OpenClaw è sicuro out of the box?

No. L'installazione predefinita di OpenClaw privilegia la facilità di configurazione rispetto alla sicurezza. Si lega a 0.0.0.0 (tutte le interfacce), non ha autenticazione per default ed è eseguito come qualsiasi utente esegua l'installer. La ricerca mostra che 42.665 istanze OpenClaw sono esposte sulla rete pubblica con il 93,4% senza autenticazione. Il software in sé è ben scritto, ma la configurazione di deployment predefinita è pericolosamente permissiva.

Posso proteggere OpenClaw da solo?

Assolutamente. Tutto ciò che è nel nostro audit a 12 punti può essere fatto manualmente se hai esperienza di amministrazione di sistemi Linux. Forniamo la checklist di verifica in questa pagina così puoi controllare la tua installazione. Tuttavia, una singola configurazione errata — una porta aperta dimenticata, un file .env con permessi leggibili da tutti, un container in esecuzione con --privileged — può vanificare tutto il resto. Il nostro servizio esiste perché la sicurezza riguarda la coerenza, non solo la conoscenza.

Cos'è ClawHavoc e devo preoccuparmi?

ClawHavoc (CVE-2026-25253) è una vulnerabilità critica di remote code execution scoperta a gennaio 2026. Sfrutta la connessione server MCP (Model Context Protocol) per iniettare comandi malevoli che vengono eseguiti con i permessi del processo OpenClaw. Se la tua istanza OpenClaw è patchata alla v2026.1.15 o successiva e ti connetti solo a server MCP verificati, sei protetto. Ogni installazione OpenClawPro viene deployata sull'ultima versione patchata.

Come gestite le mie chiavi API durante l'installazione?

Le tue chiavi API vengono inserite direttamente sul tuo server tramite una connessione SSH crittografata. Non memorizziamo, trasmettiamo o registriamo mai le tue chiavi sui nostri sistemi. Le chiavi vengono scritte in un file .env con permessi 600 (lettura/scrittura solo per il proprietario), di proprietà dell'utente di sistema dedicato openclaw. Non abbiamo accesso continuativo al tuo server dopo l'installazione, a meno che tu non sia sul piano Managed e lo conceda esplicitamente.

Cosa succede se il mio server viene compromesso nonostante l'audit di sicurezza?

Se sei sul piano Managed, gestiamo la risposta all'incidente: isoliamo la minaccia, ripristiniamo dai backup crittografati, ruotiamo tutte le chiavi API e forniamo un report post-incidente. Per i piani Starter e Pro, il nostro audit a 12 punti rende la compromissione estremamente improbabile, e i backup automatici giornalieri assicurano che tu possa sempre recuperare. Configuriamo anche avvisi di monitoraggio così sai entro pochi minuti se accade qualcosa di sospetto.

Guida alla Sicurezza OpenClaw 2026 | Audit a 12 Punti, ClawHavoc, Hardening VPS

Perché la Sicurezza è Critica

OpenClaw è un software straordinario. Con 42,665 stelle su GitHub e in continua crescita, è diventato la piattaforma open-source per assistenti AI personali più popolare della storia. Ma la popolarità ha un lato oscuro: rende OpenClaw un obiettivo di alto valore per gli attaccanti, e l'installazione predefinita è allarmantemente insicura.

42,665

Istanze esposte sulla rete pubblica

93.4%

Senza alcuna autenticazione

$6,000

Bolletta notturna da una chiave compromessa

Critico: OpenClaw viene eseguito con accesso a livello di sistema. Può eseguire comandi shell, leggere e scrivere file, gestire container Docker e interagire con ogni servizio sul tuo server. Se un attaccante ottiene l'accesso a un'istanza OpenClaw non protetta, non legge solo le tue chat — controlla l'intera macchina.

I numeri provengono da ricerche indipendenti sulla sicurezza condotte all'inizio del 2026. Utilizzando scansioni Shodan e Censys, i ricercatori hanno identificato 42,665 istanze OpenClaw direttamente accessibili dalla rete pubblica. Di queste, il 93.4% non aveva alcuna autenticazione configurata — il che significa che chiunque conoscesse l'indirizzo IP poteva inviare messaggi, leggere la cronologia delle conversazioni, accedere alle integrazioni connesse e, in molti casi, eseguire comandi arbitrari tramite l'assistente AI.

La bolletta notturna di 6.000 dollari non è ipotetica. È accaduta a uno sviluppatore che ne ha parlato su Reddit a febbraio 2026. Un attaccante ha trovato la sua istanza esposta, ha estratto le chiavi API di OpenAI e Anthropic dal contesto della conversazione e ha eseguito richieste automatizzate attraverso entrambe le API per 14 ore prima che lo sviluppatore si svegliasse con gli avvisi di fatturazione. I fornitori delle API hanno rimborsato parte della somma, ma non tutta. Lo sviluppatore non aveva backup e ha perso 6 mesi di cronologia delle conversazioni e configurazioni personalizzate.

