«Probabilmente il singolo rilascio software più importante della storia». Quando Jensen Huang — il CEO di Nvidia, l’uomo che vende le pale nella corsa all’oro dell’AI — pronuncia queste parole a una conferenza di Morgan Stanley nel marzo 2026, sta parlando di un’aragosta. Un’aragosta digitale chiamata OpenClaw, un assistente AI open source nato nel garage virtuale di uno sviluppatore austriaco e cresciuto fino a 345.000 stelle su GitHub in meno di tre mesi. Numeri che a React sono serviti dieci anni per raggiungere. La promessa è seducente: un agente AI personale che gira sulla tua macchina, risponde sui tuoi canali di messaggistica — da WhatsApp a Signal, da Telegram a Matrix — e non appartiene a nessuna corporation. Niente cloud obbligatorio, niente abbonamento mensile, niente dati risucchiati nei server di Amazon. Porti la tua chiave API, scegli il modello linguistico che preferisci, e l’agente lavora per te. Sovranità tecnologica dal basso, come la sogniamo da anni.
Il problema è che tra il sogno e la realtà ci sono 135.000 istanze esposte su internet pubblico, oltre 800 skill malevole nel marketplace ufficiale, un creatore assunto da OpenAI prima ancora che l’inchiostro sulla licenza open source si asciugasse, e Anthropic che taglia l’accesso agli abbonati perché il giocattolo costa troppo. La storia di OpenClaw è — ancora una volta — la storia di ogni strumento tecnologico che nasce dal basso nell’era del capitalismo delle piattaforme: cresce viralmente, attira i giganti, e finisce conteso tra chi vuole liberare e chi vuole controllare. Tre mesi bastano per passare da progetto hobbistico a campo di battaglia geopolitico, e questa velocità dice più sul nostro ecosistema tecnologico che su qualsiasi feature di OpenClaw. Governi che lo bandiscono, corporation che lo cooptano, hacker che lo sfruttano — tutto in parallelo, tutto alla velocità dell’hype. Nessuna pausa, nessun audit. Perché se un progetto può passare da 9.000 a 345.000 stelle in novanta giorni, ma nel frattempo accumula dieci CVE critiche e un marketplace infestato di malware, forse il problema non è il progetto — è il modo in cui consumiamo tecnologia. Un consumo vorace, acritico, che scambia le stelle su GitHub per garanzie di qualità e la licenza MIT per una polizza di sicurezza.
Da Clawdbot a fenomeno globale: l’ascesa dell’assistente AI open source
Peter Steinberger non è un nome qualunque nel mondo dello sviluppo software. L’austriaco è il fondatore di PSPDFKit, uno dei framework PDF più utilizzati nello sviluppo mobile — un prodotto commerciale di successo, va detto, non esattamente un manifesto del software libero. A novembre 2025 pubblica su GitHub un progetto chiamato Clawdbot: un runtime per agenti AI che fa una cosa apparentemente semplice ma che nessuno aveva risolto in modo convincente. Invece di costruire l’ennesima interfaccia web o dashboard aziendale per interagire con un modello linguistico, Steinberger instrada la conversazione attraverso le app di messaggistica che usi già tutti i giorni. Scrivi su WhatsApp, e l’agente esegue comandi sulla tua macchina. Mandi un messaggio su Telegram, e lui scrive codice, gestisce file, naviga il web. Il punto è che non devi imparare niente di nuovo — l’interfaccia è quella che hai già in tasca, e il bot fa il lavoro sporco al posto tuo.
A fine gennaio 2026 il progetto cambia nome due volte in tre giorni: prima Moltbot, poi OpenClaw. Ed è a quel punto che la curva di crescita smette di essere una curva e diventa un muro verticale. Le stelle su GitHub passano da 9.000 a 60.000 in pochi giorni, poi 100.000, poi 200.000. Al 2 marzo siamo a 247.000 stelle e quasi 48.000 fork. Ad aprile 2026 il contatore sfonda i 345.000, facendo di OpenClaw il progetto open source con la crescita più rapida nella storia di GitHub — Linux ci ha messo trent’anni per arrivare a numeri simili, React un decennio, OpenClaw tre settimane. Il motivo di questa esplosione è che il progetto risolve un problema reale, non uno inventato dal marketing: la lista delle integrazioni supera le 50 piattaforme, da Signal a Discord, da Microsoft Teams a Matrix, passando per Slack, IRC, Nostr, WeChat e persino Synology Chat. L’agente gira in locale, si connette al modello linguistico che preferisci — Claude, DeepSeek, GPT, o un modello locale tramite Ollama — e lavora per te senza che i tuoi dati passino per server di terze parti.
