OpenClaw ha scatenato una crisi di sicurezza e due framework concorrenti. IronClaw porta isolamento basato su Rust e zero telemetria; NemoClaw avvolge OpenClaw nella sandbox a livello di kernel di NVIDIA. Ecco come si confrontano.
L’ecosistema “claw” è passato dal progetto personale di Peter Steinberger a un vero e proprio campo di battaglia aziendale in soli quattro mesi. OpenClaw è stato lanciato a novembre 2025, è diventato il repository che cresce più velocemente nella storia di GitHub , ha attratto centinaia di migliaia di utenti e ha fatto assumere il suo creatore da OpenAI.
Non è passato molto tempo prima che la popolarità iniziale scatenasse due nuovi framework concorrenti importanti — IronClaw di NEAR AI e NemoClaw di NVIDIA. Entrambi sono stati lanciati a poche settimane l’uno dall’altro. Se stai cercando di capire quale appartiene al tuo stack e perché, ecco cosa devi effettivamente sapere.
OpenClaw è un framework open-source di agenti IA costruito intorno all’idea semplice di dare a un modello di linguaggio memoria persistente, accesso ai tuoi strumenti e servizi, e permettergli di operare autonomamente. Si connette alle app di messaggistica e ai servizi popolari, può programmare, eseguire comandi, gestire i tuoi file, navigare il web e molto altro. Per iniziare a lavorare, ha solo bisogno di un singolo messaggio conversazionale.
Creato dallo sviluppatore austriaco Peter Steinberger come un progetto di burnout di un’ora chiamato Clawdbot a novembre 2025 (successivamente rinominato in Moltbot, poi OpenClaw dopo la pressione del marchio di Anthropic ), il progetto ha raggiunto 215.000 stelle GitHub entro febbraio 2026. Ha attratto due milioni di visitatori in una sola settimana, e la comunità di sviluppatori ha iniziato a chiamare i deployment semplicemente “allevare aragoste”.
Architettonicamente, OpenClaw viene eseguito come server Node.js locale. Utilizza Skills come blocchi modulari che definiscono cosa l’agente può fare. Le Skills sono plugin JavaScript o TypeScript che vengono eseguiti con accesso completo all’ambiente host. L’agente mantiene memoria persistente tra le sessioni tramite un archivio vettoriale locale, e l’orchestrazione multi-agente è possibile attraverso chiamate di skill annidate.
L’accesso agli strumenti è gestito tramite server MCP, rendendo l’integrazione con servizi di terze parti semplice. Ma questo significa anche che qualsiasi server MCP che colleghi eredita l’intero set di permessi dell’agente, e questo è esattamente il nocciolo della questione.
Il modello di permessi di OpenClaw è piatto: non c’è scoping delle capacità, nessuna sandbox per skill e nessuna distinzione tra accesso in lettura e scrittura ai servizi collegati. Una skill che ha bisogno di leggere il tuo calendario ottiene lo stesso accesso alle credenziali di una che può inviare email per tuo conto. Quando una skill viene caricata da ClawHub, viene eseguita con gli stessi permessi immediatamente.
I ricercatori di sicurezza che scansionavano Internet hanno trovato oltre 30.000 istanze di OpenClaw esposte pubblicamente, molte in esecuzione senza alcuna autenticazione. Anche quando era ancora chiamato Clawdbot, un audit di Kaspersky del progetto ha identificato 512 vulnerabilità in totale, otto di loro critiche.
CVE-2026-25253 , divulgato a febbraio 2026, ha abilitato l’esecuzione remota di codice con un clic tramite furto di token WebSocket e ha interessato oltre 17.500 istanze esposte a Internet. La campagna ClawHavoc, documentata da Koi Security, ha trovato 341 skill malintenzionate in ClawHub, il registro dei plugin di OpenClaw, che ammonta a circa il 12% dell’intero marketplace! Le scansioni aggiornate in seguito hanno spinto quel numero sopra gli 800.
