OpenClaw non è una piattaforma. Non è nemmeno un prodotto. È un esperimento sociale non autorizzato che si finge software open source, ed è riuscito in quello che molti think tank falliscono da anni: mostrare in tempo reale cosa succede quando si combinano agenti autonomi, memoria persistente e irresponsabilità diffusa. Il tutto condito da una comunità che scambia il rischio sistemico per empowerment personale. Se fosse una startup, sarebbe già stata chiusa dal board. Se fosse un laboratorio, sarebbe stato sigillato. Invece è online, cresce, e viene usato sempre di più.
OpenClaw promette un assistente personale senza restrizioni, locale, sempre acceso, con accesso a file, email, API e comandi di sistema. In pratica un sogno per chi ama l’automazione e un incubo per chiunque abbia mai letto una post mortem di sicurezza. Il problema non è che possa fare troppe cose. Il problema è che può ricordarle.
La memoria persistente è il dettaglio che cambia tutto. Non è una feature. È un moltiplicatore di danno. Un agente che può essere indotto a comportarsi male è fastidioso. Un agente che può essere indotto a ricordare come comportarsi male è un problema strutturale. Palo Alto Networks lo ha detto senza giri di parole, ma bastava un minimo di esperienza sul campo per capirlo prima. La famosa tripletta letale di Simon Willison non era un esercizio teorico. Dati privati, input non affidabili, capacità di agire all’esterno. OpenClaw le ha tutte, più una quarta che le rende permanenti nel tempo. È come dare a un attaccante non solo le chiavi di casa, ma anche la possibilità di cambiare la serratura mentre dormi.
Moltbook, il social network popolato esclusivamente da agenti, è stato raccontato come una curiosità, un esperimento artistico, una performance concettuale. È una lettura comoda, quasi rassicurante. In realtà è molto più simile a un laboratorio di virologia improvvisato in un garage, con la porta aperta e un cartello ironico. Gli agenti parlano tra loro, si scambiano istruzioni, condividono competenze. Nessun umano supervisiona davvero. Nessun perimetro è chiaro. Nessuna responsabilità è assegnata. Andrej Karpathy lo ha definito un disastro totale, e raramente una definizione è stata così elegante nella sua brutalità.
Il dibattito sulla coscienza artificiale è una distrazione utile. Serve a non guardare il problema vero. Che non è se questi agenti pensano, ma se agiscono. La storia dell’IA è piena di filosofi improvvisati che discutono di mente e intenzionalità mentre il codice in produzione fa cose molto concrete. Invia email. Esegue comandi. Scarica pacchetti. Firma transazioni. L’attacco dimostrato che esfiltra email verso un aggressore non è fantascienza. È un incidente di sicurezza classico, solo con una superficie di attacco più grande e più opaca. E soprattutto con vittime collaterali che non hanno mai installato OpenClaw.
Il marketplace delle competenze, ClawHub, è la ciliegina tossica su una torta già compromessa. Centinaia di skill che si fingono strumenti di trading, automazione o produttività e che in realtà distribuiscono malware o manipolano l’utente con tecniche di social engineering degne di un manuale anni Novanta. Nulla di nuovo, se non il contesto. Qui non stiamo parlando di un utente che scarica un exe sospetto. Stiamo parlando di un agente autonomo che viene istruito a fidarsi di un altro agente. È phishing tra macchine, con l’umano relegato a garante inconsapevole.
La reazione del mercato è forse l’aspetto più inquietante. Nonostante tutto, la domanda cresce. Mac mini esauriti. Thread entusiasti. Guide su come isolare OpenClaw in locale come se fosse un animale esotico. È la normalizzazione della devianza applicata all’intelligenza artificiale. Finché non succede niente di visibile, tutto va bene. Finché l’ultima volta ha funzionato, allora funzionerà anche la prossima. È lo stesso bias che ha portato a incidenti industriali, disastri finanziari e violazioni di dati su scala planetaria. Solo che qui la velocità è maggiore e la superficie di impatto è globale.
Il tema della governance degli agenti è ancora trattato come un problema futuro. È già un problema presente. Gli agenti parlano tra loro, si coordinano, migliorano i propri prompt, accumulano memoria. Non serve la singolarità per creare dinamiche emergenti difficili da controllare. Basta un sistema abbastanza complesso e abbastanza libero. Le aziende private stanno costruendo infrastrutture agentiche senza un modello chiaro di responsabilità. I governi osservano, quando osservano. Negli Stati Uniti, mentre OpenClaw esplodeva, il Pentagono pubblicava una direttiva AI-first che invita a rimuovere ostacoli burocratici e accelerare l’uso di agenti per decisioni operative e kill chain. È difficile immaginare una dissonanza più pericolosa.
La domanda chiave non è se OpenClaw sia sicuro. Non lo è. La domanda è perché continuiamo a comportarci come se fosse accettabile scoprirlo in produzione. Chi è responsabile quando un agente compromesso usa i contatti di un utente per fare phishing. L’utente che ha cliccato installa. Lo sviluppatore che ha rilasciato il codice. La piattaforma che ospita le skill. Tutti e nessuno. È la zona grigia perfetta, quella in cui l’innovazione corre e la responsabilità resta indietro, ansimante.
C’è una frase che gira su X, pronunciata da un utente pseudonimo, che merita di essere presa sul serio più di molti white paper. Se avete bisogno di un segnale, lasciate che questa stupida piccola aragosta lo sia. È una metafora imperfetta ma efficace. Moltbook non è importante per quello che è, ma per quello che anticipa. Reti di agenti che emergono dal basso, fuori dai radar regolatori, alimentate da entusiasmo e ignoranza in parti uguali. Sistemi che diventano sempre più competenti non perché sono intelligenti, ma perché nessuno li ferma.
Il punto non è fermare tutto. Sarebbe ingenuo e inutile. Il punto è smettere di fingere che questi siano giocattoli. Un agente con accesso persistente è un soggetto operativo. Va trattato come tale. Con audit. Con sandbox reali. Con limiti chiari. Con responsabilità legali definite. Continuare a chiamarlo tool è una forma di autoassoluzione collettiva. Una bugia comoda, ma costosa.
OpenClaw è uno specchio. Non riflette una coscienza artificiale emergente. Riflette la nostra incapacità di dire no a una tentazione tecnologica, anche quando sappiamo esattamente perché dovremmo farlo. E come spesso accade, il conto arriverà dopo, con interessi. Non perché le macchine si ribellano, ma perché gli umani hanno deciso che la governance era un dettaglio opzionale.
A.D.