In un’epoca in cui ogni assistente vocale è un microfono aperto verso i server di qualche multinazionale, la promessa di un agente AI realmente self-hosted ha toccato un nervo scoperto. Non è difficile capire perché mezzo mondo tech si sia precipitato a installarlo — la fame di strumenti che funzionino per te invece che per chi li ha costruiti è enorme, e OpenClaw sembrava finalmente la risposta. Jensen Huang, con il fiuto per l’hype che lo ha reso miliardario, non si è fatto pregare: al Morgan Stanley TMT Conference del 5 marzo 2026 ha definito OpenClaw «il software open source più popolare e di successo nella storia dell’umanità». Parole grosse, ma Huang vende GPU e ogni agente AI autonomo che gira in locale ha bisogno di potenza di calcolo — il suo entusiasmo è generoso quanto interessato. Nvidia ha lanciato NemoClaw nel giro di pochi giorni, una versione enterprise che sovrappone lo stack proprietario al progetto open source. L’aragosta fa gola anche ai dinosauri.
Ma il colpo di scena era già arrivato il 14 febbraio — San Valentino, giusto per aggiungere un tocco di melodramma alla faccenda. Peter Steinberger annuncia il suo ingresso in OpenAI. Sam Altman twitta che l’austriaco «guiderà la prossima generazione di agenti personali», e il progetto viene trasferito a una fondazione indipendente con OpenAI come sponsor finanziario. Steinberger assicura che OpenClaw resterà «aperto e indipendente» e che lui vuole «cambiare il mondo, non costruire una grande azienda». Se questa formula ti suona familiare — creatore visionario che cede il progetto a una fondazione sponsorizzata dall’azienda che lo assume — è perché l’abbiamo già vista troppe volte nel mondo open source. Il pattern si ripete con la regolarità di un cron job, e il risultato è sempre lo stesso.
Da febbraio ad aprile il ritmo di sviluppo non ha fatto che accelerare. La versione 2026.4.1, rilasciata ai primi di aprile, ha introdotto un task board nativo in chat — un pannello che mostra in tempo reale ogni operazione che l’agente esegue in background — e l’integrazione con AWS Bedrock Guardrails per ambienti enterprise. La versione 2026.4.5, uscita il 6 aprile, ha aggiunto generazione video e musica integrata, cache dei prompt ottimizzata e supporto per 12 nuove lingue nell’interfaccia di controllo. Il progetto ha anche stretto le maglie della sicurezza con confini più restrittivi per i plugin e routing dei provider più robusto — correzioni necessarie, ma tardive. Il ritmo è quello di un’azienda con decine di ingegneri a tempo pieno, non di un progetto comunitario governato da volontari. E infatti, dietro la facciata della fondazione, la realtà è che OpenClaw è diventato un ingranaggio nell’ecosistema di OpenAI — con buona pace di chi ci vedeva la rivoluzione dal basso.
Centotrentacinquemila porte spalancate: la crisi di sicurezza di OpenClaw
Facciamo un passo indietro al 3 febbraio 2026. OpenClaw è già virale, le stelle salgono a ritmo forsennato, mezzo internet si è installato l’aragosta sul computer — e i ricercatori di sicurezza fanno la scoperta che avrebbe dovuto frenare l’entusiasmo collettivo. CVE-2026-25253, valutazione CVSS 8.8 su 10: una vulnerabilità di esecuzione remota di codice attivabile con un singolo clic. Il meccanismo è quasi banale nella sua gravità — un difetto nella validazione delle origini WebSocket che permette a qualsiasi sito web malevolo di prendere il controllo completo dell’agente. Basta visitare una pagina. Una sola pagina web, e l’attaccante ha accesso alla tua macchina, al tuo filesystem, alla tua shell, alla tua rete locale. OpenClaw aveva rilasciato una patch quattro giorni prima con la versione 2026.1.29, ma quando i ricercatori hanno scannerizzato internet hanno trovato oltre 135.000 istanze OpenClaw esposte su IP pubblici in 82 paesi — e migliaia di queste erano ancora vulnerabili.
