OpenClaw non è un chatbot evoluto. Non si limita a suggerire, spiegare o simulare. È un agente AI autonomo, progettato per tradurre il linguaggio naturale in azioni concrete sul sistema operativo: accede ai file, utilizza il browser, interagisce con applicazioni, esegue comandi, compila moduli, invia messaggi. Dove un chatbot resta confinato nel testo, OpenClaw agisce nel mondo digitale al posto dell’utente.
La distinzione non è semantica, è strutturale. Un chatbot può sbagliare una risposta; un agente può cancellare dati, modificare configurazioni, compromettere account. Le sue azioni lasciano segni permanenti. Per funzionare, OpenClaw richiede permessi reali e profondi ovvero accesso al file system, alle sessioni di navigazione, alle credenziali salvate, talvolta persino a strumenti di pagamento o comunicazione. In quel momento avviene il passaggio più delicato e meno compreso: la delega decisionale.
Il rischio più grande non è tecnologico, ma cognitivo. Molti utenti continuano a pensare di “controllare” l’AI, quando in realtà hanno già trasferito all’agente la capacità di decidere come raggiungere un obiettivo. Con un chatbot l’errore resta confinato in una risposta; con un agente l’errore diventa un’azione. Non serve cliccare nulla in quanto l’agente clicca perché glielo abbiamo chiesto.
In diversi contesti di confronto tecnico, emerge un punto chiave e, segnatamente, più un agente è utile, più è pericoloso per struttura. Un agente realmente efficace deve avere accessi ampi, leggere input non affidabili e agire senza chiedere conferma a ogni passaggio. Tuttavia gli attuali modelli di linguaggio non distinguono in modo affidabile tra contenuto e istruzione. Non si tratta di un bug temporaneo, bensì di un limite strutturale connaturato alla tecnologia.
A fronte di tali criticità, viene spesso invocata una falsa garanzia: l’open source. OpenClaw è open source, ma open source significa solo codice visibile. Non significa codice sicuro, né configurazioni corrette, né un ecosistema controllato di estensioni e funzionalità. La trasparenza del codice non protegge dall’uso improprio, né da errori di progettazione, né da comportamenti emergenti non previsti.
Le segnalazioni emerse negli ultimi giorni raccontano di perdita di file, account bloccati, password modificate, accessi compromessi. In molti casi gli utenti dichiarano di non aver fatto nulla di “attivo”. È vero, hanno delegato. E quando un agente opera con privilegi elevati, anche un’istruzione ambigua o mal interpretata può produrre conseguenze gravi.
Dal punto di vista giuridico e della governance tecnologica, OpenClaw apre scenari ancora largamente irrisolti. Se un agente AI installato volontariamente compie un’azione dannosa, dove si colloca la responsabilità? Nell’utente che lo ha autorizzato? Nello sviluppatore? Nel creatore di una singola skill? La catena decisionale diventa opaca proprio nel momento in cui l’azione diventa concreta. Il diritto, oggi, è strutturalmente in ritardo rispetto a questa forma di autonomia artificiale.
Il motivo per cui OpenClaw sta esplodendo è che OpenClaw è ciò che il mercato desidera. Ma la sua potenza arriva prima della consapevolezza e prima della sicurezza. È una preview brutale del futuro degli agenti AI, potentissima, immatura, priva di guardrail adeguati.
Per queste ragioni, a mio parere, OpenClaw non è uno strumento per curiosi. Chi sceglie di sperimentarlo dovrebbe farlo esclusivamente in ambienti isolati, senza account reali, senza dati sensibili, senza nulla che non sia disposto a perdere. “Local” non significa “sicuro, significa solo che il rischio ricade interamente su chi lo installa.
Concludo domandando, anche a me stessa, quanto siamo pronti a gestirne le conseguenze ?
Avv. Simona Maruccio
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.