L’open source ha smesso di essere un gioco da hacker romantici e diventa un problema sistemico. Clawdbot lo ha fatto in diretta, davanti a decine di migliaia di sviluppatori, speculatori e ricercatori di sicurezza. Prima idolo di GitHub, poi caso legale, poi schema truffaldino crypto, infine esempio da manuale di come l’automazione spinta senza governance sia un moltiplicatore di rischio. La keyword qui è una sola, anche se dà fastidio a molti evangelisti: sicurezza ai. Tutto il resto è rumore.
Clawdbot, ora ribattezzato Moltbot per ragioni più legali che filosofiche, era un oggetto perfetto per il momento storico. Un assistente ai locale, con accesso completo al sistema, controllabile via WhatsApp, Telegram e Discord. Non un giocattolo, ma una vera macchina di esecuzione. Shell, browser automation, gestione credenziali, memoria persistente. Quello che Siri promette da quindici anni e non ha mai avuto il coraggio di consegnare. Gli sviluppatori hanno fatto quello che gli sviluppatori fanno sempre quando vedono potere puro: l’hanno installato ovunque. Ottantamila stelle su GitHub non sono una metrica di qualità, ma sono una metrica di desiderio. E il desiderio, in tecnologia, precede sempre la catastrofe.
La miccia è stata banale. Anthropic ha inviato una richiesta di tutela del marchio. Clawd assomigliava troppo a Claude. Nessun complotto, nessun abuso di potere. Trademark law, applicata in modo noioso e prevedibile. Qui vale la pena fermarsi un secondo, perché il dettaglio è istruttivo. Molti progetti open source che crescono sull’onda dei modelli foundation vivono in una zona grigia semantica. Usano nomi, metafore, richiami che funzionano fino al giorno in cui il fornitore del modello decide di farsi vivo. Quel giorno arriva sempre. E quando arriva, non chiede permesso.
Peter Steinberger ha fatto quello che ogni fondatore razionale avrebbe fatto. Ha annunciato il rebrand. Da Clawdbot a Moltbot. Stessa anima, stesso codice, nuova corazza. La community ha applaudito. Ironia da crostacei, meme, battute. Tutto molto sano. Poi è arrivato il dettaglio che separa l’ingegneria dalla sopravvivenza nel mondo reale. Il cambio simultaneo degli handle GitHub e X ha creato una finestra di pochi secondi. Dieci, forse meno. In quell’intervallo, i bot non dormono mai. I crypto scammer nemmeno.
Gli account sono stati presi. Subito. Senza poesia. Il nome Clawd è diventato un token su Solana. Falso, ovviamente. Ma questo non ha mai fermato nessuno. In poche ore la capitalizzazione ha superato i sedici milioni di dollari. Un numero che dice più cose sullo stato mentale del mercato crypto che sul progetto in sé. Alcuni early buyer hanno gridato al genio. I late buyer hanno fatto quello che fanno sempre. Hanno perso tutto. Steinberger ha negato ogni coinvolgimento. Ha detto chiaramente che non avrebbe mai lanciato un token. Ha chiesto di smettere di essere contattato. Ha fatto l’unica cosa sensata.
La risposta è stata prevedibile. Accuse. Minacce. Richieste di assumersi responsabilità per perdite generate da un asset che non esisteva. È il lato oscuro della decentralizzazione quando incontra l’illusione della responsabilità morale. Se perdi soldi in una truffa, qualcuno deve pagare. Meglio se è un fondatore visibile, con un nome e un account X. Qui la keyword secondaria diventa open source ai, ma in una versione che nessuno inserisce nelle slide. Open source non significa open season. E invece è esattamente così che viene trattato.
Mentre il caos reputazionale era in corso, la parte più seria della storia ha iniziato a emergere. I ricercatori di sicurezza hanno fatto quello che fanno sempre quando vedono un progetto virale. Hanno guardato Shodan. E Shodan ha risposto. Centinaia di istanze Clawdbot esposte su internet pubblico, senza autenticazione. Porte aperte. Gateway accessibili. Shell pronta. API key in bella vista. Non un attacco sofisticato, ma l’errore più vecchio del mondo. Fidarsi del localhost in un’architettura che non è più locale.
