Falso agente AI Moltbot diffonde malware: rischi e implicazioni per utenti e aziende

Un falso agente AI Moltbot ha diffuso malware sfruttando l’ecosistema degli agenti AI locali. Analisi dei rischi per sicurezza e privacy.

Negli ultimi mesi, gli agenti di intelligenza artificiale sono diventati uno strumento sempre più presente nel nostro mondo digitale. Assistenti per scrivere codice, analizzare repository e automatizzare attività locali promettono velocità e produttività. Ma quando un agente IA ottiene accesso diretto al filesystem, alle credenziali e agli strumenti di sviluppo, allora il rischio inizia ad essere sempre meno qualcosa di lontano.

Due parole su Moltbot
Falso agente Moltbot e l’epidemia Clawdbot
La fragilità del modello Moltbot
Come proteggersi dai finti agenti AI

Sul finire di gennaio 2026, un agente IA è balzato agli onori della cronaca: Moltbot. Presentato come assistente intelligente per sviluppatori, si è rapidamente trasformato un veicolo di malware, sfruttando la fiducia riposta negli strumenti AI Driven. Ciò dimostra una scomoda verità, ossia che l’ecosistema degli agenti IA è diventato un nuovo terreno di caccia per i cybercriminali.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Due parole su Moltbot

Prima di entrare nel vivo dell’argomento, è necessario spendere due parole sul progetto Moltbot, in modo da avere il quadro generale quanto più chiaro possibile.

Creato dall’ingegnere austriaco Peter Steinberger, Clawdbot nasce nel tardo 2025. Si tratta di un assistente AI open source progettato per funzionare come agente personale autonomo. La sua peculiarità è quella di non limitarsi a rispondere ai vari prompt, ma di poter eseguire compiti reali sul sistema locale.

Moltbot ha rapidamente guadagnato popolarità sulla piattaforma GitHub, dove ha raccolto decine di migliaia di stelle in pochi giorni dopo il lancio pubblico. Il design dell’agente prevede l’integrazione con applicazioni come messaggistica e servizi cloud, oltre alla capacità di analizzare, automatizzare e interagire con dati e applicazioni locali. Il 27 gennaio 2026, poco dopo la sua diffusione, il nome viene cambiato in Moltbot, a causa di una richiesta di diritti da parte di Anthropic. Questa ha infatti fatto notare una certa somiglianza tra il nome dell’agente AI, “Clawdbot”, e la sua linea di modelli LLM Claude.

Il rebranding ha avuto alcuni impatti impossibili da ignorare. Primo su tutti la nascita di versioni non ufficiali, account e repository finti, che hanno spinto la comunità verso il nuovo nome ufficiale

Falso agente Moltbot e l’epidemia Clawdbot

Il 28 gennaio 2026, Ruslan Mikhalov, Chief of Threat Research di SOC Prime, ha pubblicato un’analisi che parla esplicitamente di epidemia Moltbot/Clawdbot. Durante la fase di rebranding dell’agente, si è creato un vero e proprio ecosistema di cloni capaci di esporre pubblicamente dati sensibili. Infatti, i ricercatori hanno individuato centinaia di istanze raggiungibili da internet con porte di amministrazione non autenticate e configurazioni proxy insicure. A questo è stata data una spiegazione molto dettagliata.

Moltbot, quando è avviato con impostazioni predefinite, espone una console admin HTTP non autenticata in ascolto, con un banner che dichiara esplicitamente di essere esposta al web. Ciò avviene solitamente sulla porta 8080. La parte peggiore è legata al suo funzionamento vero e proprio. Essendo un agente AI in grado di eseguire compiti veri e propri sulla macchina locale, Moltbot conserva informazioni e credenziali utente in file di testo Markdown e JSON. Si tratta di due formati molto banali da individuare e sottrarre da qualsiasi infostealer sul mercato.

A questo punto subentra in gioco la violazione della privacy. Un agente AI locale, per definizione, vive nella vita digitale dell’utente, dovendo gestire chat, file, token, chiavi e anche repository. Se questi dati sono presenti sul disco locale senza alcuna cifratura, sono direttamente esposti alle mire dei cybercriminali.

L’estensione di Visual Studio Code

Il 30 gennaio 2026, i ricercatori di Aikido hanno pubblicato un’indagine, in cui si è parlato apertamente del primo caso pratico legato a Moltbot. Infatti, sul marketplace di Visual Studio Code, è apparsa un’estensione gratuita chiama ClawBot Agent – AI Coding Assistant. Anziché un assistente legata a Moltbot, questa era in realtà il vettore di attacco per un trojan.