Il problema strutturale è architettonico: OpenClaw dà ai modelli di linguaggio accesso diretto al file system, alle app di messaggistica e ai servizi web. Quando una skill malintenzionata viene caricata — o quando l’iniezione di prompt inganna l’agente nel fare qualcosa che non dovrebbe, eredita tutti questi permessi. Lo stesso Steinberger ha riconosciuto che “raggiungere la sicurezza completa con modelli di linguaggio di grandi dimensioni è irraggiungibile” e ha sottolineato che lo strumento era inteso per individui con le conoscenze tecniche per gestire questi rischi.
OpenAI ha assunto Steinberger a febbraio 2026. Il progetto è passato a una fondazione indipendente con il supporto finanziario e tecnico di OpenAI. La maggior parte dei CVE noti sono stati corretti nelle versioni recenti, ma il consenso della comunità è che la tensione architettonica tra utilità e sicurezza non è stata risolta.
OpenClaw rimane un’ottima scelta per utenti esperti, appassionati e sviluppatori che desiderano la massima flessibilità pur comprendendo ciò che stanno affrontando. Ma a causa dei problemi di sicurezza, è una scelta terribile per casi d’uso aziendali su larga scala o uso con dati altamente sensibili. Sono esattamente questi problemi che hanno spinto la creazione di IronClaw e NemoClaw.
Inizia oggi la tua prova gratuita e vedi i risultati in pochi giorni.
IronClaw, sviluppato da NEAR AI e annunciato all’inizio del 2026, è un runtime di agente ispirato a OpenClaw ricostruito da zero in Rust con la sicurezza come vincolo di progettazione principale. Il suo co-fondatore Illia Polosukhin lo ha descritto come “un harness agentivo progettato per la sicurezza”.
L’uso di Rust elimina intere classi di vulnerabilità al momento della compilazione — overflow di buffer, errori use-after-free e altri problemi di sicurezza della memoria. Per un sistema che orchestra dozzine di chiamate di strumenti simultanee ed elabora documenti di grandi dimensioni in un ciclo, queste proprietà contano in produzione.
L’architettura di sicurezza principale di IronClaw è costruita intorno a tre meccanismi:
Ogni livello di sicurezza è isolato dagli altri. Compromettere uno non compromette automaticamente il successivo. IronClaw include anche iron-verify, uno strumento di analisi statica per le skill che verifica SQL injection, command injection, pattern di path traversal e richieste di capacità eccessive. Nel test documentato da ibl.ai
, ha segnalato 23 su 25 skill problematiche. L’overhead è di circa 15ms per invocazione di skill — trascurabile per la maggior parte dei flussi di lavoro.
IronClaw si distribuisce su NEAR AI Cloud all’interno di un Trusted Execution Environment (TEE), fornendo crittografia supportata da hardware fin dall’inizio senza configurazione aggiuntiva. Supporta anche self-hosting locale per gli utenti che desiderano che i dati rimangono interamente on-premises. Tutti i dati sono archiviati in un database PostgreSQL locale con crittografia AES-256-GCM, con zero telemetria.
Oltre alla sicurezza, IronClaw è un framework di agenti funzionale con supporto multi-canale (REPL, webhook, Telegram, Slack, browser), routine programmate con cron, trigger di eventi, gestione di lavori paralleli, ricerca ibrida full-text e vettoriale per memoria persistente e supporto del protocollo MCP. Supporta backend NEAR AI, OpenAI, Anthropic, Gemini, Mistral e compatibili con OpenAI.
Il progetto è stato lanciato con un livello Starter gratuito che include un’istanza di agente ospitato su NEAR AI Cloud, con livelli a pagamento per agenti aggiuntivi.
La maggiore sicurezza rende IronClaw un’ottima alternativa adatta per utenti e organizzazioni per i quali la riservatezza dei dati è non negoziabile. IronClaw è anche significativo per utenti esperti che desiderano il limite di capacità di OpenClaw ma senza fidarsi delle loro credenziali di produzione a un agente che può essere manipolato.
NemoClaw non è un framework standalone. È uno stack di sicurezza e governance open-source che avvolge OpenClaw. È stato annunciato da Jensen Huang a GTC 2026 il 16 marzo , con un posizionamento che pochi nella stanza avrebbero potuto perdere. Huang ha confrontato OpenClaw con Windows e Linux: “OpenClaw è il sistema operativo per l’IA personale”. NemoClaw è il guscio di titanio.
