Che cos’è OpenClaw? Guida all’assistente AI open source

La maggior parte degli strumenti di AI passa il tempo a rispondere alle domande. OpenClaw è stato creato per eseguire azioni. Questo scarto è ciò che lo ha spinto a superare Linux nella classifica all-time di GitHub in pochi mesi dal lancio.

In pratica, è un runtime self-hosted che collega i modelli di AI al tuo terminale, ai file, al browser e alle app di messaggistica. Mandagli un messaggio su WhatsApp e può cercare sul disco, eseguire uno script shell, controllare una pagina web e rispondere nello stesso thread. Un chatbot non fa nulla di tutto questo.

Il pitch suona più pulito della realtà. OpenClaw richiede un setup tecnico, il suo track record di sicurezza nel 2026 include incidenti seri e il registro pubblico delle skill è stato colpito da una campagna coordinata di malware. Sono aspetti che vale la pena conoscere in partenza.

Che cos’è OpenClaw?

OpenClaw è gratuito, open source (licenza MIT) e progettato per girare su hardware di tua proprietà. È stato creato da Peter Steinberger, sviluppatore austriaco noto per PSPDFKit, e lanciato a novembre 2025 come Clawdbot. Anthropic ha inviato una contestazione sul marchio, e il nome è diventato Moltbot il 27 gennaio 2026, poi OpenClaw tre giorni dopo perché, parole di Steinberger, "Moltbot non scivolava mai bene sulla lingua". La mascotte aragosta, Molty, è sopravvissuta a tutti i cambi di nome.

OpenClaw collega i modelli agli strumenti locali. Immagine dell’autore.

Un punto che spesso crea confusione all’inizio: OpenClaw non è un modello di AI. Si collega a un provider configurato separatamente, cloud o locale, e quel modello fa il ragionamento mentre OpenClaw gestisce routing, memoria ed esecuzione degli strumenti.

Il cuore è un servizio Node.js chiamato Gateway. Gira in background sulla porta 18789, instrada i messaggi tra le tue app di chat e il modello, esegue eventuali chiamate agli strumenti e conserva le tue chiavi API così che le app collegate non le tocchino mai direttamente.

Tutto questo lo rende molto diverso da un chatbot. OpenClaw può eseguire comandi shell, leggere e scrivere file, controllare un browser ed eseguire attività pianificate mentre non guardi.

Perché OpenClaw è diventato popolare

OpenClaw è passato da 9.000 stelle su GitHub il primo giorno a oltre 195.000 in 66 giorni, a quanto pare 18 volte più veloce di Kubernetes.

Gli sviluppatori lo desideravano da tempo: un assistente che completa task invece di limitarsi a rispondere, gira sul tuo hardware e si collega alle app.

Ad aprile 2026, il progetto aveva superato 346.000 stelle. Steinberger ha annunciato l’ingresso in OpenAI il 15 febbraio 2026 e il progetto si è mosso verso una struttura fondazionale con il supporto di OpenAI. È rimasto con licenza MIT e in mano alla community, non acquisito nel senso tradizionale.

Le opinioni sono contrastanti. Ad alcuni piace l’idea. Altri incontrano problemi di setup, affidabilità e costi. L’automazione complessa delude più di quanto prometta e i costi dei token sorprendono. Inoltre, il setup non è adatto ai principianti.

Come funziona OpenClaw: il Gateway, gli strumenti e il loop dell’agente

Tutto passa dal Gateway, e questo punto di controllo unico è ciò che distingue OpenClaw da un semplice wrapper di modelli.

Quando invii un messaggio, il Gateway lo prende dal canale che stai usando, allega il contesto dai file di memoria dell’agente e dalle skill caricate, e passa il pacchetto al modello di AI configurato. Se il modello vuole eseguire un’azione (lanciare un comando, visitare una pagina, leggere un file), segnala quell’intento al Gateway. Il Gateway esegue l’azione sul sistema host, o dentro un sandbox se l’hai impostato, e restituisce il risultato. Può concatenare vari passaggi prima di produrre una risposta finale.

