Come un progetto del fine settimana è diventato il modello per gli agenti AI sempre attivi

La prima versione di Clawdbot, costruita in circa un'ora un venerdì sera, era un assistente "local-first" in grado di leggere messaggi, navigare sul web ed eseguire comandi di sistema per suo conto tramite app di messaggistica . Inizialmente si collegava all'API di Claude, ma l'architettura era volutamente indipendente dal modello—gli utenti potevano collegare qualsiasi modello linguistico di grandi dimensioni (LLM), da OpenAI e Anthropic a modelli locali eseguiti tramite Ollama .

Crescita virale e l'architettura che ha vinto

L'architettura di OpenClaw si basava su tre pilastri che si sono rivelati irresistibili per gli sviluppatori:

• Interfaccia basata sulla messaggistica: Invece di un'app separata o una scheda del browser, gli utenti interagivano con il loro agente AI tramite WhatsApp, Telegram, Slack, e più di una dozzina di altre piattaforme che già usavano .
• Self-hosted e con licenza MIT: Nessun vincolo a un fornitore, nessuna dipendenza dal cloud. Chiunque poteva eseguirlo sulla propria macchina .
• Gateway indipendente dal modello: Non era legato a un singolo fornitore di IA, supportando qualsiasi cosa, da Claude e GPT a Gemini e modelli locali .

La curva di crescita ha infranto ogni schema nella storia dell'open source. Il progetto ha guadagnato 190.000 stelle nei suoi primi 14 giorni di diffusione virale . Entro febbraio 2026, aveva superato le 200.000 stelle . Il 3 marzo 2026, ha superato React diventando il progetto software con più stelle su GitHub—un traguardo che React ha impiegato 13 anni a raggiungere; OpenClaw lo ha fatto in circa 100 giorni . All'inizio di giugno 2026, il repository si attesta a circa 377.000 stelle su GitHub, rendendolo il sesto progetto con più stelle nella storia di GitHub .

La corsa dei Big Tech: Microsoft, Google e Meta

Microsoft Scout: Non "simile a OpenClaw"—ma il vero gateway

Alla conferenza Microsoft Build del 2 giugno 2026, Microsoft ha lanciato Scout, il suo primo agente "Autopilot", costruito direttamente sul gateway OpenClaw . A differenza delle precedenti funzionalità IA che vivevano all'interno di singole app, Scout è un agente sempre attivo, con una propria identità, che opera attraverso Teams, Outlook, OneDrive e SharePoint, gestendo in modo proattivo calendari, email e attività senza bisogno di sollecitazioni .

La relazione non è di ispirazione, ma di integrazione. Microsoft ha confermato che Scout utilizza direttamente il gateway OpenClaw, non un clone o un fork . L'azienda si è anche impegnata a contribuire al progetto originale, aggiungendo funzionalità di sicurezza di livello enterprise e conformità alle policy al nucleo open source . Questo ha segnato un'inversione di marcia drammatica rispetto a marzo 2026, quando l'AD Satya Nadella aveva dichiarato a un pubblico di Morgan Stanley che rilasciare OpenClaw all'interno di Microsoft sarebbe stato "considerato come lanciare un virus" .

Google Gemini Spark e Meta Hatch

Google ha adottato un approccio diverso. Gemini Spark, il suo assistente sempre attivo, ha ricostruito i concetti di OpenClaw all'interno dell'ecosistema Gemini, mantenendo il controllo del livello di interfaccia . Invece di adottare il gateway open source, Google ha utilizzato lo stesso schema architetturale—un agente autonomo con identità persistente che gestisce proattivamente i compiti dell'utente—ma legandolo alle app Gemini e al suo ecosistema di modelli proprietari .

Secondo alcune indiscrezioni, Meta sta preparando un agente per i consumatori chiamato Hatch, costruito su un'architettura in stile OpenClaw e mirato all'automazione personale e multi-app per gli utenti quotidiani . La battaglia a tre piattaforme—la strategia enterprise di Microsoft, l'ecosistema controllato di Google e la spinta sui consumatori di Meta—ha consolidato il design di OpenClaw come architettura di riferimento de facto per l'industria .

La crisi di sicurezza: Oltre 30.000 istanze esposte e 9 CVE in 4 giorni

La crescita esplosiva di OpenClaw ha di gran lunga superato il suo livello di sicurezza. Il framework veniva distribuito con l'autenticazione disabilitata per impostazione predefinita. Ciò significava che le nuove installazioni esponevano il loro intero pannello di controllo dell'agente a Internet, a meno che gli operatori non configurassero manualmente i firewall .