NemoClaw si installa tramite un singolo comando come plugin TypeScript per la CLI di OpenClaw insieme a un blueprint Python che orchestra il runtime OpenShell di NVIDIA. OpenShell fornisce una sandbox a livello di kernel utilizzando moduli di sicurezza Linux che si trova tra l’agente e il sistema operativo.
Il modello di sicurezza è invertito dai valori predefiniti di OpenClaw. Dove OpenClaw è permissivo a meno che non lo limiti esplicitamente, OpenShell blocca tutto a meno che non sia esplicitamente consentito. Le policy sono scritte in YAML, consentendo alle organizzazioni di definire:
Le azioni bloccate vengono visualizzate in un’interfaccia utente del terminale per la revisione umana anziché non riuscire silenziosamente. Il motore di policy viene eseguito out-of-process, il che significa che l’agente non può sovrascriverlo manipolando la propria configurazione.
NemoClaw include anche un router di privacy che instrada query complesse a modelli frontier basati su cloud mentre mantiene i dati sensibili locali su modelli Nemotron. La famiglia Nemotron 3, ottimizzata per carichi di lavoro agentivi e caratterizzata da un’architettura ibrida Mamba-Transformer, diventa il backend di inferenza locale predefinito.
NemoClaw è innanzitutto un’impresa aziendale, con partnership di Salesforce, Cisco, Google, Adobe e CrowdStrike annunciate. Il progetto aveva già 9.000+ stelle GitHub entro pochi giorni dal lancio.
Annunciato meno di un mese fa (al momento della stesura di questo articolo), NemoClaw è ancora un’anteprima alfa. Le interfacce e il comportamento possono cambiare senza preavviso, e l’inferenza locale rimane sperimentale su alcune piattaforme. Più importantemente, il processo di hardening è ancora in corso, poiché meno di una settimana dal lancio un ricercatore di sicurezza informatica ha identificato un bypass di configurazione.
Gli analisti di Futurum Research hanno notato che NemoClaw affronta bene l’estremità della distribuzione della catena di fiducia dell’agente, ma hanno sostenuto che la sicurezza deve essere incorporata durante l’intero ciclo di vita dello sviluppo, non solo al livello runtime.
C’è anche un modello di business da leggere qui. Per impostazione predefinita, NemoClaw instrada le richieste di inferenza attraverso l’endpoint cloud di NVIDIA. Puoi configurare modelli Nemotron locali per la distribuzione completamente on-premises, ma il percorso predefinito crea una dipendenza dall’infrastruttura di NVIDIA. Se questo sia un problema o una caratteristica dipende dal tuo modello di minaccia.
NemoClaw sta cercando di posizionarsi come alternativa per le organizzazioni che desiderano le capacità di OpenClaw con un modello di applicazione di policy che i loro team di conformità e legali possono esaminare e approvare.
Ricevi gratuitamente gli ultimi consigli, tendenze e offerte.
IronClaw e NemoClaw si contendono la posizione dell’opzione più sicura, ma la verità è che tutti e tre questi sistemi possono causare problemi se dai loro gli strumenti sbagliati. La differenza è in quanto danno è strutturalmente possibile e quanto richiede un errore attivo da parte tua.
OpenClaw dà all’agente accesso completo a tutto sulla tua macchina. Probabilmente non hai un inventario completo di cosa è installato e accessibile su un computer che usi da anni. Va bene per appassionati e sviluppatori che sanno con cosa stanno lavorando. È un vero rischio per chiunque altro.
NemoClaw costruisce una gabbia di qualità intorno a quell’animale pericoloso. La protezione vive al livello dell’infrastruttura — la sandbox a livello di kernel di OpenShell, l’applicazione di policy e il modello deny-by-default. Il supporto di NVIDIA lo rende il più probabile per raggiungere la stabilità di produzione e l’adozione diffusa. Il denaro è su questo nel mercato aziendale, ma il routing cloud predefinito sono cose da monitorare.
