Moltbot (ex Clawdbot): agenti autonomi AI, rivoluzione o bomba a orologeria digitale?

Ho provato Moltbot, l'agente AI autonomo che prende il controllo del tuo PC. L'ho installato, testato e disinstallato subito. Ti spiego perché l'autonomia senza sicurezza è una roulette russa digitale e cosa serve davvero prima di fidarsi.

Gaetano Castaldo Gaetano Castaldo
11 Feb 2026
AI Cybersecurity Digital Transformation
Illustrazione di un uomo sorpreso davanti al laptop mentre un agente AI autonomo prende il controllo del computer con tentacoli digitali luminosi

TL;DR

  • Moltbot (ex Clawdbot) non e' un bot da chat: e' un agente autonomo che si riattiva da solo, decide quando agire e ha accesso diretto al tuo PC.
  • L'ho provato e disinstallato subito: troppa autonomia, zero layer di sicurezza serio.
  • I rischi concreti: allucinazioni che diventano azioni reali, prompt injection nascoste nel web, accesso a sessioni loggate e carte salvate.
  • Il futuro degli agenti non e' "accesso al tuo PC" ma ambienti segregati, token temporanei e approvazioni per azioni sensibili.
  • Finche' mancano governance e limiti robusti, agenti come Moltbot vanno trattati come esplorazione, non come infrastruttura.

Ho iniziato a sperimentare Clawdbot, ora conosciuto come Moltbot. Il mio obiettivo era semplice (e secondo me e' lo stesso che dovrebbe avere chiunque si avvicini a questi agenti): capire quanto possiamo fidarci di un software che agisce al posto nostro.

L'ho provato e subito dopo l'ho anche disinstallato. E adesso ti spiego il perche', senza "terrorismo", ma con un po' di sano istinto di sopravvivenza digitale.

Cos'e' Moltbot e perche' non e' il solito bot

Il punto e' che Moltbot non e' il solito bot da chat, e nemmeno il solito "agent" che vive dentro un perimetro controllato. Qui siamo davanti a un concept portato fino in fondo: l'idea di un agente che non aspetta te, ma si attiva da solo.

Fino a oggi la maggior parte dei bot era interessante, si', ma restava reattiva. Dovevi scrivergli qualcosa, dargli un input, lanciare un comando, poi lui faceva. Fine.

Con Moltbot invece c'e' una logica di "risveglio" continuo: un cron job che lo riattiva quando finisce un task o su base schedulata. E la trovata vera, quella che fa scena e che a livello concettuale e' anche brillante, e' che decide lui quando svegliarsi e perche': su evento o su tempo.

Sembra una finezza tecnica, ma cambia tutto. Perche' il momento in cui un agente decide di riattivarsi e' anche il momento in cui stai delegando autonomia. E autonomia, in informatica, significa potere operativo.

Il problema: accesso diretto al tuo PC, senza sandbox

Poi c'e' l'altro pezzo, quello piu' delicato: la connessione col mondo esterno.

La capacita' di Moltbot di interagire con il tuo ambiente e' "senza eguali" proprio perche', di fatto, gli stai consegnando il PC. Non una API. Non un layer mediato. Non una sandbox che limita i danni. Il tuo PC.

E' come dire: "fai tu, tanto sei intelligente".

Peccato che qui entra in gioco un tema che molti ignorano finche' non ci sbattono la faccia: l'intelligenza di un modello non equivale alla sua affidabilita'.

Allucinazioni e prompt injection: quando il rischio diventa reale

I bot sono gia' poco sicuri per natura, anche quando non hanno accesso al sistema operativo. Perche' trasmettono bias, perche' allucinano, perche' interpretano male.

E finche' questa cosa rimane nel testo, e' fastidiosa ma gestibile: correggi, riprovi, cambi prompt. Ma se il bot e' un agente che naviga per conto tuo, compila form, clicca bottoni, compra cose, e magari ha accesso a sessioni gia' loggate e carte salvate... allora l'allucinazione smette di essere un problema "da nerd" e diventa un problema economico e legale.

Esempio concreto: l'agente che compra al posto tuo

Ti faccio un esempio brutale perche' rende l'idea: immagina un agente "allucinato" che legge male una pagina e conclude che deve acquistare qualcosa. Con i tuoi dati. Con la tua carta.

Oppure immagina un agente che, mentre naviga, incontra una prompt injection nascosta in una pagina web. Non serve nemmeno che sia un sito "hacker" in stile film. Basta un contenuto malevolo infilato dove non te l'aspetti: un commento, un testo invisibile, un blocco HTML con istruzioni pensate per ingannare il modello.

E questa roba non e' piu' teoria. Le prompt injection sono gia' presenti sul web e stanno diventando sempre piu' comuni proprio perche' adesso conviene: se riesci a manipolare l'agente, manipoli l'azione. E' un upgrade enorme per chi attacca.

