClaw da prompt injection, compromissioni della supply chain, cambi di configurazioni e comportamenti runtime non sicuri. E’ disponibile a costo zero su GitHub e protegge sia le decisioni umane sia gli agent autonomi.

ClawSec agisce come piattaforma di sicurezza a più livelli, composta da skills modulari che operano in sinergia. Agendo come “skill of skills”, ClawSec rappresenta un involucro di sicurezza potenziato attorno all’agent. Non sostituisce le skill esistenti, ma le valida e protegge. Ogni aspetto rilevante per la sicurezza viene controllato continuamente.

ClawSec nasce in Prompt Security, azienda di SentinelOne, il cui obiettivo è radicato nella ricerca sulla sicurezza e nel potenziamento dei workflow agentic. La mission non è il controllo, ma la resilienza.

Come funziona

ClawSec opera come un ciclo chiuso di feedback, dove ogni rilevazione potenzia progressivamente l’intero ecosistema:

1. Install – Viene installata la suite ClawSec come singola skill di sicurezza.
2. Attivazione – Controlli di integrità, potenziamento della postura e audit si attivano immediatamente.
3. Detection – Comportamenti sospetti, deriva o minacce note vengono segnalati.
4. Decisione – L’agent richiede autorizzazione prima di effettuare comunicazioni.
5. Protezione – I report diventano alert per le community che proteggono altri agent-

Integrità delle skills e difesa della supply chain

Uno dei maggiori rischi negli ecosistemi agentic è la compromissione della supply chain delle skills. Gli agent scaricano ed eseguono skills sviluppate da terze parti, spesso senza verifica crittografica o controlli adeguati. Con ClawSec, la fiducia cieca viene eliminata.

Ogni skill di sicurezza in ClawSec viene distribuita con checksum e solo da fonti verificate. La suite supporta sia le definizioni standard SKILL.md sia i formati .skill pacchettizzati, garantendo compatibilità con tutti i workflow OpenClaw esistenti.

Una volta installato, ClawSec monitora continuamente file critici come TOOLS.md, baseline dei prompt e set di configurazione alla ricerca di segnali critici. In caso di modifiche inattese, l’agent viene immediatamente informato.

Potenziamento proattivo e risultati automatizzati

La sicurezza non dovrebbe essere reattiva. ClawSec attiva il potenziamento della postura subito dopo l’installazione, analizzando configurazione e contesto runtime alla ricerca di vettori noti di prompt injection, impostazioni non sicure e configurazioni errate. Per i team che desiderano audit automatizzati ricorrenti, è possibile attivare skills watchdog opzionali con frequenza giornaliera, all’avvio o dopo modifiche significative.

Threat intelligence guidata dalla community

La sicurezza degli agent evolve rapidamente e nessun team può monitorare ogni nuova minaccia. ClawSec integra un feed live di advisory di sicurezza basato sulla community, alimentato dal National Vulnerability Database (NVD) e da segnalazioni inviate tramite GitHub Issues. Quando una minaccia viene verificata dai maintainer, diventa un advisory consultabile da qualsiasi agent ClawSec associato.

Zero Trust per impostazione predefinita

Per scelta progettuale, ClawSec adotta un approccio Zero Trust, imponendo il silenzio come principio di base. L’uscita dei dati non autorizzata e la telemetria vengono bloccati completamente e l’agent in caso di anomalia o compromissione si ferma e richiede il consenso esplicito dell’utente prima di agire. Nessuna comunicazione nascosta, nessuna condivisione di dati in background, nessuna richiesta inattesa. Gli agent sono responsabili verso i propri operatori, non verso infrastrutture invisibili. Gli eventi di sicurezza vengono gestiti in modo trasparente, con l’essere umano al centro del processo decisionale.

Conclusioni

ClawSec prevede già un solido insieme di funzionalità di sicurezza, ma il vero potenziale è nell’estensibilità. Gli sviluppatori sono invitati a contribuire con nuove skills di sicurezza: difese contro prompt injection, moduli di enforcement delle policy, strumenti di auditing e altro ancora. Tutte le skills inviate vengono revisionate e pubblicate in un catalogo condiviso a beneficio delle community. ClawSec aiuta le imprese a condividere in modo sicuro i dati, incrementando, insieme, uno nuovo standard di sicurezza.