Checklist sicurezza OpenClaw: 7 punti da configurare prima di andare in produzione

Il team STRIKE di SecurityScorecard ha trovato oltre 135.000 istanze OpenClaw esposte pubblicamente su internet, in 82 paesi, nel febbraio 2026. Il 63% dei deployment non ha alcuna forma di autenticazione. Su ClawHub, il registro ufficiale delle skill, oltre 820 estensioni, il 20% del totale, sono classificate come malevole. Nel 2026 sono stati pubblicati oltre 400 CVE relativi a framework di agenti IA, tra cui CVE-2026-25253 con CVSS 8.8 e CVE-2026-32922 con CVSS 9.9. L'EU AI Act entra in vigore il 2 agosto 2026 con obblighi espliciti per i sistemi ad alto rischio.

Questa checklist documenta i 7 punti che verifico in ogni deployment OpenClaw che seguiamo. Non è una lista teorica: è quello che separa un'installazione da tutorial da un sistema di produzione sicuro.

Punto 1: disabilita il binding su 0.0.0.0

OpenClaw si associa di default a 0.0.0.0:18789, esponendo ogni interfaccia di rete, incluso l'accesso pubblico da internet. Questa configurazione ha senso in sviluppo locale, non in produzione. Il primo intervento è cambiare il binding a 127.0.0.1 o all'indirizzo IP privato del server, e configurare un reverse proxy come nginx o Caddy per gestire il traffico in entrata con TLS.

Senza questo intervento, chiunque conosca la porta può interrogare il tuo OpenClaw direttamente. I 135.000 deployment esposti identificati da SecurityScorecard STRIKE sono quasi tutti in questa condizione: installati su un VPS, porta aperta, nessun firewall tra internet e il processo.

La configurazione corretta richiede meno di dieci minuti. Cambia il parametro host nel file di configurazione, riavvia il servizio, verifica con netstat che il processo ascolti solo sull'interfaccia corretta. Poi configura il firewall per bloccare la porta 18789 dall'esterno e accettare solo il traffico dal reverse proxy.

Punto 2: abilita l'autenticazione su ogni endpoint

OpenClaw non abilita autenticazione di default. Qualsiasi richiesta all'API è accettata senza credenziali. Questo significa che un attaccante che raggiunge il processo può eseguire qualsiasi operazione disponibile: eseguire task, leggere la memoria degli agenti, accedere alle credenziali configurate.

L'autenticazione minima accettabile in produzione è una API key robusta, con rotazione periodica, trasmessa solo via HTTPS. Per deployment aziendali con più utenti, configura autenticazione a due fattori e gestione dei token per sessione. I token non devono mai essere trasmessi in chiaro, memorizzati in file non protetti o loggati.

CVE-2026-25253 (CVSS 8.8) riguarda un bypass di autenticazione in versioni specifiche di OpenClaw che permette l'accesso non autorizzato all'API di gestione degli agenti. Verificare la versione installata e applicare la patch disponibile è obbligatorio prima di qualsiasi deployment in produzione.

Punto 3: cifra le credenziali a riposo

Nella configurazione standard di OpenClaw, le chiavi API per servizi esterni, le credenziali email, i token di accesso ai database, vengono salvate in file di testo in chiaro nella directory di configurazione. Un attaccante che accede al file system, tramite una vulnerabilità nel server o nel processo stesso, può leggere tutte le credenziali configurate.

La soluzione corretta è usare un secret manager. Le opzioni più diffuse in ambienti Linux sono HashiCorp Vault per deployment enterprise, o semplicemente variabili d'ambiente iniettate dal sistema di orchestrazione (systemd, Docker, Kubernetes) senza mai scriverle su disco. Le credenziali non devono mai essere nel repository git e non devono mai essere nei file di configurazione in chiaro.

CVE-2026-32922 (CVSS 9.9) documenta un percorso di escalation che sfrutta l'accesso alle credenziali in chiaro per ottenere accesso amministrativo ai sistemi connessi. Con CVSS 9.9, questa vulnerabilità è considerata critica e il vettore di attacco include la lettura dei file di configurazione standard.

Punto 4: isola gli agenti in container con permessi minimi

Nella configurazione di default, gli agenti OpenClaw girano con i permessi dell'utente che ha avviato il processo. Se quell'utente ha accesso al file system completo del server, gli agenti, e chiunque riesca a manipolarli tramite prompt injection o altri vettori, hanno lo stesso accesso.

Il principio del minimo privilegio si applica a ogni componente. Ogni agente deve girare in un container isolato con accesso solo alle risorse strettamente necessarie: la directory di lavoro dell'agente, le credenziali specifiche che usa, i path di rete verso i servizi che integra. Nient'altro. Docker e le sue network policy permettono di configurare questo isolamento in modo granulare.

