Il Threat Intelligence Group di Google ha pubblicato un report dal quale emerge che un gruppo di hacker criminali ha utilizzato modelli IA per pianificare un’operazione di sfruttamento massivo di vulnerabilità software. L’intervento proattivo del team di Google avrebbe, secondo quanto dichiarato, impedito o quantomeno limitato la realizzazione dell’attacco.

Il caso specifico documentato con “alto grado di confidenza” riguarda l’uso dell’AI per identificare e sfruttare una vulnerabilità zero-day in grado di aggirare l’autenticazione a due fattori. Un obiettivo tutt’altro che banale, che fino a poco tempo fa avrebbe richiesto competenze altamente specializzate e settimane di lavoro manuale. Google non ha rivelato l’identità del gruppo criminale coinvolto, né ha confermato l’utilizzo del proprio modello Gemini.

Il report cita esplicitamente OpenClaw come uno degli strumenti AI già attivamente impiegati da attori malevoli per individuare falle nei sistemi, sviluppare malware e orchestrare campagne di attacco. In particolare, Google ha osservato la distribuzione di pacchetti dannosi camuffati da skill OpenClaw, contenenti routine nascoste progettate per eseguire codice e comandi non autorizzati sul sistema host. Considerato l’elevato livello di accesso al sistema concesso a OpenClaw, una skill potrebbe essere utilizzata per compiere diverse azioni privilegiate, come eseguire codice, scaricare payload aggiuntivi e individuare ed esfiltrare dati locali.

Inoltre, anche pacchetti non intrinsecamente malevoli potrebbero esporre gli utenti a rischi aggiuntivi. Skill legittime che non adottano pratiche sicure nella gestione di informazioni sensibili, come credenziali o dati di autenticazione, potrebbero infatti esporre involontariamente tali informazioni agli attaccanti e ciò potrebbe renderle vulnerabili al furto tramite tecniche come il prompt injection, altre skill malevole o minacce malware tradizionali come gli infostealer.

Google OpenClaw

Sebbene il rischio rappresentato da skill o componenti agentici malevoli o insicuri non sia esclusivo della piattaforma OpenClaw, la scoperta di questi pacchetti evidenzia l’ampliamento della superficie d’attacco nelle piattaforme di sviluppo AI e, più in generale, nell’ecosistema agentico. Inoltre, la difficoltà nell’identificare e distinguere i pacchetti malevoli dalle skill legittime rappresenta una sfida significativa per i difensori. Pur trattandosi di un vettore d’infezione di natura opportunistica, la facilità con cui queste skill possono essere create e distribuite potrebbe renderle un’opzione molto interessante per una vasta gamma di attori malevoli alla ricerca di accesso ai sistemi degli utenti.

Per contribuire a mitigare questi rischi legati alla supply chain, OpenClaw ha avviato una collaborazione con VirusTotal per integrare scansioni di sicurezza automatizzate direttamente in ClawHub, il marketplace pubblico delle skill. Ogni skill pubblicata nel repository viene ora analizzata automaticamente tramite la funzionalità Code Insight di VirusTotal, che valuta il comportamento effettivo del codice del pacchetto per rilevare operazioni di rete non autorizzate, payload malevoli o istruzioni incorporate non sicure. Sulla base di questa analisi orientata alla sicurezza, le skill vengono approvate come innocue, contrassegnate con avvisi per gli utenti oppure bloccate completamente, offrendo così un livello essenziale di protezione contro gli abusi dell’ecosistema.

Il caso Google si inserisce in un momento di forte tensione per l’intero ecosistema AI applicato alla sicurezza. Ad aprile, Anthropic aveva ritardato il rilascio del proprio modello Mythos citando la possibilità che attori malintenzionati usassero lo strumento per identificare vulnerabilità in software anche molto datato. La decisione aveva generato onde d’urto nell’industria, culminate in incontri alla Casa Bianca con leader tecnologici e imprenditoriali. Anthropic ha poi rilasciato Mythos in accesso ristretto a un gruppo selezionato di tester qualificati, tra cui Apple, CrowdStrike, Microsoft e Palo Alto Networks.

Sulla stessa linea si muove OpenAI, che la settimana scorsa ha annunciato il lancio in anteprima limitata di GPT-5.5-Cyber, una variante del suo ultimo modello pensata specificamente per team di cybersecurity verificati. Dietro a queste mosse c’è la chiara volontà di rilasciare i modelli più potenti per applicazioni di sicurezza abbinandoli a meccanismi di accesso controllato, nel tentativo di limitarne l’abuso senza rinunciare al vantaggio competitivo che offrono ai difensori.