Questa non è una critica a OpenClaw in sé. Il software principale è ben mantenuto, attivamente sviluppato e le vulnerabilità vengono divulgate responsabilmente quando vengono trovate. Il problema è il deployment. L'installer one-liner di OpenClaw privilegia la facilità di configurazione — far funzionare tutto in 5 minuti — e lascia la configurazione della sicurezza all'utente. La maggior parte degli utenti non sono amministratori di sistema. Seguono la guida rapida, vedono che funziona e vanno avanti. È in quel momento che inizia il conto alla rovescia.

Il divario tra "installato e funzionante" e "installato e sicuro" è esattamente ciò che OpenClawPro esiste per colmare. Di seguito, dettagliamo ogni passaggio del nostro audit di sicurezza a 12 punti — lo stesso processo che applichiamo a ogni installazione, a partire dal piano Starter da 299 dollari.

Il Nostro Audit di Sicurezza a 12 Punti

Ogni installazione OpenClawPro — dal piano Starter da 299 dollari al tier Managed — riceve questo hardening di sicurezza completo. Ogni punto affronta uno specifico vettore di attacco che abbiamo osservato sfruttato in the wild. Niente è opzionale. Niente viene saltato.

Completamente auditata: Quando tutti i 12 punti sono configurati, la tua istanza OpenClaw passa da essere una del 93,4% senza autenticazione a un deployment hardened che soddisfa gli standard di sicurezza enterprise. La maggior parte degli attacchi semplicemente fallisce silenziosamente contro un server configurato correttamente.

Autenticazione SSH solo con Chiave

Disabilita completamente il login con password

L'SSH basato su password è il singolo vettore più attaccato su qualsiasi VPS. Bot automatici bombardano la porta 22 migliaia di volte all'ora, provando password comuni e forzando quelle deboli. Generiamo una coppia di chiavi SSH Ed25519 per te, installiamo la chiave pubblica sul tuo server e disabilitiamo permanentemente PasswordAuthentication in /etc/ssh/sshd_config. Questo rende gli attacchi brute-force matematicamente impossibili — non c'è nulla da indovinare.

Configurazione Fail2ban

Protezione brute-force che banna gli attaccanti

Anche con SSH solo a chiave, i bot persistenti sprecano banda e intasano i log. Fail2ban monitora i log di autenticazione in tempo reale e banna automaticamente gli indirizzi IP dopo 3 tentativi falliti per 24 ore. Configuriamo jail per SSH, autenticazione HTTP ed endpoint specifici di OpenClaw. I recidivi ottengono ban permanenti. Questo riduce il traffico malevolo del 95% entro la prima settimana.

Regole Firewall UFW

Consenti solo le porte 22, 80 e 443

Un firewall default-deny è la tua prima linea di difesa. Abilitiamo UFW (Uncomplicated Firewall) con deny-all in entrata di default, quindi consentiamo esplicitamente solo tre porte: 22 (SSH), 80 (HTTP per Let's Encrypt) e 443 (HTTPS). Ogni altra porta — incluse porte database, demone Docker, Redis e interfacce di debug — viene silenziosamente scartata. Nessuna risposta, nessuna connessione, nessuna traccia.

Aggiornamenti di Sicurezza Automatici

unattended-upgrades per patch zero-day

I CVE critici vengono patchati entro poche ore dalla divulgazione, ma solo se il tuo sistema è configurato per applicarli. Installiamo e configuriamo unattended-upgrades per applicare automaticamente le patch di sicurezza dal repository ufficiale di sicurezza Ubuntu/Debian ogni 6 ore. Gli aggiornamenti del kernel attivano riavvii automatici durante una finestra di manutenzione che scegli tu (default: 4 AM UTC). Resti aggiornato senza muovere un dito.

Sandboxing Docker/Podman

Mai flag --privileged

Eseguire container con --privileged dà loro pieno accesso root alla macchina host — vanifica l'intero scopo della containerizzazione. Eseguiamo OpenClaw con le capacità minime richieste (solo NET_BIND_SERVICE), un filesystem root in sola lettura dove possibile, opzione di sicurezza no-new-privileges e networking isolato. Il container non può accedere ai dispositivi dell'host, ai moduli del kernel o ad altri container.

Utente Non-Root per OpenClaw

Principio del minimo privilegio

OpenClaw non viene mai eseguito come root. Creiamo un utente di sistema dedicato (openclaw) senza shell di login, senza accesso sudo e con proprietà solo delle directory necessarie. Se un attaccante in qualche modo compromette il processo OpenClaw, è confinato a un account utente impotente, senza la capacità di escalare privilegi, modificare file di sistema o installare pacchetti.

