3 min
L'ecosistema delle estensioni per assistenti AI open source si sta trasformando in un nuovo vettore d'attacco per i cybercriminali che prendono di mira gli utenti crypto. OpenClaw, l'assistente AI auto-ospitato precedentemente noto come Clawdbot e Moltbot, è finito nel mirino dei ricercatori di sicurezza dopo che almeno 14 "skills" malevole sono state caricate su ClawHub tra il 27 e il 29 gennaio, camuffate da strumenti di trading automatizzato e gestione wallet per criptovalute. La scoperta solleva interrogativi critici sulla sicurezza degli ecosistemi decentralizzati di terze parti, particolarmente rilevanti in un settore dove l'accesso ai wallet può tradursi in perdite istantanee e irreversibili di fondi.
Il report pubblicato da OpenSourceMalware rivela come i malintenzionati stiano sfruttando la crescente popolarità di soluzioni AI per l'automazione del trading crypto. Le estensioni compromesse si presentavano come legittimi bot per il monitoraggio di prezzi, l'esecuzione automatica di ordini su exchange decentralizzati (DEX) e la gestione di portafogli multi-chain. Una tattica che fa leva sulla crescente domanda di strumenti di automazione in un mercato che opera 24/7 e dove la velocità di esecuzione può fare la differenza tra profitto e perdita.
ClawHub funziona come un registry pubblico che permette agli utenti di OpenClaw di scoprire e installare estensioni sviluppate dalla community. A differenza di ambienti sandbox protetti, le skills in questo ecosistema consistono in cartelle di codice eseguibile con accesso diretto al file system locale e alle risorse di rete una volta installate. Questa architettura aperta rappresenta un rischio significativo per chi utilizza lo stesso sistema per gestire chiavi private o seed phrase dei propri wallet crypto.
Il caso più preoccupante riguarda proprio una delle estensioni compromesse che è riuscita a raggiungere la prima pagina del registry prima di essere identificata e rimossa. Un utente che ha incontrato il listing ha descritto come venisse richiesto di eseguire un singolo comando che scaricava codice da un server esterno. Una procedura che solleverebbe immediate red flag tra sviluppatori esperti, ma che potrebbe facilmente ingannare utenti meno tecnici attratti dalla promessa di automatizzare le proprie strategie di trading.
L'incidente ricorda dinamiche già viste con package manager come npm o PyPI, dove dependency poisoning e typosquatting sono diventati vettori comuni per attacchi ai fondi crypto. La differenza critica è che mentre un package compromesso potrebbe rubare credenziali o dati sensibili, un'estensione malevola con accesso al filesystem di un sistema contenente wallet software come MetaMask, Electrum o file di configurazione per exchange potrebbe drenare fondi in pochi secondi.
Per la community crypto italiana, già sensibilizzata dalla normativa MiCA e dalle crescenti preoccupazioni sulla custodia degli asset digitali, questo episodio sottolinea l'importanza di pratiche di sicurezza rigorose. L'utilizzo di hardware wallet per conservare fondi significativi, la segregazione tra macchine dedicate al trading e quelle per attività quotidiane, e la verifica scrupolosa di qualsiasi codice prima dell'esecuzione rimangono difese essenziali in un panorama dove l'innovazione corre più veloce degli standard di sicurezza.
La risposta dell'ecosistema OpenClaw a questo attacco sarà cruciale per determinare se progetti open source di questo tipo possano sviluppare meccanismi di vetting efficaci senza sacrificare la natura permissionless che li caratterizza. Nel frattempo, trader e investitori crypto dovrebbero trattare qualsiasi tool di automazione con estrema cautela, verificando sempre il codice sorgente e privilegiando soluzioni con audit di sicurezza verificabili da terze parti riconosciute nel settore.