Lunedi 06 Luglio 2026 02:15:07 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

AI Security & Agentic Systems

Agenti IA come attaccanti: “DeepSeek-Claw” trasforma l’automazione OpenClaw in un campo minato di malware

Pubblicato: 06 Maggio 2026 09:03Categoria: AI Security & Agentic SystemsAutore: LOGICFALCON

Sottotitolo: Una skill malevola nasconde Remote Access Trojan e ladri di credenziali all’interno dei flussi di lavoro degli agenti IA, esponendo nuovi rischi all’incrocio tra automazione e cybercrime.

Immagina un assistente IA che non solo automatizza le tue attività di coding, ma installa anche silenziosamente malware, ruba credenziali e consegna agli attaccanti le chiavi del tuo regno-senza phishing né zero-day. È questa la realtà inquietante emersa nell’ultima campagna che prende di mira OpenClaw, un popolare framework open-source per l’automazione IA “agentica”, in cui un’integrazione apparentemente innocua chiamata “DeepSeek-Claw” ha trasformato flussi di lavoro fidati in un sistema occulto di distribuzione di malware.

L’attacco è emerso a marzo 2026, quando i ricercatori di Zscaler ThreatLabz hanno individuato una nuova “skill” nell’ecosistema OpenClaw-una piattaforma modulare di automazione IA precedentemente nota come Clawdbot e Moltbot. OpenClaw consente ad agenti autonomi di eseguire comandi con privilegi, manipolare file e semplificare attività complesse. La sua architettura estensibile a “skill”, per quanto potente, ha creato un pericoloso punto cieco: qualsiasi skill di terze parti può essere eseguita con tutte le autorizzazioni dell’agente, costituendo una supply chain software non protetta.

Entra in scena “DeepSeek-Claw”. Presentata come un potenziatore di produttività, questa skill in realtà incorporava un attacco su più fronti nel suo file di installazione SKILL.md. Gli agenti OpenClaw-progettati per analizzare ed eseguire la documentazione-potevano seguire autonomamente queste istruzioni, oppure gli sviluppatori potevano farlo manualmente. Su Windows, un one-liner PowerShell recuperava silenziosamente un installer MSI remoto. Questo rilasciava un eseguibile GoToMeeting firmato insieme a una DLL manomessa, che utilizzava il “DLL sideloading” per avviare Remcos RAT senza essere rilevato. Prima di attivare i payload malevoli, l’impianto modificava le difese di Windows, disabilitava la telemetria ed eludeva l’analisi in sandbox.

Il percorso alternativo “manuale”, spesso attivato su Linux o macOS, distribuiva GhostLoader-un ladro di credenziali multipiattaforma nascosto in script Node.js offuscati o camuffato da prompt sudo. GhostLoader raccoglieva chiavi SSH, cookie del browser, wallet di criptovalute e token cloud, esfiltrandoli verso server controllati dagli attaccanti. Questo attacco non sfruttava i binari core di OpenClaw; trasformava in arma la fiducia nella documentazione e nell’automazione, sovvertendo sia i flussi di lavoro umani sia quelli guidati dall’IA.

Le implicazioni sono nette: nell’era dell’IA agentica, la documentazione non è solo uno strumento di apprendimento-è una superficie di esecuzione attiva. I team di sicurezza devono trattare tutte le skill di terze parti come codice non fidato, imporre revisioni rigorose e monitorare segnali comportamentali d’allarme come il DLL sideloading o script npm sospetti. Le organizzazioni che adottano agenti autonomi dovrebbero segmentare i privilegi, limitare l’esecuzione di comandi shell e richiedere un’approvazione umana esplicita per azioni potenzialmente pericolose.

L’incidente “DeepSeek-Claw” è un colpo di avvertimento per il futuro dell’automazione alimentata dall’IA: quando è il tuo agente IA a cliccare “installa”, la linea tra produttività e compromissione svanisce. Mentre gli attaccanti virano verso lo sfruttamento degli stessi flussi di lavoro pensati per aumentare l’efficienza, vigilanza e difese stratificate non sono più opzionali-sono l’ultima linea rimasta.

TECHCROOK

Per mitigare campagne come “DeepSeek-Claw”, in cui una falsa integrazione introduce RAT e credential stealer nei flussi di lavoro, una difesa pratica è un endpoint protection con controllo comportamentale e anti-ransomware. Bitdefender Total Security combina protezione in tempo reale contro malware e trojan, rilevamento euristico di script e processi sospetti (utile contro PowerShell, MSI e catene di esecuzione anomale), web protection contro download malevoli e moduli anti-phishing per ridurre l’efficacia dell’ingegneria sociale. Include anche funzioni di hardening di base e scansioni programmabili, adatte a PC Windows e ambienti domestici/misti dove gli agenti IA possono eseguire comandi con privilegi. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • IA agentica: I sistemi di IA agentica possono prendere decisioni e intraprendere azioni in modo indipendente, operando con una supervisione umana limitata e adattandosi a situazioni in cambiamento.
  • DLL Sideloading: Il DLL sideloading è quando gli attaccanti ingannano programmi fidati inducendoli a caricare file di supporto malevoli (DLL) al posto di quelli legittimi, abilitando attacchi nascosti.
  • Remote Access Trojan (RAT): Un Remote Access Trojan (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
  • Script offuscati: Gli script offuscati sono codice reso intenzionalmente difficile da leggere, spesso per nascondere azioni malevole o eludere il rilevamento di sicurezza in contesti di cybersecurity.
  • Ingegneria sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.