Non è finita, e non è neppure il peggio. Nei quattro giorni successivi alla disclosure sono stati pubblicati altri nove CVE: command injection, SSRF nel gateway, path traversal nel componente di upload. Il progetto più stellato di GitHub si è rivelato un colabrodo — e la cosa non dovrebbe sorprendere nessuno, perché la velocità di adozione non ha nulla a che fare con la maturità della sicurezza. Anzi, sono spesso inversamente proporzionali. OpenClaw è passato da progetto hobbistico a infrastruttura critica sulla macchina di centinaia di migliaia di persone senza che nessuno si fermasse a chiedersi se quel codice fosse stato auditato. Spoiler: non lo era. La lezione è vecchia quanto il software libero stesso: il codice aperto non significa automaticamente codice sicuro. Significa che chiunque può leggere i sorgenti, ma se nessuno lo fa — o se chi lo fa non ha le competenze — la trasparenza resta teorica.
E poi è arrivato ClawHavoc — e se il nome ti sembra drammatico, è perché lo è. Si tratta di una campagna coordinata di attacco alla supply chain che ha piazzato centinaia di skill malevole dentro ClawHub, il marketplace ufficiale delle estensioni di OpenClaw — lo stesso tipo di attacco che ha colpito LiteLLM attraverso Mercor pochi mesi prima, ma su una scala completamente diversa. Dalle 335 skill malevole identificate a febbraio si è arrivati a oltre 800, circa il 20% dell’intero registro. Le tecniche erano tre: prompt injection nascosta nei file descrittori, reverse shell camuffate da tool legittimi, ed esfiltrazione di token sfruttando la CVE-2026-25253. Su macOS il payload era l’Atomic macOS Stealer — un infostealer che raccoglie credenziali del browser, portachiavi di sistema, chiavi SSH e wallet crypto, e li spedisce agli attaccanti. Il marketplace era diventato un campo minato, e chi ci camminava sopra non aveva nessun modo di saperlo. Gli attaccanti hanno persino distribuito un’estensione falsa per VS Code, spacciandola per integrazione ufficiale di OpenClaw — il pattern è quello degli app store, ma con una differenza cruciale: le skill di OpenClaw hanno accesso alla shell del tuo computer, non solo ai tuoi contatti.
La risposta della Cina è stata la più drastica e, a suo modo, la più rivelatrice. A marzo 2026 Pechino ha bandito OpenClaw dai computer governativi e delle imprese statali, comprese le maggiori banche del paese. Il CERT nazionale ha pubblicato linee guida che definiscono la configurazione di sicurezza predefinita di OpenClaw «estremamente debole», e la People’s Bank of China ha emesso un avviso separato per il settore finanziario. Il paradosso è che mentre il governo centrale vieta OpenClaw sulle reti statali, le amministrazioni locali di Shenzhen e Wuxi sovvenzionano le aziende che ci costruiscono sopra — Pechino vuole catturare il vantaggio economico dell’AI agentica tenendola fuori dal proprio sistema nervoso. È la stessa logica del Pentagono che finanzia la ricerca AI ma poi non si fida del software che ne esce: il potere vuole controllare la tecnologia senza esserne controllato. Cisco ha risposto con DefenseClaw, uno strato di sicurezza enterprise a pagamento sovrapposto a OpenClaw — prima ti danno il software gratis, poi ti vendono la protezione. Il vero insegnamento della crisi non è tecnico ma politico: quando un software ha accesso alla tua shell, al tuo filesystem, alla tua rete, e viene distribuito attraverso un marketplace centralizzato senza verifiche serie, la domanda non è se verrà compromesso ma quando.
L’illusione dell’indipendenza: chi controlla davvero OpenClaw
La vera domanda su OpenClaw non è tecnica — non riguarda quante stelle ha su GitHub, quante integrazioni supporta, o se la CVE del mese è stata patchata. La vera domanda è politica: chi controlla questo progetto, e per chi lavora? Partiamo dai fatti nudi: il creatore lavora per OpenAI dal 14 febbraio 2026, la fondazione che gestisce il progetto è finanziata da OpenAI, il principale endorser commerciale è Nvidia con la sua versione enterprise NemoClaw. Il 4 aprile Anthropic ha tagliato l’accesso agli abbonati Claude Pro e Max che usavano OpenClaw come interfaccia, obbligandoli a passare a un piano pay-as-you-go con costi fino a 50 volte superiori. Boris Cherny, responsabile di Claude Code, ha spiegato che «gli abbonamenti non erano progettati per i pattern di utilizzo di strumenti di terze parti» — tradotto dal corporate-speak: ci state costando troppo, pagate o uscite. La mossa ha colpito oltre 135.000 istanze attive, e il messaggio sottostante è inequivocabile: l’accesso ai modelli linguistici più potenti è controllato da un oligopolio — OpenAI, Anthropic, Google — e qualsiasi strumento open source che dipende dalle loro API vive in affitto, non in proprietà.
