C’è un team dentro Microsoft che si fa chiamare “Ocean 11”. Non è una battuta — è il nome informale scelto per un gruppo guidato dal vicepresidente corporativo Omar Shahine, lo stesso che fino a poco tempo fa dirigeva lo sviluppo di Microsoft Word. Il suo nuovo incarico è costruire un agente AI che lavora ventiquattr’ore su ventiquattro, sette giorni su sette, capace di gestire email, riunioni, documenti e comunicazioni aziendali senza che nessuno debba chiedergli nulla. L’ispirazione dichiarata? OpenClaw, il progetto open source che in meno di sei mesi ha accumulato oltre 220.000 stelle su GitHub, ha scatenato la prima grande crisi di sicurezza dell’era degli agenti AI e ha dimostrato — nel bene e soprattutto nel male — che un assistente digitale autonomo non è più fantascienza. Microsoft guarda tutto questo e fa il calcolo più prevedibile del mondo: prendere quell’idea, riconfezionarla sotto il marchio aziendale e venderla a 99 dollari al mese per ogni dipendente.
Ma dietro la solita retorica dell’innovazione enterprise c’è una questione che nessuno nella sala riunioni di Redmond sembra voler affrontare. Un agente AI “sempre attivo” che opera nell’ambiente Microsoft 365 di un’azienda — con accesso a posta, calendario, chat, file, e una memoria persistente che conserva tutto tra una sessione e l’altra — non è solo un assistente. È un sistema di osservazione continua della vita lavorativa di milioni di persone. La sicurezza, in questo contesto, non è protezione: è il pretesto perfetto per costruire un’infrastruttura di monitoraggio senza precedenti, venduta come produttività. E allora la domanda vera diventa un’altra: chi controlla questo agente? E soprattutto — chi controlla chi?
OpenClaw, il fenomeno open source che ha cambiato le regole del gioco
Per capire cosa sta facendo Microsoft bisogna partire da ciò che OpenClaw ha rappresentato — e da come si è trasformato da progetto entusiasmante a incubo della cybersicurezza nel giro di poche settimane. La storia comincia nel novembre 2025, quando lo sviluppatore austriaco Peter Steinberger pubblica un progetto chiamato Clawdbot: un agente AI open source che si collega a Telegram, Signal, WhatsApp e Discord e usa modelli linguistici come Claude, GPT o DeepSeek per eseguire azioni reali. Non risposte a domande — azioni concrete. Inviare email, gestire file, navigare il web, compilare report, automatizzare procedure ripetitive. Il tutto gira in locale, i dati restano sulla macchina dell’utente, e un sistema di skill modulari permette di estendere le funzionalità in modo praticamente illimitato. Il progetto cambia nome due volte in poche settimane — prima Moltbot dopo un reclamo di marchio da parte di Anthropic, poi OpenClaw perché “rotolava meglio sulla lingua” secondo lo stesso Steinberger — e a febbraio 2026 supera le 100.000 stelle su GitHub, diventando uno dei repository con la crescita più esplosiva nella storia della piattaforma.
Ma quella crescita travolgente ha portato con sé conseguenze altrettanto dirompenti sul piano della sicurezza. A febbraio SecurityScorecard pubblica un report che individua oltre 40.000 istanze di OpenClaw esposte su internet, di cui il 35% classificate come vulnerabili ad attacchi remoti. La vulnerabilità più grave, CVE-2026-25253 con punteggio CVSS di 8.8, consente l’esecuzione di codice da remoto con un solo clic attraverso un attacco di cross-site WebSocket hijacking — detto in parole povere, basta un link malevolo per prendere il controllo completo dell’istanza. Il vero disastro però arriva con ClawHavoc, un’operazione coordinata che sfrutta ClawHub — il marketplace di skill aggiuntive per OpenClaw — per distribuire malware su scala industriale. Un’analisi condotta da Koi Security su tutte le 2.857 skill disponibili ne identifica 335 malevole riconducibili a un’unica campagna: skill dall’aspetto legittimo, con documentazione professionale e nomi innocui, che una volta installate piazzano keylogger su Windows e il malware Atomic Stealer su macOS, un programma capace di rubare credenziali del browser, portachiavi di sistema, chiavi SSH e portafogli di criptovalute. A metà febbraio il numero di skill malevole confermate sale a oltre 800 su un catalogo cresciuto a più di 10.700 componenti, mentre Cisco definisce senza mezzi termini gli agenti AI personali come OpenClaw “un incubo per la sicurezza”.
