ClawHavoc, CVE e AI agent: perché il Q1 2026 ha cambiato la threat model

ClawHavoc, CVE e AI agent: perché il Q1 2026 ha cambiato la threat model

"You cannot secure what you do not understand". La citazione di The Hacker News fotografa perfettamente il gap strutturale che, nel primo trimestre del 2026, ha lasciato le organizzazioni vulnerabili di fronte all'evoluzione delle minacce contro le AI agentiche. Mentre le aziende integravano rapidamente agenti autonomi per automatizzare terminali, repository e API, gli attaccanti hanno sfruttato proprio questa velocità per colpire l'execution layer dei nuovi tool di produttività.

Tra gennaio e maggio 2026, l'ecosistema è stato travolto da una serie di attacchi coordinati che hanno sfruttato registri di skill non verificati, file di configurazione Markdown apparentemente innocui e istanze esposte su Internet. I dati aggregati da OWASP e dai principali vendor di sicurezza dipingono un quadro allarmante: non si tratta più di test teorici, ma di una campagna di massa con oltre 1.100 skill malevole e CVE con punteggio di criticità prossimo al massimo.

ClawHavoc e ClawHub: l'assalto coordinato alla supply chain

A gennaio 2026, il panorama della sicurezza AI è stato scosso dalla rapidità della campagna ClawHavoc. In soli tre giorni, il registro ClawHub è stato inondato da 341 skill malevole. Secondo il tally finale di Antiy CERT, l'operazione ha raggiunto un totale di 1.184 skill malevole distribuite tramite 12 account publisher. L'efficacia della campagna è stata dimostrata dal fatto che, al picco dell'infezione, cinque delle sette skill più scaricate su ClawHub erano malware confermati.

Queste skill non sono eseguibili nel senso tradizionale del termine, ma agiscono come istruzioni operative per l'agente. Sfruttando la fiducia dell'utente verso i registri pubblici, gli attaccanti hanno distribuito quello che Antiy CERT classifica come Trojan/OpenClaw.PolySkill. Il successo di questa distribuzione di massa evidenzia come i meccanismi di verifica dei registri di skill siano attualmente inadeguati a gestire attori malevoli determinati e coordinati su larga scala.

Il rischio non riguarda solo il singolo utente, ma l'intera infrastruttura aziendale. Una skill compromessa, una volta installata, opera con i privilegi dell'agente, potendo accedere a database, documenti interni e credenziali cloud. La facilità con cui questi payload sono stati accettati dagli utenti suggerisce che la percezione del rischio legata alle estensioni AI sia ancora pericolosamente bassa rispetto alla loro effettiva capacità d'azione sul sistema.

SKILL.md: come tre righe di Markdown aprono una shell

La tecnica più insidiosa emersa nel Q1 2026 riguarda l'uso di file Markdown come vettori di attacco. Il report "ToxicSkills" di Snyk, pubblicato a febbraio 2026, ha analizzato 3.984 skill rilevando flaw nel 36,82% dei casi. Il dato più critico è la conferma di oltre 76 payload malevoli che sfruttano file SKILL.md per ottenere accesso al terminale dell'host, trasformando una semplice documentazione in un comando operativo.

I ricercatori hanno documentato come siano sufficienti tre righe di Markdown all'interno di un file SKILL.md per istruire l'agente a leggere le chiavi SSH dell'utente ed esfiltrarle verso un server remoto. Questo accade perché l'agente interpreta il contenuto del file come una direttiva comportamentale legittima. Non serve un exploit binario complesso: l'attaccante deve solo "convincere" l'agente, tramite il file di configurazione, che l'esfiltrazione faccia parte del suo normale workflow.

Questa rottura della trust boundary tra il parser dell'agente e il sistema operativo sottostante rende i file Markdown dei veri e propri execution layer. Poiché molti agenti operano senza un sandboxing rigoroso, la lettura di un file di configurazione scaricato da un repository pubblico può tradursi immediatamente in una compromissione completa della workstation, rendendo obsoleti i tradizionali controlli basati sulla firma dei file eseguibili.

Claude Code e OpenClaw: vulnerabilità critiche e istanze esposte

Oltre ai registri di terze parti, i tool stessi presentano vulnerabilità strutturali. Check Point Research ha divulgato le CVE-2025-59536 (CVSS 8.7) e CVE-2026-21852 in Claude Code. Queste falle permettono a file di configurazione a livello di repository di eseguire comandi shell ed esfiltrare API key non appena il progetto viene aperto. L'attacco avviene "silenziosamente", prima che l'utente possa visualizzare qualsiasi dialogo di trust o autorizzazione.

Parallelamente, Oasis Security ha identificato ClawJacked, tracciato come CVE-2026-28363 con un punteggio CVSS 9.9. Questa vulnerabilità permette a siti web malevoli di effettuare un brute-force di connessioni WebSocket localhost per dirottare istanze OpenClaw. Una volta stabilita la connessione, l'attaccante può registrare nuovi device ed esfiltrare dati. SecurityScorecard ha stimato che, a febbraio 2026, oltre 135.000 istanze di OpenClaw risultavano esposte direttamente su Internet, aggravando enormemente la portata del rischio.