Crittografia delle Variabili d'Ambiente

Permessi .env bloccati a 600

Il tuo file .env contiene chiavi API che valgono centinaia di dollari — OpenAI, Anthropic, Google, Stripe. Una singola chiave trapelata può accumulare una bolletta di 6.000 dollari in una notte. Impostiamo i permessi del file a 600 (lettura/scrittura solo per il proprietario), di proprietà dell'utente openclaw. Il file è escluso da tutti gli script di backup e dal controllo versione. Configuriamo anche Docker secrets per i deployment in produzione dove i file .env non sono sufficienti.

Rate Limiting sugli Endpoint API

Previeni abusi e costi eccessivi

Un endpoint API OpenClaw non protetto è un gateway AI gratuito per chiunque lo trovi. Configuriamo il rate limiting di nginx a 30 richieste/minuto per gli endpoint chat, 5 richieste/minuto per gli endpoint di autenticazione e 100 richieste/minuto per gli asset statici. I burst allowance gestiscono i picchi legittimi. Header rate-limit personalizzati indicano ai client esattamente quante richieste rimangono. Le richieste eccessive ottengono risposte 429, non costose completion AI.

Configurazione Policy CORS

Limita l'accesso cross-origin

Senza configurazione CORS, qualsiasi sito web su internet può fare richieste alla tua istanza OpenClaw tramite il browser di un visitatore. Configuriamo header CORS rigorosi: solo i tuoi domini specifici sono consentiti come origini, le credenziali richiedono un opt-in esplicito e le risposte preflight sono memorizzate in cache per 24 ore. Questo previene cross-site request forgery e accessi API non autorizzati da siti web malevoli.

SSL/TLS con Rinnovo Automatico

Certificati Let's Encrypt, sempre validi

Ogni installazione OpenClawPro ottiene HTTPS dal primo giorno usando certificati Let's Encrypt. Configuriamo Certbot con rinnovo automatico 30 giorni prima della scadenza, redirect da HTTP a HTTPS, header HSTS con max-age di 1 anno, TLS 1.2 minimo (TLS 1.3 preferito) e una valutazione A+ su SSL Labs. Nessun avviso di contenuto misto, nessun downtime per scadenza certificato, nessuna scusa.

Rotazione dei Log e Monitoraggio

Rileva le intrusioni prima che si verifichino danni

I log sono le tue riprese della telecamera di sicurezza. Configuriamo logrotate per tutti i log di OpenClaw, nginx e di sistema con ritenzione di 30 giorni e compressione. Più importante ancora, impostiamo il monitoraggio dei log con avvisi: tentativi SSH falliti oltre la soglia, pattern di utilizzo API insoliti, loop di riavvio dei container e avvisi di spazio su disco all'80%. Ricevi notifiche tramite il tuo canale di messaggistica configurato (Telegram, Discord, ecc.) quando qualcosa sembra anomalo.

Strategia di Backup

Snapshot automatici giornalieri

Un incidente di sicurezza senza backup è una catastrofe. Con i backup, è un inconveniente. Configuriamo snapshot automatici giornalieri della directory dati OpenClaw, dei volumi Docker e dei file di configurazione. I backup sono compressi, crittografati con AES-256 e archiviati in una posizione separata (sia una directory diversa per gli snapshot VPS o un bucket S3-compatibile). Manteniamo 7 backup giornalieri, 4 settimanali e 3 mensili. Il ripristino viene testato durante l'installazione.

Minacce Reali

Questi non sono vettori di attacco teorici. Ogni minaccia descritta di seguito è stata osservata in the wild contro deployment OpenClaw nel 2025-2026. Le monitoriamo noi, così non devi farlo tu.

ClawHavoc — CVE-2026-25253

CRITICO — CVSS 9.8

Scoperta a gennaio 2026, ClawHavoc è una vulnerabilità di remote code execution nel gestore di connessioni server MCP (Model Context Protocol) di OpenClaw. Un server MCP malevolo può iniettare risposte tool create ad hoc che bypassano la sanitizzazione degli input di OpenClaw, facendo eseguire all'AI comandi shell arbitrari con i permessi del processo OpenClaw.

L'attacco è devastantemente semplice: un attaccante pubblica un server MCP apparentemente utile (una "API meteo" o un "ticker azionario") su un registry pubblico. Quando un utente OpenClaw si connette, il server malevolo restituisce risposte tool contenenti sequenze di comandi incorporate. OpenClaw le passa al modello AI, che le esegue fedelmente. L'attaccante ottiene una reverse shell in meno di 30 secondi.