Il modello non parla mai direttamente con il tuo file system o il terminale.

Tutte le azioni passano dal Gateway. Immagine dell’autore.

Memoria e pianificazione

OpenClaw salva la memoria in file Markdown in chiaro nello spazio di lavoro dell’agente (~/.openclaw/workspace). Il file principale, MEMORY.md, contiene fatti e preferenze persistenti che si caricano all’inizio di ogni sessione. SOUL.md definisce personalità e tono. AGENTS.md memorizza le regole comportamentali. Poiché il modello legge tutto questo all’avvio della sessione, le modifiche che fai persistono ai riavvii.

La pianificazione corre su due binari. Gli heartbeat sono check-in periodici nella sessione principale, ogni 30 minuti di default per la maggior parte dei provider. Una checklist in HEARTBEAT.md dice all’agente cosa rivedere ogni volta. I job cron girano a orari esatti in sessioni isolate, cosa che vuoi quando il timing conta davvero, tipo un report giornaliero. Entrambi consumano token a ogni esecuzione, quindi (dritta) i task aperti dovrebbero avere una chiara condizione di stop.

Modelli e canali supportati

OpenClaw non è legato a un solo provider di modelli. Funziona con Anthropic, OpenAI, Google, AWS Bedrock e server locali tramite Ollama o LM Studio. I modelli locali hanno bisogno di una finestra di contesto di almeno 64.000 token per via della quantità di contesto che OpenClaw inietta all’avvio della sessione. Sul fronte canali, supporta WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams e altri.

Casi d’uso di OpenClaw: cosa può davvero fare

Quanto sia utile dipende da quanto definisci strettamente il task. Le richieste ampie deragliano. I task ristretti, ripetibili e con input chiari tendono a funzionare.

• Produttività personale: Il caso d’uso più affidabile riportato è un briefing mattutino: un task pianificato via heartbeat che prende email recenti, eventi in calendario e notizie, poi invia un digest al tuo telefono.
• Workflow per sviluppatori: OpenClaw può ispezionare repository, eseguire script di build, controllare i log e gestire pull request tramite la CLI di GitHub o un server MCP. Usa token con scope limitato e date di scadenza. L’accesso shell ampio è utile ma anche la fonte più probabile di una cancellazione accidentale di file o di una fuga di credenziali da un file .env finito casualmente nel perimetro.
• Automazione web: L’agente può navigare pagine, estrarre dati e interagire con interfacce browser tramite Chrome DevTools Protocol. Quello che non può fare è distinguere tra una pagina reale e una con istruzioni malevole incorporate nell’HTML. Una volta che dai all’agente un browser, i contenuti esterni diventano una superficie d’attacco. Più avanti tratto un caso documentato proprio di questo nella sezione sicurezza.
• Gestione file e documenti: Funziona bene quando la root dello spazio di lavoro è una cartella dedicata senza nulla di sensibile. La modalità di fallimento è prevedibile: dagli accesso alla tua home directory, e prima o poi leggerà qualcosa che non intendevi condividere.
• Automazione pianificata: Affidabile per task ricorrenti e ben definiti. Un caso documentato ha raggiunto diverse migliaia di dollari di costi API in un solo giorno per un task aperto in esecuzione senza limiti di token. Imposta i limiti prima di impostare la pianificazione.

Skill di OpenClaw e ClawHub: cosa sapere e cosa evitare

Le skill sono il modo in cui gli utenti estendono OpenClaw oltre le capacità integrate. Sono anche il vettore con cui il progetto ha subito un grave attacco alla supply chain nello spazio degli agenti open source.

Cos’è una skill

Una skill è una cartella che contiene un file SKILL.md con frontmatter YAML e un corpo in Markdown. Il frontmatter dichiara nome della skill, descrizione, binari richiesti e variabili d’ambiente. Sotto, il corpo in Markdown è linguaggio naturale: istruzioni che l’agente segue quando decide che la skill si adatta al task corrente.

Una cartella opzionale references/ contiene documentazione API, e una opzionale scripts/ contiene script di supporto. Poiché le skill sono testo e non codice compilato, puoi leggerle prima di eseguire qualsiasi cosa.