Il 14 febbraio 2026 — San Valentino, per chi apprezza l’ironia del destino — Steinberger annuncia che si unisce a OpenAI, lasciando OpenClaw nelle mani di una fondazione no-profit ancora da strutturare. Il campo degli agenti AI autonomi è ufficialmente aperto e ogni big tech sta correndo a posizionarsi. Nvidia lancia NemoClaw al GTC 2026 con Jensen Huang che definisce OpenClaw “probabilmente il rilascio software più importante di sempre” — un endorsement che suona molto più come una dichiarazione di guerra commerciale che come un complimento. Ma nessuno si muove con la stessa velocità calcolata di Microsoft, che in OpenClaw vede non tanto un concorrente da battere quanto un prototipo da capitalizzare.
C’è un dettaglio che vale la pena sottolineare perché racconta molto sulla dinamica in gioco. A febbraio 2026, il blog di sicurezza di Microsoft pubblica un post intitolato “Running OpenClaw safely: identity, isolation, and runtime risk” — una guida tecnica su come utilizzare OpenClaw in modo sicuro sfruttando l’infrastruttura Microsoft. Letto con gli occhi di oggi, quel post non era un servizio alla comunità open source: era il preludio commerciale. Prima documenti i rischi, poi offri la tua infrastruttura come soluzione, e infine costruisci il tuo prodotto come unica alternativa “responsabile”. È marketing travestito da advisory di sicurezza — e chi segue il mondo tech da abbastanza tempo riconosce il copione al primo atto.
Progetto Ocean 11: il Copilot che lavora mentre dormi
Shahine ha descritto la missione del suo team in un’intervista a The Information come la costruzione di “una nuova generazione di assistenti proattivi, che alleggeriscono il carico prendendo in mano compiti dall’inizio alla fine e che possono intervenire in modo proattivo quando possono aiutare”. La traduzione dal linguaggio aziendale è piuttosto diretta: un agente AI autonomo integrato in Microsoft 365 che lavora in background senza bisogno di istruzioni costanti, completando attività che si sviluppano su ore o addirittura giorni — inviare email, fissare riunioni, creare documenti, pubblicare messaggi su Teams, navigare tra i file aziendali, preparare comunicazioni per gli stakeholder. Se il progetto va in porto come previsto, Copilot dovrebbe evolversi da chatbot reattivo a quello che Microsoft chiama con una certa sfacciataggine un “vero collega digitale”. La scelta lessicale non è casuale: chiamarlo “collega” lo rende accettabile, quasi umano, mascherando il fatto che si tratta di un software con accesso illimitato al tuo ambiente di lavoro e che risponde a qualcun altro.
I numeri danno la misura dell’ambizione — e degli interessi economici in ballo. Oggi Microsoft 365 Copilot conta oltre 15 milioni di utenze a pagamento, generando un fatturato annuo ricorrente di 5,4 miliardi di dollari da quella che è, in fondo, una funzione di suggerimento intelligente. Il nuovo modello punta a qualcosa di radicalmente diverso: agenti autonomi che non aspettano una domanda per agire ma monitorano i flussi di lavoro e intervengono quando lo ritengono necessario, supportati da motori di ragionamento avanzati sviluppati in collaborazione sia con OpenAI che con Anthropic. A marzo 2026, Microsoft ha già lanciato due componenti chiave di questa architettura. Copilot Cowork funziona come “execution layer” — il livello che permette agli agenti di compiere azioni concrete nell’ecosistema Office come inviare mail, schedulare meeting e generare report. Work IQ è lo strato di intelligenza che gestisce orchestrazione, memoria e integrazioni esterne. Insieme formano le fondamenta su cui il nuovo agente “sempre attivo” dovrebbe operare, e il fatto che siano già disponibili dice molto su quanto il progetto sia avanzato rispetto a quanto la comunicazione ufficiale lasci intendere.
