C’è un nuovo giocattolo che gira nei canali giusti di GitHub, nei Discord affollati di sviluppatori insonni e nei thread X dove la parola AGI viene usata con la stessa leggerezza con cui negli anni Novanta si diceva “multimedia”. Si chiama Clawdbot e in poche settimane ha superato i diecimila GitHub stars e sfiorato i novemila membri su Discord. Numeri che, nel mondo open source, non sono una statistica ma un segnale. Qualcosa si muove. E non è detto che si muova nella direzione giusta.
Alex Finn, CEO di CreatorBuddy, racconta di aver scritto al suo Clawdbot, battezzato Henry, per prenotare un ristorante. OpenTable fallisce, l’assistente non si arrende, attiva una skill ElevenLabs, chiama il ristorante e chiude la prenotazione. Fine della storia. Finn conclude con una frase che ormai è diventata un mantra automatico: l’AGI è qui e il novantanove per cento delle persone non se ne è accorto. Forse. O forse stiamo semplicemente confondendo l’automazione aggressiva con l’intelligenza generale.
Il punto non è se Clawdbot sia impressionante. Lo è. Il punto è che è pericolosamente vicino a realizzare il sogno proibito dell’AI operativa, quella che non chiede permesso, non passa da un’interfaccia rassicurante e soprattutto non resta confinata in un browser. Clawdbot vive dove viviamo noi. WhatsApp, Telegram, Discord, Slack, Signal, iMessage. È sempre lì, con memoria persistente, contesto locale e task in background che continuano anche quando tu hai smesso di pensarci. Un assistente che non dorme mai, come direbbe il marketing. Un processo che non si ferma mai, come direbbe un ingegnere di sicurezza.
La caratteristica che entusiasma di più gli sviluppatori è anche quella che dovrebbe far scattare l’allarme. Clawdbot mantiene il contesto sul dispositivo, è open source e gira praticamente ovunque. Laptop vecchi, server casalinghi, macchine improvvisate. Il tutto collegato tramite il Model Context Protocol, che permette di agganciare modelli come Claude o GPT a capacità operative reali senza intervento umano. Terminale, browser, file system, chiamate telefoniche. Non stiamo parlando di un chatbot, ma di un orchestration layer che trasforma un modello linguistico in un agente con mani, occhi e voce.
Qui entra in scena la parte meno celebrativa della storia. Luis Catacora, ricercatore in ambito sicurezza, lancia una scansione Shodan e scopre qualcosa che era forse inevitabile. Gateway Clawdbot esposti su internet senza autenticazione. Zero auth. Ti colleghi all’IP e sei dentro. Shell access, automazione del browser, chiavi API. Tutto aperto, tutto disponibile. Non serve un exploit sofisticato, basta curiosità e un minimo di cattiveria. In pratica, l’assistente personale diventa una backdoor personale, gentilmente installata dall’utente.
Il problema non è un bug esotico. È una scelta di default. Un binding di rete pubblico invece che locale. Una configurazione che non ti aspetti se non hai passato gli ultimi dieci anni a pensare come un attaccante. La soluzione esiste ed è banale. Cambiare il binding, riavviare, respirare. Ma non è intuitiva. E soprattutto non è spiegata nel linguaggio giusto per chi arriva attratto dalla promessa di un’assistente magico e non dalla disciplina dell’hardening.
Questo è il punto in cui l’open source smette di essere una favola romantica e torna a essere ciò che è sempre stato. Potente, spietato e completamente indifferente alla tua sicurezza se non sei tu a occupartene. Clawdbot mette sistemi potentissimi nelle mani di persone che non sempre hanno la maturità tecnica per gestirli. Il risultato è una superficie di attacco che cresce più velocemente delle pull request di sicurezza.
Gli sviluppatori consigliano le solite contromisure. Limitare l’accesso di rete, aggiungere autenticazione ed encryption, ruotare le chiavi potenzialmente compromesse, implementare rate limiting, logging e alerting. Tutto giusto. Tutto noto. Tutto regolarmente ignorato da chi installa in dieci minuti qualcosa che di fatto ha il controllo del proprio computer. È la stessa storia che abbiamo visto con Docker, con Kubernetes, con ogni tecnologia che promette potere immediato. Prima l’entusiasmo, poi le CVE.
Come se non bastasse, c’è il tema dei costi. Clawdbot consuma token come un hedge fund consuma stagisti. Federico Viticci di MacStories racconta di aver bruciato centottanta milioni di token nella prima settimana. Su Hacker News qualcuno parla di trecento dollari in due giorni per task considerati basilari. È il prezzo dell’autonomia. Ogni decisione, ogni pianificazione, ogni fallback costa. E costa caro. Gli sviluppatori suggeriscono modelli più economici o deployment locali, ma la verità è che un assistente sempre attivo, sempre connesso e sempre proattivo non è compatibile con l’idea di costo marginale zero.
Qui emerge una curiosa asimmetria. Da un lato Clawdbot viene venduto come assistente personale ventiquattro ore su ventiquattro, una sorta di maggiordomo digitale che lavora mentre tu dormi. Dall’altro, ogni ora di sonno rischia di trasformarsi in una riga di fattura. Non è un caso che la raccomandazione finale sia quasi paterna. Siate cauti con ciò che chiedete al vostro assistente. Tradotto in linguaggio non diplomatico, non lasciategli carta bianca se non siete pronti a pagarne il conto economico e quello reputazionale.
Clawdbot è un simbolo. Non tanto di un’AGI imminente, quanto di un cambio di fase. Stiamo passando da AI che parlano a AI che agiscono. Da modelli che rispondono a modelli che operano. E ogni volta che questo salto avviene, la narrativa si divide in due. Da una parte l’euforia. Dall’altra la realtà. L’accesso non autenticato, le chiavi esposte, i costi fuori controllo. Non è una contraddizione. È la dinamica naturale di un ecosistema che innova più velocemente di quanto riesca a riflettere.
Gli agenti, per definizione, fanno cose. A volte per te, a volte al posto tuo, a volte contro di te se non capisci davvero cosa hai messo in piedi. Clawdbot dimostra che la tecnologia è pronta. Non dimostra che il mercato lo sia. Né che gli utenti lo siano. Né che la sicurezza sia diventata improvvisamente un default culturale.
C’è una frase che gira da anni nei corridoi della sicurezza informatica. La sicurezza non è un prodotto, è un processo. Clawdbot, oggi, è un prodotto straordinario costruito su un processo ancora immaturo. Funziona. Sorprende. Spaventa. Come tutte le tecnologie che anticipano la maturità di chi le usa. Il problema non è che Clawdbot esista. Il problema è che molti lo installeranno pensando di aver finalmente trovato Siri come avrebbe dovuto essere, senza rendersi conto di aver acceso un sistema che, se configurato male, non chiede il permesso neanche per tradirti.
E forse è proprio questo il vero segnale che qualcosa sta cambiando. Non l’AGI. Ma la fine dell’alibi. Quando un assistente ti chiama il ristorante, prenota, spende, naviga e agisce, non puoi più fingere che sia solo software. È un attore. E come tutti gli attori potenti, va governato. Non celebrato a occhi chiusi.
GitHub: https://github.com/moltbot/moltbot