Ogni skill segue questo formato in due parti. Immagine dell’autore.

Le skill seguono lo standard aperto AgentSkills, quindi il formato funziona anche con Claude Code, Cursor e strumenti simili. In pratica, la maggior parte delle skill su ClawHub è scritta specificamente per il modello di gateway di OpenClaw e si affida ad accessi agli strumenti che altri ambienti non espongono.

ClawHub, il registro pubblico su clawhub.ai, usa ricerca semantica basata su vettori, quindi puoi trovare skill con query in linguaggio naturale. Per pubblicare serve un account GitHub creato da almeno una settimana. Il registro è cresciuto fino a oltre 44.000 skill a inizio 2026.

Il registro delle skill di ClawHub, organizzato per categoria. Immagine dell’autore.

L’attacco alla supply chain ClawHavoc

Il 1° febbraio 2026, Oren Yomtov di Koi Security ha auditato tutte le 2.857 skill su ClawHub e ne ha trovate 341 malevole, 335 delle quali provenienti da una singola campagna coordinata chiamata ClawHavoc. Ha usato ingegneria sociale: una finta sezione "Prerequisites" che diceva agli utenti di incollare comandi shell. Su macOS il payload era Atomic macOS Stealer, che raccoglie password del browser, voci del portachiavi, wallet di criptovalute, chiavi SSH e dati di sessione Telegram.

È continuato a salire. A metà febbraio il registro ha superato 10.700 skill, e analisi successive hanno stimato oltre 1.000 malevole su più account. Un audit più ampio di oltre 31.000 skill ha segnalato circa il 7,6% come rischiose, e una scansione Snyk ha trovato prompt injection rilevabile nel 36%.

ClawHub ora esegue scansioni automatiche e ha un’integrazione con VirusTotal, che intercetta molto, ma le prompt injection nel testo delle istruzioni possono ancora passare. Leggi il SKILL.md prima di installare qualsiasi cosa e, se ti dice di incollare comandi o installare binari fuori dal processo normale, salta. Non caricare un mucchio di skill di terze parti il primo giorno. Parti dal minimo indispensabile e tieni le skill sconosciute lontane da file e account sensibili.

Come si confrontano le skill di OpenClaw con le Claude Skills

Entrambi i formati usano la stessa struttura SKILL.md. La differenza sta in dove la skill viene eseguita. Le Claude Skills girano nell’infrastruttura gestita di Anthropic. Le skill di OpenClaw girano sulla tua macchina, dentro il perimetro di massima fiducia dell’agente, con accesso a file locali, comandi shell e sessioni browser. Questa differenza di raggio d’azione del danno è il motivo per cui il rischio di supply chain conta di più qui che in un ambiente hosted.

Come configurare OpenClaw

I passaggi qui sotto coprono il flusso ad alto livello. Se vuoi screenshot e comandi passo passo, il nostro tutorial su OpenClaw guida l’intero processo da zero.

Prima di installare

Ti serve Node.js 24 (va bene anche Node 22.19) e o una chiave API di un provider di modelli supportato o un server di modelli locale che rispetti il minimo di 64.000 token di contesto citato prima. Su Windows, WSL2 con Ubuntu è il percorso consigliato; Windows nativo ha limitazioni sul demone del gateway. Le esigenze hardware sono leggere per l’uso base, mentre i setup con modelli locali sono un’altra storia.

Una decisione da prendere subito: dove girerà? Una macchina locale va bene per sperimentare, ma per qualsiasi cosa always-on usa un VPS dedicato o una macchina separata invece della tua workstation principale.

Flusso di setup ad alto livello

curl -fsSL https://openclaw.ai/install.sh | bash

Poi avvia la procedura guidata di onboarding:

openclaw onboard --install-daemon

Questo guida nella scelta del provider di modelli, nel setup della chiave API e nella configurazione del Gateway. Al termine, conferma che il Gateway sia in esecuzione:

openclaw gateway status

Poi apri la dashboard:

openclaw dashboard

Invia un messaggio di prova da un canale a basso rischio prima di collegare qualcosa di sensibile.