Il packaging commerciale è altrettanto significativo. Dal primo maggio 2026 sarà disponibile Microsoft 365 E7, battezzato “Frontier Suite” — il primo nuovo tier di licenza enterprise da quando E5 è stato introdotto un decennio fa. Il prezzo è di 99 dollari per utente al mese, e include M365 E5, Copilot, Entra Suite (la piattaforma di identità e accesso) e Agent 365, il pannello di controllo per la gestione centralizzata degli agenti AI. Agent 365, venduto anche separatamente a circa 15 dollari per utente al mese, è descritto con una formula che merita attenzione: “il piano di controllo che permette ai team IT e di sicurezza di gestire, monitorare e governare gli agenti AI nell’organizzazione”. Tradotto: è lo strumento con cui l’azienda decide cosa può fare l’agente, a cosa può accedere, e soprattutto — cosa viene registrato e da chi può essere consultato. La presentazione ufficiale è attesa per il Microsoft Build di giugno a San Francisco, ma la roadmap è tracciata con una precisione che lascia poco spazio all’improvvisazione.
Facciamo due conti, perché i numeri raccontano più dei comunicati stampa. Un’azienda con mille dipendenti che adotta E7 spende 99.000 dollari al mese — quasi 1,2 milioni di dollari all’anno — per avere un “lavoratore digitale” affiancato a ciascun dipendente umano. Microsoft presenta questa spesa come un investimento in produttività, il classico argomento del “si ripaga da solo”. Ma il modello economico sottostante racconta una storia diversa. Il software come servizio diventa il software come padrone: non compri uno strumento, ti abboni a un sistema di gestione del lavoro che opera in modo autonomo, con regole dettate dal fornitore e visibilità garantita al management. Se il dipendente usa l’agente per mandare un’email, schedulare una riunione o preparare un report, ogni interazione viene registrata in un audit trail. Se non lo usa, anche questo diventa probabilmente un dato misurabile. È la logica della piattaforma portata dentro l’ufficio, con la differenza che da qui non puoi cancellare l’account.
Sicurezza come marketing, sorveglianza come prodotto
L’intero pitch di Microsoft ruota attorno alla parola sicurezza, e su questo punto Redmond ha dalla sua parte dati concreti. OpenClaw è davvero pericoloso, come dimostrano le decine di migliaia di istanze vulnerabili, l’operazione ClawHavoc e le centinaia di skill malevole distribuite attraverso ClawHub. La soluzione proposta da Microsoft prevede integrazione con il sistema di identità aziendale Entra ID, controlli granulari delle autorizzazioni, flussi di approvazione dove l’agente chiede il via libera prima di compiere azioni significative, esecuzione in sandbox gestita e — il pezzo forte — audit trail completi di ogni operazione. Presentata così, la proposta sembra non solo ragionevole ma necessaria: un agente AI sicuro è oggettivamente meglio di uno che installa keylogger. Ma il ragionamento si ferma esattamente dove dovrebbe iniziare, perché “sicurezza da chi” e “controllo di chi” sono due domande molto diverse.
Un agente AI con accesso completo all’ambiente Microsoft 365 di un dipendente può leggere ogni email inviata e ricevuta, consultare il calendario completo delle riunioni, aprire qualsiasi file su SharePoint e OneDrive, scorrere le conversazioni su Teams e mantenere una memoria persistente che accumula informazioni sessione dopo sessione, diventando progressivamente più “esperto” delle abitudini lavorative dell’utente. Quando Microsoft dice “audit trail”, intende che ogni singola di queste operazioni viene registrata in un log consultabile dal dipartimento IT — che risponde al management, non ai dipendenti. Non è un effetto collaterale: è una feature venduta come valore aggiunto. Agent 365 viene esplicitamente descritto come uno strumento per “gestire gli agenti autonomi con lo stesso livello di supervisione riservato ai dipendenti umani”. Rileggi quella frase lentamente, perché nasconde un capovolgimento concettuale: gli agenti sono trattati come dipendenti, il che implica che i dipendenti vengono equiparati ad agenti da gestire e monitorare. È il management algoritmico che arriva alle sue conseguenze naturali — non più un capo che ti controlla a vista, ma un sistema di intelligenza artificiale che lavora accanto a te con accesso totale e che riporta tutto a un pannello centralizzato.