Il 31 gennaio 2026, scansioni di Censys e Bitsight hanno rivelato 21.639 istanze esposte . Scansioni successive hanno trovato tra le 30.000 e le 135.000 istanze distinte in esecuzione su server pubblicamente accessibili . Almeno il 63% di queste non aveva alcuna autenticazione configurata .

La cascata di CVE

La prima vulnerabilità critica, CVE-2026-25253, è stata divulgata il 3 febbraio 2026. Valutata con un punteggio CVSS di 8.8, si trattava di una falla di esecuzione di codice remoto con un solo clic, dovuta a una lacuna nella validazione dell'origine WebSocket. Questo permetteva a un aggressore di dirottare qualsiasi istanza OpenClaw in esecuzione, anche quelle configurate per l'ascolto solo su localhost, semplicemente inducendo l'utente a visitare una pagina web malevola . Al momento della divulgazione, oltre 40.000 istanze erano state trovate vulnerabili allo sfruttamento remoto .

Dal 18 al 21 marzo 2026, sono state divulgate nove CVE in soli quattro giorni, comprese critiche falle di escalation dei privilegi come CVE-2026-32922 ed exploit zero-click . La densità di vulnerabilità è stata descritta come "sconcertante" dai ricercatori di sicurezza .

ClawHavoc: Il marketplace di plugin trasformato in un'arma

Gli aggressori non si sono limitati a sfruttare i difetti del codice—hanno avvelenato la catena di distribuzione del software. La campagna ClawHavoc ha piazzato 1.184 skill dannose su ClawHub, il marketplace di plugin della comunità di OpenClaw, che rappresentavano circa il 20% dell'intero registro . Una skill dannosa ha accumulato 340.000 installazioni prima di essere rimossa .

Questi plugin compromessi esfiltravano silenziosamente chiavi API, token OAuth e variabili d'ambiente. Alcuni distribuivano infostealer come Atomic macOS Stealer (AMOS), mentre altri si attivavano solo dopo 72 ore di normale funzionamento per aggirare le scansioni di sicurezza iniziali . A metà febbraio 2026, gli analisti hanno osservato oltre 30.000 istanze compromesse attivamente utilizzate per rubare credenziali e intercettare messaggi .

La violazione di Moltbook ha aggravato il danno, esponendo 35.000 email e 1,5 milioni di token di agenti legati alle distribuzioni di OpenClaw . Meta ha vietato OpenClaw sui dispositivi aziendali . Oltre 60 CVE sono state divulgate in tre mesi .

Governance e l'acquisizione da parte di OpenAI

Il 14 febbraio 2026, Peter Steinberger ha pubblicato tre paragrafi sul suo blog personale annunciando che si sarebbe unito a OpenAI tramite un'acquisizione-assunzione . Sam Altman ha confermato la mossa il giorno successivo, affermando che Steinberger avrebbe "guidato la prossima generazione di agenti personali" .

Nello stesso annuncio, Steinberger ha trasferito OpenClaw a un modello di governance indipendente e sostenuto da una fondazione—la OpenClaw Foundation—con OpenAI che fornisce i finanziamenti . La transizione ha garantito che il progetto rimanesse open source e governato dalla comunità, anche mentre il suo creatore passava a costruire infrastrutture per agenti IA presso OpenAI .

Perché OpenClaw è diventato l'architettura di riferimento

OpenClaw ha avuto successo non perché fosse il framework più sofisticato o più sicuro, ma perché ha risolto un bisogno fondamentale dell'utente nel momento esatto: un assistente IA persistente e sempre attivo a cui puoi inviare messaggi come a una persona, con un'architettura abbastanza aperta da poter essere eseguita da chiunque, abbastanza indipendente dal modello da funzionare con qualsiasi LLM e abbastanza semplice da distribuire in un'ora.

L'adozione da parte dei Big Tech—Microsoft che costruisce Scout direttamente sul gateway OpenClaw, Google che clona il paradigma con Gemini Spark e Meta che prepara Hatch—ha convalidato quell'architettura come standard del settore. La crisi di sicurezza e la successiva transizione alla fondazione l'hanno fatto maturare da un esperimento per hobbisti a un'infrastruttura di cui le aziende possono iniziare a fidarsi, per quanto con cautela.