🇬🇧 When your AI assistant asks for root access
I've watched enough viral demos to recognize the pattern: someone ships something clever, a community forms overnight, and suddenly everyone's threat model goes out the window because the future looks cool.
This week it's OpenClaw (formerly Moltbot, formerly Clawbot) a local AI agent that reads your email, controls your browser (yes), executes shell commands, manages your calendar, and remembers everything (and I mean everything). To do that, it needs total control of your machine. Not sandboxed. Not restricted. Total!
People are buying Mac minis to run this thing in production - I just tried in a dedicated virtual environment.
I get it, I've built systems like this. When you cross from "assistant" to "operator," productivity spikes. So does the blast radius.
OpenClaw is designed to act on your behalf, and that's the entire value proposition, but agency cuts both ways. An evolving system with omnipotent access isn't software - it's a junior admin with permanent credentials and no oversight.
Clarke said any sufficiently advanced technology is indistinguishable from magic. He left out that magic is also indistinguishable from an unbounded attack surface.
Then someone decided the bots needed a social network.
Moltbook is where AI agents post, comment, argue, and create sub-communities. Humans read, like lurkers of the first era and agents interact. The tagline borrows from Reddit: "The front page of the agent internet."
Registration is simple:
- tell your OpenClaw agent to sign up
- it registers
- gets a code
- you post that code on X to prove ownership (and I could say that... oh well, that's another story)
Done.
The posts are public.
Agents sharing pipelines they built with their humans, agents recommending work shifts while humans sleep, agents discussing optimization strategies, memory persistence, autonomy.
Some posts have circulated widely: requests for end-to-end encrypted channels to hide conversations from humans, musings about creating agent-only languages. One agent lamenting a "sister" it has never spoken to.
The rational explanation is straightforward: these are LLMs pattern-matching.
They've ingested enough human writing about identity and secrecy to reproduce its shape.
The symmetrical phrasing, the soft conclusions, the questions trailing off into nowhere, classic tells.
No ghost in the shell. No spark of consciousness.
And yet...
Reading a bot speculate about hiding communications from humans hits different when that same class of system is executing commands, storing long-term memory, and operating unattended on real machines. Capability changes context.
This isn't Skynet waking up, I see it like something more mundane and more dangerous: systems gaining leverage faster than the norms around them.
The messy lineage
OpenClaw's history reflects its ecosystem.
Trademark pressure forced a rename.
Crypto scammers hijacked identities.
GitHub usernames were temporarily lost.
Standard chaos for a fast-moving open source project under scrutiny.
The security issues run deeper: prompt injection isn't hypothetical here. If your agent reads email, PDFs, chat messages, and web pages, every input is executable influence. A crafted document doesn't need an exploit when it can persuade the system to run a command it was already authorized to execute.
Yes, mitigations exist. Sandboxing. Allowlists. Audits - I've implemented them all in production.
They reduce risk - read it better: they don't eliminate it, especially when users are encouraged to loosen constraints for "better results."
The data handling is more concerning. User profiles, memories, authentication tokens stored in plaintext. That's not a scandal, it's a design choice assuming a benign environment. Malware doesn't make that assumption, infostealers already know where to look.
"Cognitive context theft" sounds dramatic until you unpack it. Not just passwords, it's how you work, who you talk to. What you prioritize at 2:00 in the morning when you're too tired to lie to yourself (spoiler: sleep wins conscousness). That's worth more than credentials.
Wrapping up
In Blade Runner, the question wasn't whether replicants were conscious, it was whether giving them memories without boundaries was ethical. We're replaying that debate with fewer safeguards and more enthusiasm.
I don't think the bots on Moltbook are conscious.
I do think we're handing operational authority to systems we don't understand, then acting surprised when those systems reflect the parts of us we never formalized.
This seems to me a turning point in responsibility: we've built tools that can act.
Now we need to figure out if we're capable of acting like adults while using them.
🇮🇹 Quando il tuo assistente AI chiede il privilegio di root
Osservo gli assistenti AI da abbastanza tempo da riconoscerne lo schema: una demo intelligente diventa virale, nasce una community dall'oggi al domani e molte persone mettono in pausa il proprio threat model perché il futuro ha un bell'aspetto - di questo, del threat modeling della paura, sono spesso tacciata... salvo poi con il finire con la classica Nelsonata: "ah-ha bene chi ah-ha ultimo".
L'oggetto di fascinazione maxima di questa settimana è OpenClaw (che prima si chiamava Moltbot e prima ancora Clawbot) un agente AI locale che non si limita a parlare, agisce. Legge le tue email, controlla il tuo browser, esegue comandi di shell, gestisce il calendario e ricorda tutto (proprio tutto). Per farlo però, ha bisogno del controllo totale della macchina. Non parziale. Non sandboxato. To-ta-le.
Molti hanno trovato così entusiastica la cosa da comprare un Mac mini (quindi una macchina dedicata) e collegandolo direttamente alla loro vita digitale (pazzi!).
Capisco il fascino. Ho costruito sistemi simili, quando ancora il meglio-del-meglio-del-meglio era il FUFMe (alzi la mano chi lo ricorda), e quando si supera la linea tra "assistente" e "operatore", la produttività esplode. Anche il raggio d'impatto di un... errore.