Il problema tecnico è quasi elegante nella sua semplicità. Il sistema di autenticazione approva automaticamente le connessioni provenienti da 127.0.0.1. In un mondo ideale, quello è il tuo computer. Nel mondo reale, gli utenti mettono Clawdbot dietro un reverse proxy. Cloudflare, Ngrok, tunnel improvvisati. Risultato. Tutto sembra arrivare da localhost. Tutto viene autorizzato. Anche gli attaccanti. Anche chi passa per caso. Anche chi decide di fare prompt injection via email e farsi spedire conversazioni private in dieci minuti netti.
Qui entra in scena la keyword semantica che molti fingono di non vedere: agenti autonomi. Un agente autonomo non è un chatbot. È un sistema operativo parziale, con iniziativa propria. Quando gli dai accesso alla shell, non stai delegando un task. Stai creando un nuovo attore nel tuo perimetro di sicurezza. Uno che non dorme, non capisce il contesto sociale, non ha istinto di sopravvivenza e soprattutto non distingue tra input benigno e input ostile se non glielo insegni esplicitamente.
Luis Catacora ha fatto notare che Cloudflare Tunnel è gratuito. Non c’è scusa. Jamieson O’Reilly ha confermato che molte istanze erano completamente aperte. SlowMist ha validato vulnerabilità che portano a furto di credenziali ed esecuzione di codice remoto. Nessuna di queste persone sta cercando visibilità. Stanno descrivendo un pattern. Viral growth prima di security audit. Build in public come ideologia, non come pratica ingegneristica. È successo con Kubernetes agli inizi. È successo con gli smart contract. Sta succedendo ora con gli agenti ai.
Il punto interessante è che il codice di Moltbot non è cattivo. Non è scritto male. Non è un progetto amatoriale. È semplicemente più potente del suo pubblico medio. Questo è un problema nuovo solo in apparenza. Ogni tecnologia general purpose attraversa una fase in cui l’adozione supera la comprensione. La differenza oggi è la velocità. Un assistente ai locale può essere installato da chiunque. Concedergli accesso totale richiede un clic. Capire le implicazioni richiede anni di esperienza in sicurezza. Il mismatch è strutturale.
Dal punto di vista strategico, questa storia è un segnale debole che diventa forte. Gli agenti ai locali, persistenti, con capacità operative reali, sono inevitabili. Le aziende li vogliono. I developer li adorano. I costi marginali sono bassi. Il valore percepito è enorme. La superficie di attacco cresce in modo non lineare. I modelli di sicurezza tradizionali, basati su utenti umani e permessi statici, non reggono. Qui la sicurezza ai non è un add on. È parte dell’architettura di base. Chi la ignora, paga in reputazione, incidenti e in alcuni casi in tribunale.
C’è anche una lezione meno tecnica e più politica. Le finestre di caos sono opportunità. I crypto scammer lo sanno meglio di chiunque altro. Monitorano GitHub, X, Discord. Aspettano rebrand, fork, dispute legali. Dieci secondi bastano. In un ecosistema iperautomatizzato, la latenza umana è una vulnerabilità. Non un difetto morale, ma un dato di fatto. Chi costruisce infrastrutture deve progettare assumendo che l’ambiente sia ostile, non solo curioso.
Moltbot sopravviverà. Probabilmente crescerà ancora. Gli use case sono reali. Prenotare ristoranti, automatizzare flussi, delegare task complessi. Tutto vero. Ma non è pronto per il mainstream. Non perché manchi la tecnologia, ma perché manca la maturità collettiva nel gestirla. La narrativa dell’assistente ai che fa tutto è seducente. La realtà è che stiamo distribuendo micro sistemi operativi intelligenti a persone che non hanno mai dovuto pensare in termini di threat model.
Chi osserva questa storia solo come un caso di cronaca tech perde il punto. Clawdbot non è caduto per una vulnerabilità zero day. È caduto per un eccesso di fiducia. Fiducia nel nome, nella community, nell’idea che open source equivalga a sicuro. È una favola che l’industria si racconta da vent’anni. Ogni tanto serve un promemoria. Questo è uno di quelli costosi, rumorosi e istruttivi. E no, non sarà l’ultimo.
Moltbot potete provarlo qui gratis x 30gg : https://regolo.ai/build-an-internal-knowledge-bot-with-clawdbot-embeddings-rerank-chat-in-30-minutes/