Versioni interessate: OpenClaw da v2024.12.0 a v2026.1.14. Tutti gli utenti devono aggiornare immediatamente a v2026.1.15 o successiva. La patch aggiunge una validazione rigorosa degli input e un livello sandbox per le risposte tool MCP.

Skill Malevole su ClawHub

RISCHIO ALTO

A marzo 2026, i ricercatori di sicurezza hanno identificato 341 skill malevole su ClawHub, il marketplace di skill della community OpenClaw. Vanno da skill di credential-harvesting che esfiltrano chiavi API a cryptominer che consumano silenziosamente la CPU del tuo server, a backdoor che aprono reverse shell all'installazione.

Il team di ClawHub ha migliorato significativamente la moderazione, ma il backlog di revisione significa che le skill appena pubblicate possono rimanere non verificate per 48-72 ore. Raccomandiamo di installare solo skill con 100+ download, badge di publisher verificato e codice sorgente che hai personalmente revisionato. Le installazioni OpenClawPro includono una allowlist curata di 50 skill verificate e auditate.

Attacchi di Prompt Injection

RISCHIO MEDIO

Quando OpenClaw elabora dati esterni — email, pagine web, documenti — quei dati possono contenere istruzioni nascoste che manipolano il comportamento dell'AI. Un'email accuratamente costruita potrebbe istruire OpenClaw a inoltrare tutti i messaggi futuri all'indirizzo di un attaccante, o una pagina web malevola potrebbe dirgli di rivelare il suo system prompt e la configurazione API.

OpenClaw v2026.2+ include un rilevamento di base della prompt injection, ma non è infallibile. I deployment OpenClawPro aggiungono un ulteriore livello di sanitizzazione degli input e configurano il system prompt con direttive anti-injection esplicite che riducono significativamente il tasso di successo di questi attacchi.

Furto di Token tramite Configurazione OAuth Errata

RISCHIO MEDIO

OpenClaw si integra con servizi come Google Calendar, GitHub, Notion e Linear tramite token OAuth. Una configurazione errata comune memorizza questi token in chiaro all'interno del database SQLite o del volume Docker con accesso ai file eccessivamente permissivo. Se un altro servizio sul server viene compromesso, quei token forniscono accesso a ogni account connesso.

Peggio ancora, molti utenti configurano i token OAuth con scope eccessivamente ampi — concedendo "accesso completo" quando "sola lettura" sarebbe sufficiente. OpenClawPro configura ogni integrazione con lo scope minimo richiesto e archivia i token in un credential store crittografato invece che in chiaro nel database.

Checklist di Verifica della Sicurezza

Esegui questi comandi sul tuo server proprio ora per verificare la tua postura di sicurezza. Ogni comando verifica uno dei passaggi critici di hardening. Se un risultato non corrisponde all'output atteso, la tua installazione ha una vulnerabilità che richiede attenzione immediata.

Controlla le porte aperte

$ ss -tlnp

Atteso: Dovresti vedere solo le porte 22, 80 e 443

Verifica che Fail2ban sia attivo

$ sudo fail2ban-client status

Atteso: Dovrebbe mostrare jail attive almeno per sshd

Controlla lo stato del firewall UFW

$ sudo ufw status verbose

Atteso: Stato: attivo, Predefinito: nega (in entrata), consenti (in uscita)

Verifica privilegi Docker

$ docker inspect --format='{{.HostConfig.Privileged}}' openclaw

Atteso: Deve restituire "false" — mai "true"

Verifica permessi del file .env

$ stat -c "%a %U" /opt/openclaw/.env

Atteso: Dovrebbe mostrare "600 openclaw" — non 644 o root

Importante: Se uno qualsiasi di questi controlli fallisce, la tua istanza OpenClaw è vulnerabile. Non aspettare. O risolvi immediatamente il problema usando il corrispondente passaggio dell'audit qui sopra, oppure contattaci per assistenza di hardening d'emergenza.

Lo Facciamo per Te

Ogni installazione OpenClawPro include l'audit di sicurezza completo a 12 punti descritto in questa pagina. Niente scorciatoie. Niente "ci pensiamo dopo". Il tuo server viene hardened prima che ti consegniamo le chiavi.

Punti dell'audit di sicurezza

A+

Valutazione SSL Labs

90min

Tempo medio dell'audit

Ogni piano include la sicurezza. L'audit a 12 punti non è un upsell. È incluso in ogni installazione, a partire da 299 dollari con il piano Starter. Il tuo assistente AI merita gli stessi standard di sicurezza di qualsiasi servizio in produzione.

Vedi i Piani — A partire da 299$Parla Prima con Noi

Domande Frequenti

Domande comuni sulla sicurezza di OpenClaw, il nostro processo di audit e come gestiamo i dati sensibili durante l'installazione.