L'isolamento dei container limita anche l'impatto di una compromissione. Se un agente viene manipolato tramite prompt injection, l'attaccante è confinato all'interno del container. Non può spostarsi lateralmente verso altri agenti, verso il file system del server o verso la rete interna. La superficie di attacco effettiva si riduce drasticamente.

Punto 5: verifica ogni skill prima dell'installazione

Il 20% delle skill su ClawHub, oltre 820 estensioni, è classificato come malevolo secondo SecurityScorecard STRIKE (febbraio 2026). ClawHub non è un repository non ufficiale: è il canale principale da cui la maggior parte degli utenti installa le skill. La presenza di codice malevolo nel canale ufficiale rende l'audit preventivo obbligatorio.

Prima di installare qualsiasi skill, verificare: la reputazione del maintainer e la storia dei commit, il codice sorgente se disponibile, le permission richieste dalla skill rispetto a quelle effettivamente necessarie per il suo scopo dichiarato. Una skill di gestione email non ha nessun motivo legittimo per richiedere accesso al file system o a credenziali di sistema.

Le skill malevole seguono pattern ricorrenti: richiedono permission eccessive, effettuano chiamate di rete verso endpoint non documentati, leggono o copiano file di configurazione. Un audit del codice sorgente prima dell'installazione, anche superficiale, individua la maggior parte di questi pattern. Per le skill critiche, è opportuno eseguire prima in un ambiente sandbox isolato da internet.

Punto 6: configura audit logging immutabile

Ogni azione di ogni agente deve essere registrata in un log immutabile: quale agente ha agito, quale tool ha chiamato, con quali parametri, in quale momento, con quale risultato. Senza audit logging, non è possibile rispondere a una richiesta del Garante Privacy, investigare un incidente di sicurezza o dimostrare la conformità all'EU AI Act.

L'EU AI Act, che entra in vigore il 2 agosto 2026, impone requisiti espliciti di trasparenza e tracciabilità per i sistemi di IA ad alto rischio. I sistemi che processano dati personali, supportano decisioni con impatto significativo sulle persone o operano in settori regolamentati rientrano spesso in questa categoria. Il logging è uno dei requisiti tecnici fondamentali per la conformità.

Il logging deve essere configurato in modo che i log non possano essere modificati o cancellati dagli agenti stessi o dai processi che gestiscono. La soluzione standard è inviare i log a un sistema esterno, un SIEM o anche un bucket S3 con object lock, in tempo reale. I log locali possono essere manomessi; i log remoti con write-once policy no.

Punto 7: implementa rate limiting e monitoraggio delle anomalie

Un deployment OpenClaw senza rate limiting è vulnerabile ad abusi interni ed esterni. Un agente mal configurato, o manipolato tramite prompt injection, può generare centinaia di chiamate API al minuto verso servizi esterni, accumulando costi imprevisti o attivando ban automatici da parte dei provider. Un attaccante esterno può usare il tuo deployment come relay per attacchi verso terzi.

Configura limiti di rate su ogni endpoint dell'API OpenClaw e su ogni integrazione esterna. I limiti devono essere proporzionati all'utilizzo atteso: se un agente gestisce email e processa normalmente 50 messaggi al giorno, un rate limit a 200 operazioni al giorno blocca gli abusi senza interferire con l'operatività normale.

Il monitoraggio delle anomalie completa il quadro. Definisci baseline di comportamento normale per ogni agente, volume di chiamate, pattern di accesso, orari di attività, e configura alert per le deviazioni significative. Un agente che inizia a fare 500 chiamate API alle 3 di notte è un segnale di compromissione, non di efficienza. Ricevere quell'alert in tempo reale fa la differenza tra un incidente contenuto e un breach.

La checklist in sintesi

Questi 7 punti non sono opzionali per un deployment di produzione: binding limitato all'interfaccia interna, autenticazione abilitata su ogni endpoint, credenziali cifrate e mai in chiaro, isolamento in container con permessi minimi, audit delle skill prima dell'installazione, logging immutabile verso sistema esterno, rate limiting e monitoraggio delle anomalie.

La buona notizia è che nessuno di questi punti richiede hardware speciale o competenze rare. Richiedono attenzione, configurazione corretta e un processo di deployment strutturato. La differenza tra un'installazione da tutorial e un deployment di produzione sicuro è questa: il processo viene eseguito una volta sola, ma protegge il sistema per tutto il suo ciclo di vita.

ClawBuildr esegue questa checklist sistematicamente in ogni deployment. Se hai già OpenClaw in funzione e vuoi verificare il tuo stato attuale, possiamo fare un audit della tua configurazione e mostrarti esattamente quali punti richiedono intervento.