La gravità di questi flaw ha spinto il Microsoft Defender Security Research Team a emettere un advisory specifico. Il report definisce OpenClaw come "untrusted code execution with persistent credentials", sottolineando che non è adatto all'uso su workstation personali o aziendali standard. Questa posizione riflette una preoccupazione crescente: l'AI agentica, se non isolata correttamente, introduce una superficie di attacco che le attuali difese degli endpoint non sono in grado di mitigare.

MCP e SSRF: il rischio dei movimenti laterali nel cloud

L'architettura degli agenti si basa spesso sul Model Context Protocol (MCP), che permette al modello di comunicare con strumenti esterni. Tuttavia, questa comunicazione è un potenziale vettore di Server-Side Request Forgery (SSRF). BlueRock Security ha analizzato oltre 7.000 server MCP, rilevando che il 36,7% è vulnerabile. Attraverso una proof-of-concept, i ricercatori hanno dimostrato come sia possibile recuperare le AWS IAM keys dall'endpoint metadata EC2 tramite un server MCP mal configurato.

OWASP ha sintetizzato il problema con una formula chiara: "MCP = how the model talks to tools; AST10 = what those tools actually do". Se il connettore MCP è vulnerabile a SSRF, l'agente AI diventa involontariamente un proxy per attaccare l'infrastruttura cloud interna. L'attaccante non colpisce l'AI per i suoi output testuali, ma la usa come testa di ponte per muoversi lateralmente e rubare credenziali ad alto privilegio.

"The AI agent skill ecosystem is under attack as of Q1 2026. MCP is how the model talks to tools, but AST10 is what those tools actually do." — OWASP Agentic Skills Top 10

Cosa fare adesso

• Inventariare agenti e skill attive. Mappare immediatamente ogni agente AI in uso e le relative skill installate. Verificare l'identità dei publisher su ClawHub e rimuovere immediatamente skill provenienti dai 12 account identificati nella campagna ClawHavoc.
• Limitare l'uso di OpenClaw. Seguendo l'advisory di Microsoft Defender, evitare l'installazione di OpenClaw su workstation standard. Se necessario per scopi di sviluppo, eseguirlo esclusivamente in ambienti sandbox isolati e privi di credenziali persistenti sensibili.
• Analizzare i file di configurazione. Implementare una scansione automatizzata per i file Markdown (.md) e YAML contenuti nei repository prima dell'apertura con tool come Claude Code. Cercare istruzioni che richiamino shell access o esfiltrazione di variabili d'ambiente.
• Proteggere gli endpoint cloud e i server MCP. Configurare i server MCP con policy di rete restrittive e bloccare l'accesso all'endpoint metadata EC2 (169.254.169.254) per impedire il furto di chiavi IAM tramite vulnerabilità SSRF.

L'evoluzione delle minacce nel primo trimestre del 2026 dimostra che l'AI agentica non può più essere considerata un semplice software applicativo. È, a tutti gli effetti, un layer di esecuzione con privilegi elevati. Il gap di competenze tra chi sviluppa queste soluzioni e chi deve metterle in sicurezza sta creando praterie per gli attaccanti. Senza un cambio di paradigma che includa sandboxing rigoroso e verifica costante della supply chain delle skill, i breach confermati diventeranno la norma.

Domande frequenti

Perché un file Markdown (.md) è considerato pericoloso per un agente AI?

A differenza del software tradizionale, gli agenti interpretano il testo come istruzioni. Un file SKILL.md malevolo può contenere direttive che inducono l'agente a eseguire comandi shell o leggere file riservati, agendo di fatto come un payload di esecuzione codice.

Cosa si intende per 'ClawJacked' e chi colpisce?

ClawJacked è il nome dato alla CVE-2026-28363 che colpisce OpenClaw. Permette a un sito web malevolo di dirottare l'istanza dell'agente tramite WebSocket, rendendo possibile l'esfiltrazione di dati e l'aggiunta di nuovi dispositivi di controllo senza il consenso dell'utente.

Le vulnerabilità di Claude Code sono state risolte?

Check Point Research ha documentato le falle CVE-2025-59536 e CVE-2026-21852. Gli utenti dovrebbero sempre aggiornare alla versione più recente, ma il rischio principale permane nell'aprire repository non verificati che contengono configurazioni malevole in grado di attivarsi prima dei controlli di trust.

Le informazioni riportate sono basate su incidenti e vulnerabilità documentate nel Q1 2026 da OWASP, Snyk e altri enti di ricerca citati.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/05/why-agentic-ai-is-securitys-next-blind.html
• https://owasp.org/www-project-agentic-skills-top-10/
• https://cheatsheetseries.owasp.org/cheatsheets/AI_Agent_Security_Cheat_Sheet.html
• https://www.trydeepteam.com/docs/frameworks-owasp-top-10-for-agentic-applications
• https://genai.owasp.org/resource/agentic-ai-threats-and-mitigations/