Chi pensa che siano preoccupazioni teoriche farebbe bene a guardare cosa è già successo. A gennaio 2026, un bug in Microsoft 365 Copilot ha permesso all’AI di accedere a email contrassegnate come riservate, aggirando le policy di Data Loss Prevention — quelle regole che dovrebbero impedire la fuoriuscita di dati sensibili. Un rapporto di Concentric AI ha rilevato che il 16% dei dati aziendali critici risulta sovra-condiviso negli ambienti dove Copilot è attivo, il che significa che l’agente ha potenzialmente accesso a informazioni che nemmeno il dipendente sapeva di poter vedere. Gartner — che non è esattamente un collettivo anarchico, parliamo della più grande società di consulenza tecnologica del pianeta — è arrivata a raccomandare un “divieto di Copilot il venerdì pomeriggio” come misura pratica di contenimento dei rischi. Quando anche gli analisti che vivono di consulenza alle Fortune 500 alzano bandiera gialla, il messaggio dovrebbe essere chiaro anche per i più ottimisti.
La verità è un’altra rispetto a quella che Redmond racconta con le sue slide patinate. Microsoft non sta vendendo sicurezza — sta vendendo controllo, e lo sta vendendo ai datori di lavoro, non ai lavoratori. In nessun punto della comunicazione ufficiale si parla del diritto del dipendente di rifiutare l’agente, di limitarne l’accesso ai propri dati, o di consultare i log delle operazioni che lo riguardano. Il “collega digitale” viene imposto dall’alto, configurato dal reparto IT secondo le direttive del management, e il lavoratore si ritrova con un osservatore permanente nel proprio spazio digitale — uno che non dimentica nulla, non va in pausa pranzo, e produce dati comportamentali continui. In un contesto europeo, dove il GDPR e lo Statuto dei Lavoratori dovrebbero proteggere dalla sorveglianza indiscriminata sul posto di lavoro, la compatibilità di un sistema del genere con il diritto vigente è quantomeno dubbia. Ma quando il prodotto costa 99 dollari al mese e promette di aumentare la produttività, i dubbi legali tendono a passare in secondo piano — almeno fino alla prima class action.
Il pattern, per chi segue la storia di Microsoft dagli anni Novanta, è uno dei più vecchi del repertorio: embrace, extend, extinguish. Prendi un’innovazione nata nell’ecosistema aperto — in questo caso OpenClaw — ne riconosci il valore, costruisci una versione proprietaria “migliorata” e la integri così profondamente nel tuo ecosistema che l’alternativa open source diventa progressivamente marginale. Non perché sia inferiore dal punto di vista tecnico, ma perché non può competere con una macchina distributiva che raggiunge ogni azienda del mondo attraverso contratti di licenza già attivi. Quando hai 15 milioni di utenti Copilot e un canale di vendita enterprise che copre il pianeta, il merito tecnico di un progetto open source conta quanto un volantino in un uragano.
Eppure le alternative dal basso esistono, e Microsoft lo sa bene. NanoClaw è un agente open source costruito in appena 700 righe di TypeScript, con isolamento in container per ogni singola esecuzione — se l’agente va in tilt, solo la sandbox ne risente, non il sistema host. PicoClaw è scritto in Go, pesa meno di 10 megabyte e gira su dispositivi edge con tempi di avvio nell’ordine dei millisecondi — l’esatto opposto di un ecosistema cloud che ti chiede un abbonamento mensile per dipendente. NemoClaw di Nvidia aggiunge sandboxing a livello kernel con OpenShell, un motore di policy YAML per il controllo granulare degli accessi e un “privacy router” che instrada i dati sensibili su modelli locali invece di spedirli nel cloud di qualcun altro. Sono strumenti che dimostrano un principio che le big tech preferirebbero restasse teorico: l’autogestione tecnologica è possibile, praticabile e concreta. Si può avere un agente AI potente, sicuro e rispettoso della privacy senza consegnare le chiavi della propria vita lavorativa a un’azienda da 3.000 miliardi di capitalizzazione. Il prezzo è la complessità tecnica dell’installazione e della manutenzione — un prezzo che vale la pena pagare quando l’alternativa è la sorveglianza strutturale travestita da efficienza.