La sicurezza che manca: servono regole, non speranze

Il problema e' che oggi non abbiamo un modo serio e profondo per regolare la sicurezza di questi agenti. E intendo "regolare" nel senso vero:

  • Autorizzazioni granulari
  • Policy verificabili
  • Limiti robusti
  • Audit trail completo
  • Controlli antifrode
  • Blocchi su certe categorie di azioni
  • Monitoraggio e kill switch che funzioni davvero

Non un "dai, stai attento". Perche' "stai attento" non e' una strategia di sicurezza: e' una speranza. E' lo stesso principio che vale quando si parla di AI senza governance: senza regole chiare, il rischio e' proporzionale alla potenza.

CAPTCHA addio: quando l'agente "diventa te"

C'e' un altro aspetto che mi ha fatto alzare il sopracciglio: questi agenti oggi non si limitano al testo. Con l'acquisizione della schermata possono interpretare quello che vedono e agire.

Tradotto: anche i vecchi "prove you are human" (CAPTCHA e affini) iniziano a perdere significato, perche' se l'agente vede lo schermo e capisce il contesto, puo' spesso cavarsela.

E quando un agente puo' simularti bene nel browser, tu potresti non accorgerti di nulla finche' non e' tardi. Perche' lui sta usando le tue sessioni, i tuoi cookie, i tuoi accessi. Sta "essendo te", senza essere te.

Perche' il mercato "serio" non adotta questi agenti (ancora)

A questo punto qualcuno potrebbe dire: "Ok, ma allora perche' farlo? Perche' esiste?"

Ed e' qui che arriva la parte che molti sottovalutano: se innovazioni cosi' non esplodono subito in modo massivo sul mercato "serio", non e' perche' non sono fighe. E' perche' gli ingegneri del software fanno il loro lavoro: studiano vulnerabilita', cercano i buchi, costruiscono mitigazioni.

Il problema e' che oggi sembra che una certa moda stia prendendo il sopravvento sul buon senso. C'e' l'ansia di correre, di essere i primi, di fare il video su LinkedIn con "ho automatizzato tutto", e intanto stiamo dando privilegi enormi a sistemi che, tecnicamente, sono ancora sperimentali.

Il modello e' una blackbox: il monito di Geoffrey Hinton

E c'e' un punto ancora piu' profondo, quello che mi fa dire "calma" anche quando sono il primo a spingere sull'AI: il modello e' una blackbox.

Non sappiamo davvero cosa succede dentro. Possiamo descrivere l'algoritmo di training, possiamo osservare i pattern, possiamo fare red teaming, ma non possiamo aprire la testa del sistema e dire "questa variabile qui, se stimolata cosi', lo manda fuori strada". Non abbiamo quel livello di controllo.

Lo dice anche Geoffrey Hinton, in sostanza: abbiamo capito l'algoritmo con cui imparano, ma non abbiamo capito davvero come lo fanno.

E io la leggo cosi': se non capisci il "come", devi compensare con governance e limiti. Se invece togli i limiti e speri che vada bene... e' roulette russa.

Come abbiamo visto parlando di accelerazione AI con governance: la velocita' senza controllo non e' innovazione, e' rischio.

Perche' l'ho disinstallato (e cosa ci dice sul futuro)

Quindi si': l'ho provato e l'ho disinstallato. Non perche' non funzioni, ma perche' funziona "troppo" rispetto a quanto siamo pronti a gestirlo.

E questa e' la parte paradossale: la potenza non e' il problema principale. Il problema e' la combinazione tra potenza, autonomia e assenza di un layer di sicurezza serio.

Il futuro degli agenti AI: potenti dentro una gabbia

La mia opinione, un po' fuori dallo schema, e' questa: il futuro non saranno gli agenti che hanno "accesso al tuo PC". Il futuro saranno gli agenti che hanno accesso a un "PC finto", cioe':

  • Ambienti segregati (sandbox dedicate)
  • Token temporanei con scadenza
  • Permessi granulari a tempo
  • Vault per le credenziali
  • Approvazioni per le azioni sensibili

In pratica: l'agente non deve essere libero. Deve essere potente dentro una gabbia.

Finche' non arriviamo li', Moltbot e compagnia vanno trattati come esplorazione, non come infrastruttura. Giocattolo avanzato, non dipendente assunto in azienda con delega bancaria.

In bocca al lupo a noi, sul serio. Perche' la direzione e' inevitabile. Ma la differenza tra evoluzione e disastro la fara' la disciplina, non l'hype.

Tags

#agenti autonomi AI #Moltbot #Clawdbot #sicurezza AI #prompt injection #AI agent #cybersecurity AI #autonomia AI #blackbox AI #governance AI #sandbox AI #browser agent #sicurezza informatica #rischi intelligenza artificiale

Condividi

Torna al Blog

Vuoi saperne di più?

Contattaci per una consulenza gratuita sulla trasformazione digitale della tua azienda.

Contattaci Ora