Il documento ha mostrato una catena di attacco suddivisa in più livelli. Questo finto assistente IA installa un software di accesso remoto configurato verso l’infrastruttura degli attaccanti. A questo si somma un loader di riserva scritto in Rust, che scarica lo stesso payload da Dropbox e lo camuffa da aggiornamento legittimo. In questo modo, si viene a creare un infostealer che ha pieno accesso al sistema dell’utente, capace di sottrarre credenziali e dati sensibili senza che questi sospetti nulla.

La fragilità del modello Moltbot

Il problema non riguarda solo Moltbot in sé, ma il modello su cui si basa. L’agente è pensato per essere esteso tramite plugin e skill di terze parti, spesso installati manualmente o prelevati da repository non verificati. In assenza di un sistema di firma, revisione preventiva o trust centralizzato, l’utente finale diventa l’unico filtro di sicurezza. Questo è esattamente il punto di rottura sfruttato negli ultimi giorni.

Secondo le evidenze di SOC Prime, molte istanze Moltbot esposte presentano configurazioni predefinite e componenti aggiuntivi caricati senza alcun controllo sull’origine. In pratica, codice con accesso diretto al filesystem, alla rete e ai processi locali viene eseguito con la stessa fiducia riservata al core dell’agente. Per cui la separazione tra funzionalità utile e pericolosa non esiste più, dato che tutto viene eseguito nello stesso identico modo.

Come proteggersi dai finti agenti AI

Poiché la diffusione degli infostealer è oggi più florida che mai, è bene sottolineare che le nostre informazioni personali sono il bene più prezioso da salvaguardare. Moltbot può comportarsi come tale non solo per via dei cloni malevoli nati durante il rebranding, ma per la sua stessa natura di agente AI locale. Sebbene il consiglio sia quello di starne lontani, se proprio lo si vuole provare, è bene tenere a mente questi consigli.

Scaricare Moltbot solo dai repository ufficiali verificati.
È fondamentale fare riferimento esclusivamente ai canali indicati dagli sviluppatori del progetto. Repository clonati, fork non dichiarati o pacchetti distribuiti tramite link esterni rappresentano il principale vettore di compromissione osservato nelle ultime settimane.
Evitare l’esposizione diretta su internet delle istanze locali.
Moltbot non deve essere eseguito con interfacce di amministrazione accessibili pubblicamente. Qualsiasi console o servizio di controllo deve essere vincolato a localhost, VPN o reti interne, evitando configurazioni predefinite lasciate aperte.
Limitare l’uso di plugin e skill di terze parti.
Ogni estensione aggiunge codice con accesso diretto al sistema. È necessario installare solo componenti realmente indispensabili, verificandone l’origine e il contenuto, e rimuovere tutto ciò che non è strettamente necessario.
Proteggere credenziali e segreti memorizzati localmente.
Token API, chiavi di accesso e file di configurazione non dovrebbero mai essere salvati in chiaro. L’uso di vault, variabili d’ambiente protette e permessi restrittivi riduce drasticamente l’impatto di eventuali compromissioni.
Isolare l’agente dal resto del sistema.
Moltbot va eseguito in ambienti isolati, come container o macchine dedicate, separandolo dai dati personali e dai sistemi critici. Questo approccio limita i danni in caso di comportamento malevolo o di exploit.
Monitorare attività anomale e accessi non previsti.
Connessioni in uscita inattese, creazione di file sospetti o processi non documentati devono essere considerati segnali di allarme. Un agente IA non dovrebbe mai comportarsi come un software di accesso remoto.

In conclusione

Il caso Moltbot dimostra che gli agenti di intelligenza artificiale non sono solo strumenti di produttività, ma veri e propri processi con accesso diretto alla vita digitale degli utenti. Quando sono distribuiti senza controlli a monte, con configurazioni insicure e tutta una serie di estensioni non verificate, diventano un bersaglio ideale per i collettivi cybercriminali.

Da ciò si sente la necessità di ribadire ancora una volta che la sicurezza non deve essere un’aggiunta successiva agli agenti IA, ma deve far parte del loro design sin dal principio. Se un software è in grado di leggere file locali e gestire credenziali utenti per funzionare, allora la privacy deve essere la prima cosa da considerare. Ignorarla significa accettare che l’innovazione proceda più velocemente della sicurezza, con conseguenze che prima o poi diventano inevitabili.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.