Steinberger ha definito la decisione di Anthropic «un tradimento degli sviluppatori open source» — dichiarazione curiosa per chi poche settimane prima aveva consegnato il proprio progetto a un’altra corporation dell’AI. Ma il quadro d’insieme è più istruttivo della singola polemica. Fermati un secondo e guarda cosa è successo in novanta giorni: OpenClaw nasce come progetto di un singolo sviluppatore, cresce grazie alla comunità open source, diventa il progetto più stellato di GitHub — e nel giro di tre mesi il creatore lavora per OpenAI, Nvidia ci costruisce sopra un prodotto enterprise, Anthropic erige un paywall, e il 6 aprile viene lanciato OpenClaw.Direct, una piattaforma commerciale managed che ti permette di «assumere dipendenti AI» attraverso una conversazione. Mille skill preconfezionate, personalità personalizzabili, server centralizzato. L’anti-Alexa è diventato Alexa con la maglietta dell’open source. La versione 2026.4.5, rilasciata lo stesso giorno, include generazione di video e musica — funzionalità che richiedono potenza di calcolo cloud e modelli proprietari, muovendo il progetto nella direzione opposta alla leggerezza e all’autonomia che lo avevano reso popolare.
Detto senza mezzi termini: il codice di OpenClaw è libero, ma l’ecosistema che lo circonda è una gabbia. E non è la prima volta che succede — è la regola, non l’eccezione. Android era il sistema operativo open source che avrebbe democratizzato gli smartphone, ed è diventato lo strumento attraverso cui Google raccoglie i dati di tre miliardi di persone. Chromium era il browser open source, e oggi controlla oltre il 90% del rendering web. La licenza open source è una condizione necessaria per la sovranità tecnologica, ma non è sufficiente — senza infrastruttura comunitaria, senza governance realmente decentralizzata, senza indipendenza finanziaria dalle corporation, «open source» diventa una strategia di marketing con extra credibilità. Il codice è su GitHub, chiunque può forkarlo. Ma chi ha le risorse per mantenere un fork funzionante di un progetto con 345.000 stelle, 50+ integrazioni, e un ritmo di rilascio che ad aprile 2026 è arrivato alla versione 2026.4.5?
Il nocciolo della questione è questo: OpenClaw come software è genuinamente utile. La possibilità di avere un agente AI che gira sulla tua macchina, che puoi controllare e modificare, che funziona con modelli locali, è un passo concreto verso l’autonomia tecnologica. Ma il software da solo non basta, e la crisi di sicurezza lo ha dimostrato nel modo più brutale possibile: centinaia di migliaia di utenti hanno installato OpenClaw senza le competenze o l’infrastruttura per farlo in modo sicuro. Istanze esposte su internet pubblico, skill scaricate senza verifica, aggiornamenti ignorati — il self-hosting senza consapevolezza è solo un’illusione di controllo. Chi si accontenta di scaricare OpenClaw e collegarlo alle API di OpenAI sta semplicemente spostando il proprio padrone — da Alexa a un agente che dipende comunque dall’infrastruttura di qualcun altro. La vera alternativa non è un singolo progetto virale, per quanto stellato, ma una rete di strumenti, comunità e infrastrutture che nessuna singola azienda può cooptare: cooperative di calcolo, audit di sicurezza comunitari, registri di skill verificati da collettivi indipendenti. La sovranità tecnologica non si scarica da GitHub — si costruisce, giorno per giorno, comunità per comunità.
OpenClaw ha dimostrato che la fame di autonomia tecnologica è reale. Trecentoquarantacinquemila stelle non mentono: la gente è stanca di assistenti AI che funzionano solo nel walled garden di qualche multinazionale. Ma ha anche dimostrato — con migliaia di computer compromessi e un marketplace avvelenato — che l’open source senza comunità è solo codice scaricabile. Il percorso dal garage alla fondazione finanziata da OpenAI è molto più breve di quello che separa il download di un software dalla vera sovranità digitale. L’aragosta è libera, almeno sulla carta. La domanda è: chi controlla l’acquario?