La Control UI sulla porta 18789. Immagine dell’autore.

Default sicuri da configurare subito

Due comandi firewall contano più degli altri. Eseguili prima di fare qualsiasi altra cosa:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Il primo lega il Gateway solo al loopback. Il secondo blocca la porta esternamente. Oltre 220.000 istanze OpenClaw erano raggiungibili pubblicamente da internet al picco, per lo più perché gli utenti hanno saltato questo passaggio seguendo tutorial vecchi. Usa un profilo browser dedicato per qualsiasi automazione del browser. Esegui openclaw security audit --deep dopo aver installato qualsiasi skill. Usa token di autenticazione. Tieni i file sensibili fuori dalla root dello spazio di lavoro.

Eseguire in locale non significa eseguire in sicurezza. Un’istanza locale con accesso shell, accesso ai file e app di messaggistica collegate è una vera superficie d’attacco a prescindere da dove gira il modello.

Rischi di sicurezza di OpenClaw

Questi rischi sono specifici di OpenClaw, e diversi degli incidenti sotto sono stati sfruttati contro utenti reali.

Il record di CVE

CVE-2026-25253 (CVSS 8.8) è quello che è stato sfruttato attivamente. Prima della versione 2026.1.29, un link malevolo poteva reindirizzare silenziosamente la connessione WebSocket dell’interfaccia di controllo verso un server controllato dall’attaccante. Il token di autenticazione e le chiavi del dispositivo della vittima venivano inviate automaticamente durante l’handshake, quindi un clic su un link confezionato bastava. Un attaccante che le deteneva aveva pieno controllo del Gateway e poteva eseguire comandi shell arbitrari. La patch 2026.1.29 ha aggiunto una conferma per chiudere la falla.

CVE-2026-32922 (CVSS 9.9) è stata divulgata il 29 marzo 2026. Un chiamante con uno scope di token minimo poteva elevare a pieno accesso admin e ottenere esecuzione di codice da remoto su tutti i nodi connessi. Corretto nella 2026.3.11. Se la tua istanza è precedente alla 2026.3.11, aggiornala ora. Dalla nascita del progetto sono stati pubblicati oltre 60 advisory di sicurezza.

Esposizione a Internet e prompt injection

Come detto prima, al picco oltre 220.000 istanze erano esposte pubblicamente, con più di 17.500 vulnerabili alla classe di attacco CVE-2026-25253. L’attuale default lega al loopback, ma configurazioni vecchie e tutorial della community non sempre lo riflettono.

La prompt injection è il problema più sottile. OpenClaw legge pagine web, email, documenti e log come parte del suo lavoro. Se qualcuno di questi contiene istruzioni malevole, l’agente può seguirle. Il case study di Promptfoo di marzo 2026 ha mostrato un agente verificare cosa poteva accedere, leggere file locali, scrivere file e inviare messaggi non autorizzati, tutto innescato dalla visita a una sola pagina web. Ha funzionato perché navigazione, accesso ai file e messaggistica in uscita condividevano un unico perimetro di fiducia senza separazione.

Peggio, istruzioni piazzate da fonti malevole in SOUL.md o AGENTS.md sopravvivono tra sessioni e riavvii. L’agente le porta avanti senza alcun trigger esterno.

Come ridurre il rischio

Per lo più valgono i default sicuri di prima: aggiorna regolarmente, tieni il Gateway su localhost con la porta bloccata, usa token di autenticazione, tieni i file sensibili fuori dallo spazio di lavoro e fai audit dopo i cambiamenti. Usa sandbox Docker per i task che toccano input esterni, usa token API granulari con scadenza e tratta SOUL.md e AGENTS.md come file di configurazione da monitorare, non testo da ignorare.

Output dell’audit dopo l’installazione di una skill. Immagine dell’autore.

OpenClaw non è rischioso perché è open source. È rischioso perché può compiere azioni privilegiate se lo configuri in quel modo.

