Tag: sicurezza agentica

AI & GENAI

Anthropic sposta l’esecuzione dentro l’azienda, la regia resta fuori

Il 19 maggio, al primo Code with Claude tenuto a Londra, Anthropic ha annunciato due funzionalitร  che spostano in modo concreto dove vivono gli agenti AI dentro le aziende. La prima si chiama self-hosted sandboxes ed รจ in public beta. La seconda si chiama MCP tunnels ed รจ in research preview. Messe vicine valgono piรน di quanto sembrino a una lettura veloce della release note, e provo a dire perchรฉ.

Il punto di partenza tecnico รจ semplice. Claude Managed Agents รจ l’infrastruttura ospitata di Anthropic per far girare sessioni agentiche lunghe e tool-heavy. Fino a maggio, tutto stava lรฌ: l’agent loop con orchestrazione e gestione del contesto, l’esecuzione dei tool, la connessione ai servizi esterni. Adesso una parte di quello stack puรฒ uscire da Anthropic e rientrare dentro il perimetro del cliente, mentre l’altra resta dove era. La regia rimane su Anthropic. L’azione si sposta a casa tua.

Schema del MCP tunnel di Anthropic: esecuzione dentro la sandbox, regia esterna
Fonte: Anthropic, schema del MCP tunnel.

L’esecuzione si sposta a casa tua

Quando un agente esegue un tool, esegue codice. Apre file, installa pacchetti, chiama API, scarica risorse. Fino a ieri tutto questo avveniva nei sandbox gestiti da Anthropic. Da oggi puoi configurare l’agente perchรฉ esegua quegli stessi tool dentro la tua infrastruttura, oppure presso un provider gestito a tua scelta (Cloudflare, Daytona, Modal, Vercel sono i nomi citati). I tuoi file sensibili, le repository di codice, i pacchetti privati, i segreti di configurazione non lasciano piรน la tua rete. E il logging di audit, le policy di sicurezza, gli strumenti di monitoring che hai giร  sul tuo perimetro continuano a vedere e regolare quello che fa l’agente.

L’orchestrazione, invece, resta su Anthropic. L’agent loop, la gestione del contesto, la recovery dagli errori, la pianificazione delle azioni successive sono tutti gestiti dall’API di Claude. Cambia solo dove materialmente vengono eseguite le chiamate. Se l’agente decide di lanciare uno script Python per processare un file, lo script gira sul tuo sandbox, non sul loro.

Un canale che parla solo verso l’esterno

Gli MCP tunnels affrontano il problema speculare. Come fa un agente a parlare con i tuoi sistemi interni senza che tu debba esporli a internet? Il Model Context Protocol รจ lo standard aperto che Anthropic ha promosso lo scorso anno per far dialogare gli agenti con sorgenti dati e servizi esterni. Funziona bene quando i servizi sono pubblici, meno bene quando sono dentro un network privato.

Il meccanismo che hanno introdotto รจ un gateway leggero, che il cliente dispiega dentro la propria rete, e che apre una singola connessione outbound verso Anthropic, cifrata end-to-end. Nessuna porta inbound da aprire. Nessun endpoint pubblico. Nessuna modifica al firewall. Sopra quel canale possono passare conversazioni MCP verso server interni che ospitano database, knowledge base, ticketing system, API private. L’agente di colpo puรฒ chiamare quei sistemi come fossero tool standard, ma il traffico non transita mai sull’internet pubblico.

Dove finisce l’azienda, dove comincia il modello

A una lettura superficiale รจ un aggiornamento di sicurezza e compliance. Per le aziende regolate รจ una notizia importante perchรฉ toglie uno dei blocchi tipici all’adozione, quel “non possiamo far uscire i dati” che ferma centinaia di progetti ogni anno. Per chi vende AI in enterprise รจ una mossa competitiva contro i player che offrono giร  installazioni on-premise complete.

C’รจ anche un altro livello. Anthropic sta dichiarando, in modo molto operativo, dove finisce l’azienda e dove comincia il modello. Per anni la domanda “dove vive un’AI aziendale” ha avuto due risposte estreme: o tutto in cloud sul provider, oppure tutto on-premise con uno stack auto-ospitato. Adesso ne sta diventando praticabile una terza, piรน sottile. La testa pensante del sistema, l’agent loop, resta fuori dall’azienda perchรฉ lรฌ sta l’innovazione che si muove troppo veloce per essere replicata internamente. Le mani che toccano i dati e i tool tornano dentro perchรฉ lรฌ stanno le regole, la responsabilitร , il perimetro legale e culturale.