Domande frequenti
Cos’è il progetto Ocean 11 di Microsoft?
Ocean 11 è il nome informale del team guidato da Omar Shahine, vicepresidente corporativo di Microsoft, che sta sviluppando funzionalità di agente AI autonomo per Microsoft 365 Copilot ispirate al progetto open source OpenClaw. L’obiettivo è creare un assistente AI “sempre attivo” capace di operare in background, completando attività come gestione email, pianificazione riunioni e generazione report senza istruzioni costanti da parte dell’utente.
Quanto costa Microsoft 365 E7 con Agent 365?
Microsoft 365 E7, disponibile dal primo maggio 2026, costa 99 dollari per utente al mese. Il pacchetto include M365 E5, Copilot, Entra Suite e Agent 365. Rispetto all’acquisto separato dei singoli componenti — circa 117 dollari al mese — rappresenta uno sconto del 15%, ma resta un costo significativo: quasi 1.200 dollari per dipendente all’anno.
Quali rischi di sicurezza ha dimostrato OpenClaw?
OpenClaw ha evidenziato vulnerabilità critiche come CVE-2026-25253, che permetteva l’esecuzione di codice da remoto con un solo clic e un punteggio CVSS di 8.8. Oltre 40.000 istanze sono state trovate esposte su internet. L’operazione ClawHavoc ha distribuito centinaia di skill malevole tramite ClawHub, installando keylogger e malware capaci di rubare credenziali, chiavi SSH e portafogli di criptovalute.
L’agente AI di Microsoft può accedere alle email dei dipendenti?
Sì. L’agente opera con accesso completo all’ambiente Microsoft 365 del dipendente, incluse email, calendario, file su SharePoint e OneDrive, e conversazioni Teams. Tutte le azioni vengono registrate in audit trail consultabili dall’IT aziendale. A gennaio 2026, un bug ha persino permesso a Copilot di leggere email classificate come riservate, aggirando le protezioni di Data Loss Prevention.
Esistono alternative open source più sicure e rispettose della privacy?
Sì. NanoClaw offre isolamento in container in sole 700 righe di TypeScript. PicoClaw gira su dispositivi edge con meno di 10 MB di memoria. NemoClaw di Nvidia include sandboxing a livello kernel e un router di privacy per mantenere i dati sensibili in locale. Tutti permettono il self-hosting completo senza dipendere da infrastrutture cloud aziendali.
Microsoft ha capito prima di altri che gli agenti AI autonomi sono il prossimo campo di battaglia — non solo tecnologico, ma economico e politico. Chi controlla l’agente che lavora al fianco di ogni dipendente controlla il flusso di informazioni, la misura della produttività e la definizione stessa di cosa significa “lavorare” in un ufficio del 2026. La scelta che si sta delineando non è tra un agente sicuro e uno insicuro — è tra un agente che risponde a te e uno che risponde al tuo datore di lavoro. OpenClaw, con tutti i suoi problemi di sicurezza, ha almeno il merito di aver dimostrato che questa tecnologia può essere open source, autogestita, sotto il controllo di chi la usa. Microsoft prende quella promessa e la capovolge: stesso concetto, stessa potenza, ma al servizio del controllo aziendale.
Il prossimo Build di giugno sarà pieno di demo impressionanti e promesse di produttività miracolosa. Non lasciatevi distrarre dalla coreografia. La domanda giusta non è “cosa fa questo agente” — è “per chi lavora davvero”.