IronClaw ha probabilmente l’architettura di sicurezza più sofisticata dei tre: runtime sicuro per la memoria in Rust, isolamento WASM per strumento, iniezione di credenziali sicura, rilevamento di iniezione di prompt e difese a strati dove compromettere uno strato non cascata al successivo. È anche il più convinto riguardo alla sovranità dei dati — zero telemetria, archiviazione locale, hosting cloud supportato da TEE. Per casi d’uso in cui i dati semplicemente non possono lasciare l’infrastruttura dell’organizzazione, è l’unico framework qui che lo rende strutturalmente vero piuttosto che una configurazione che devi mantenere.
Nessuno di questi risolve completamente l’iniezione di prompt. Questo è un problema aperto a livello di industria, e qualsiasi fornitore che affermi il contrario sta sopravvalutando il caso.
L’inquadramento di “chi vince” è un po’ una domanda falsa. OpenClaw e la sua comunità incredibile rimangono il centro di gravità dell’ecosistema. NemoClaw e IronClaw stanno entrambi rispondendo ai limiti di OpenClaw, ma con filosofie diverse.
Il percorso di NemoClaw verso il dominio è il più ovvio. NVIDIA ha le relazioni aziendali, la distribuzione, l’ecosistema hardware per rendere l’adozione senza attriti per le grandi organizzazioni. La scommessa che Huang ha inquadrato — ogni azienda ha bisogno di una strategia OpenClaw come ogni azienda una volta aveva bisogno di una strategia Linux, è probabilmente corretta, e NemoClaw è posizionato per essere la risposta predefinita a quella domanda negli ambienti aziendali.
Il valore di IronClaw è più specifico e più durevole nelle industrie regolamentate. È l’unico framework in cui la riservatezza dei dati è applicata architettonicamente piuttosto che policy-enforced. La sicurezza della memoria basata su Rust e l’isolamento degli strumenti WASM sono proprietà del runtime, non configurazioni che un amministratore ha dimenticato di impostare. Per i casi d’uso legali, sanitari e finanziari che operano secondo GDPR, HIPAA o framework simili, quella distinzione ha un valore di conformità reale.
OpenClaw stesso non sta andando da nessuna parte. Peter Steinberger può essere a OpenAI ora, ma la struttura della fondazione mantiene il progetto indipendente e guidato dalla comunità, e le sue capacità rimangono senza pari per gli utenti esperti disposti a gestire la superficie di sicurezza stessi.
La domanda più interessante non è quale artiglio sopravvive, ma quanto velocemente NemoClaw matura dall’alfa e se il suo approccio a livello di kernel può tenere il passo con la superficie di attacco in continua espansione che viene con agenti auto-evolutivi. Dato il track record di NVIDIA nel trasformare le scommesse software in standard infrastrutturali, il denaro intelligente è che ci arriva.
Questo articolo è stato aggiornato l’ultima volta a marzo 2026. L’ecosistema claw si sta muovendo velocemente — i tempi CVE e la disponibilità delle funzioni potrebbero essere cambiati.
Maria è una copywriter presso FlowHunt. Appassionata di lingue e attiva nelle comunità letterarie, è pienamente consapevole che l’IA sta trasformando il nostro modo di scrivere. Invece di opporsi a questo cambiamento, cerca di contribuire a definire il perfetto equilibrio tra i flussi di lavoro AI e l’insostituibile valore della creatività umana.
Connetti il tuo agente basato su Claw a FlowHunt e automatizza flussi di lavoro complessi, dall'elaborazione dati alle pipeline di IA multi-step.
La valutazione di 500 miliardi di dollari di OpenAI è sotto esame mentre modelli AI sempre più commoditizzati e alternative open-source livellano il campo di gi...
Caffe è un framework open-source per il deep learning sviluppato da BVLC, ottimizzato per la velocità e la modularità nella costruzione di reti neurali convoluz...
OpenAI è una delle principali organizzazioni di ricerca sull'intelligenza artificiale, nota per lo sviluppo di GPT, DALL-E e ChatGPT, con l'obiettivo di creare ...