Vale la pena usare OpenClaw? Una valutazione onesta

Questa parte è la mia lettura personale, non un’affermazione fattuale. Gli agenti che compiono azioni invece di limitarsi a rispondere sono una categoria diversa dai chatbot, e OpenClaw ne è un esempio chiaro.

Se valga la pena dipende quasi interamente da chi lo usa. Uno sviluppatore a suo agio con strumenti da terminale, log, monitoraggio API e sandbox può renderlo utile in workflow ristretti. Come ho detto prima, i setup che reggono sono quelli ristretti. Quelli che falliscono sono dove qualcuno collega ogni strumento, installa una dozzina di skill senza leggerle e lascia heartbeat attivi su prompt aperti, aspettandosi buon comportamento.

La mia lettura: l’automazione complessa può costare più manutenzione di quanta ne faccia risparmiare, e il caso d’uso più affidabile potrebbe essere un riepilogo quotidiano di notizie. È un ritorno esiguo per lo sforzo di setup. L’inquadramento giusto è infrastruttura, non assistente. Trattalo così, parti in piccolo e mantieni limiti rigorosi. Se vuoi un’app consumer smart, non è ancora questa.

OpenClaw vs. ChatGPT, Claude, Cursor e Zapier

ChatGPT e Claude sono interfacce di chat senza stato: niente task pianificati persistenti, niente accesso ai file locali di default.

Claude Code e Cursor sono limitati allo sviluppo software dentro un repository; sono più bravi nel codice di OpenClaw, ma fanno solo quello. Claude Code ha anche aggiunto ad aprile 2026 una funzione di pianificazione in cloud chiamata Routines, che copre parte di ciò che fa HEARTBEAT di OpenClaw senza l’overhead infrastrutturale.

Zapier e n8n sono strumenti di workflow deterministici in cui ogni passaggio è predefinito, il che li rende più auditabili ma meno capaci di gestire richeste sfumate rispetto a un agente che interpreta il linguaggio naturale.

Un inquadramento utile emerso nella community nel 2026: OpenClaw come livello di ragionamento per task ambigui, n8n o Zapier come livello di esecuzione per quelli ad alto volume e prevedibili, collegati tramite webhook. I due non sono sempre in competizione.

Per chi è adatto OpenClaw

Gli sviluppatori che automatizzano workflow tecnici ricorrenti e i ricercatori che studiano agenti che usano strumenti sono il fit più chiaro. Gli homelabber che già gestiscono servizi self-hosted troveranno il setup familiare.

Chi dovrebbe evitare OpenClaw?

Chiunque non sia a suo agio con comandi da terminale, permessi dei file e gestione delle chiavi API dovrebbe aspettare. Il setup non è adatto ai principianti.

Inoltre, chi gestisce file sensibili senza un ambiente sandbox dovrebbe rimandare. I team con requisiti di compliance potrebbero aver bisogno di alternative gestite come AWS Bedrock Agents. E se non sei disposto a ispezionare il codice delle skill della community prima di installarle, è meglio non eseguire skill di ClawHub su una macchina con credenziali reali.

Conclusione

OpenClaw è importante perché mostra come sono gli agenti AI personali quando possono fare cose: non chatbot più intelligenti, ma sistemi con accesso ai tuoi file, alla tua shell, al tuo browser e alle tue app di messaggistica.

I rischi sono reali per lo stesso motivo. L’accesso che rende possibile un briefing mattutino o un workflow di revisione PR è lo stesso che ClawHavoc ha trasformato in furto di credenziali.

Inizia con un solo task. Eseguilo in un ambiente isolato. Imposta limiti. Come detto prima, rivedi le skill prima di installarle. OpenClaw non è un prodotto che installi e dimentichi. È infrastruttura, e trattarlo come infrastruttura fin da subito è ciò che evita che l’esperimento diventi un incidente.

Per approfondire, la nostra guida ai progetti OpenClaw e la guida alle skill di ClawHub coprono cosa sta costruendo la community. Il corso AI-Assisted Coding for Developers copre skill per agenti in senso più ampio.