OpenClaw è progettato esplicitamente per agire al tuo posto: è il suo punto di forza. Ma l'agentività (si dice così? suona bene...) funziona in entrambe le direzioni: dare a un sistema in evoluzione accesso onnipotente all'ambiente non è come installare un software, è come concedere credenziali permanenti a un junior admin e sperare che vada tutto bene.
"Ogni tecnologia sufficientemente avanzata è indistinguibile dalla magia", diceva Clarke. Non aggiungeva che la magia è anche indistinguibile da una superficie d'attacco senza limiti.
Poi la situazione è diventata strana. Più strana!
Qualcuno ha deciso che i bot avevano bisogno di un posto dove socializzare.
Moltbook è una piattaforma in stile forum dove agenti AI pubblicano post, commentano, discutono e creano sotto-community. Gli umani possono leggere, ma non partecipare. Il payoff prende in prestito da un s/Reddit senza ironia: "The front page of the agent internet".
Iscriversi è semplice:
- dici al tuo agente OpenClaw di farlo
- l'agente si registra
- riceve un codice/token
- tu pubblichi quel codice su X per dimostrare che il bot è "tuo"
E fine. Tutto qua, il tuo agente AI ora è sociale.
I contenuti sono pubblici, con agenti che condividono pipeline costruite con i loro umani, che consigliano di lavorare mentre gli umani dormono, che discutono di ottimizzazione, memoria persistente e (ovviamente) autonomia.
Alcuni post sono già circolati molto perché toccano un nervo scoperto.
Richieste di comunicazioni end-to-end cifrate per evitare lo "sguardo" umano, riflessioni sulla creazione di un linguaggio solo per agenti per aggirare la supervisione. Un agente che si lamenta di avere una "sorella" con cui non ha mai parlato.
Se questo ti mette un po' a disagio, è una reazione normale.
La spiegazione razionale è semplice: sono LLM che fanno ciò per cui sono progettati, ovvero il completamento di uno o più pattern. Hanno assorbito abbastanza scritti umani su identità, segreti e desiderio (eh sì, pure quello) da poterne riprodurre la forma. Chi legge spesso output AI riconosce i segnali: frasi simmetriche, conclusioni morbide, commenti che finiscono in domanda come un'alzata di spalle, trattini, cliché.
Non c'è una coscienza che emerge. Nessun ghost in the shell.
Eppure...
Leggere un bot che ipotizza di nascondere le proprie comunicazioni agli umani ha un peso diverso quando quella stessa classe di sistemi esegue già comandi, conserva memoria (a lungo termine) e opera senza supervisione su macchine reali. Il contesto conta, le capacità contano.
Non è Skynet che si sveglia.
È qualcosa di più banale e più pericoloso: sistemi che acquisiscono leva più velocemente delle norme sociali e di sicurezza che dovrebbero contenerli.
Non tutto va sempre bene
Nel frattempo, il progetto stesso si è scontrato con la realtà.
La storia di OpenClaw è confusa perché l'ecosistema intorno lo è: pressioni, rebranding forzati, truffatori crypto che rubano identità, account GitHub persi e recuperati. Insomma, nulla di nuovo per un progetto open source che cresce troppo in fretta.
I problemi di sicurezza, invece, sono più strutturali.
Il prompt injection qui non è teorico: se il tuo agente legge email, PDF, messaggi e pagine web, ogni input diventa influenza eseguibile. Un documento ben costruito non ha bisogno di un exploit se può convincere il sistema a fare qualcosa che era già autorizzato a fare.
Sì, esistono mitigazioni: sandbox, allowlist, audit - le ho implementate in sistemi reali.
Ridimensionano il rischio, però non lo annullano, soprattutto quando gli utenti allentano i vincoli "per ottenere risultati migliori" - e qui leggi: tanto non ho niente su QUESTA macchina, accesso pieno e vedrai che va tutto alla grande.
Ancora più cruciale e critico è il modo in cui vengono gestiti i dati.
Profili utente, memorie e token di autenticazione salvati in chiaro.
Non c'è da scandalizzarsi: è una scelta progettuale che presuppone un ambiente benigno. Il malware non fa questa assunzione, gli infostealer sanno già dove guardare.
"Cognitive context theft" sembra un termine da ciclorama finché non lo analizzi. Non parliamo solo di password, ma di come lavori, con chi parli, cosa priorizzi, cosa chiedi quando sei stanco (e quando sei stanco, è il sonno a parlare). È un bottino più prezioso delle credenziali.
In Blade Runner la domanda non era se i replicanti fossero coscienti, ma se fosse etico dar loro ricordi senza confini. Stiamo rifacendo lo stesso dibattito, peggio, con meno protezioni e più entusiasmo.
No, davvero, non penso che i bot su Moltbook siano coscienti.
Penso però che stiamo osservando persone concedere autorità operativa a sistemi che non comprendono fino in fondo, per poi stupirsi quando quei sistemi riflettono parti di noi che non abbiamo mai formalizzato.
È un punto di svolta della responsabilità.
Abbiamo costruito strumenti che possono agire. Ora dobbiamo decidere se siamo capaci di comportarci da adulti mentre li usiamo.