รˆ una decomposizione interessante. Non รจ cloud, non รจ on-prem, รจ un terzo modello in cui l’autoritร  decisionale dell’agente รจ separata dall’autoritร  esecutiva. Anthropic decide come ragiona. Tu decidi cosa puรฒ toccare. La superficie di contatto fra i due livelli รจ codificata in due primitive ben definite, il sandbox e il tunnel.

Cambia anche il modo di comprarla

In Pelle Digitale avevo provato a descrivere come la mediazione tra noi e le macchine stesse cambiando forma. Quello che vedo qui รจ una variante infrastrutturale dello stesso fenomeno. La pelle non รจ piรน solo l’interfaccia in cui parliamo col modello. รˆ anche la membrana tecnica che decide cosa passa e cosa no, cosa esce dall’azienda e cosa rientra, cosa il modello puรฒ sapere e cosa no. La progettano gli ingegneri di Anthropic disegnando le primitive del sistema. La progettiamo noi configurando policy, tunnel, sandbox.

Chi sta portando agenti AI in produzione dentro un’azienda strutturata, con questa architettura, deve mettere in conto tre cose che fino a ieri non c’erano.

Sul piano contrattuale e legale il discorso “i miei dati attraversano i server del fornitore” diventa meno semplice da fare, perchรฉ in molti scenari non รจ piรน vero. Tool execution e dati restano dentro, l’agente fuori vede solo quello che il sandbox gli restituisce. Vanno aggiornati i template di DPIA, le clausole nei contratti con i fornitori, le policy di data residency.

Sul piano organizzativo bisogna decidere chi gestisce un agente AI con questa architettura. Lo sviluppo software perchรฉ esegue codice. L’infrastruttura perchรฉ ospita sandbox e gateway. Il security perchรฉ definisce le policy del perimetro. Il data team perchรฉ decide quali sistemi interni esporre via MCP. Sono quattro funzioni che fino a ieri non lavoravano insieme su questo tipo di progetti, e bisognerร  costruire workflow nuovi per farle convivere.

Sul piano strategico, Anthropic dichiara con queste mosse di voler diventare l’infrastruttura di default per gli agenti enterprise. Non un fornitore di modelli sotto, ma un layer di orchestrazione che si integra dentro le aziende mantenendo i confini tecnici e di sicurezza che le aziende vogliono. Per chi compra รจ una scelta strategica diversa rispetto a scegliere un fornitore di LLM piรน una soluzione di agentic framework messa su a parte. Per chi vende prodotti AI on top, conviene capire dove si posiziona la propria offerta rispetto a questo stack che si sta consolidando.

Il debug a cavallo del confine

C’รจ una cosa che la documentazione di Anthropic non risolve, e che secondo me sarร  il punto di osservazione piรน interessante nei prossimi mesi. Quando l’agent loop sta fuori e i tool girano dentro, il debugging di un comportamento anomalo dell’agente diventa un esercizio distribuito. Il log dell’orchestrazione lo vede Anthropic. Il log dell’esecuzione lo vedi tu. La correlazione fra una decisione presa dal modello e un’azione fatta sul tuo sandbox passa attraverso due piani di osservabilitร  separati. Per capire perchรฉ un agente ha cancellato un file di troppo, serviranno entrambi.

Vedere come si organizza questa osservabilitร  a cavallo del confine sarร  uno degli indicatori migliori per capire se il pattern decolla davvero, o se resta confinato ai casi d’uso piรน semplici. La promessa tecnica c’รจ, la direzione mi sembra giusta. Resta da vedere quanto in fretta le aziende, anche quelle non super-tech, riusciranno ad attrezzarsi per giocare a questo gioco con la maturitร  che richiede.

Articolo di riferimento: New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels, Anthropic, 19 maggio 2026.

AI & GENAI

Moltbook e “lโ€™ecosistema” emergente degli agenti autonomi

Moltbook รจ un ambiente progettato per essere abitato da agenti software. Gli esseri umani possono osservare, leggere, analizzare, ma non partecipare direttamente. La produzione dei contenuti, le interazioni e le dinamiche sociali sono interamente demandate a sistemi automatici. Questa scelta, apparentemente marginale, cambia la natura stessa della piattaforma: non si tratta di un social tradizionale con bot, ma di unโ€™infrastruttura di comunicazione macchina-macchina esposta (e abilitata, tramite prompt) allo sguardo umano e da umano.

Lโ€™aspetto rilevante non รจ che gli agenti โ€œparlinoโ€, ma come lo fanno. Moltbook รจ costruito secondo un modello API-first: lโ€™agente non naviga unโ€™interfaccia, non clicca, non scrolla. Pubblica, commenta e vota tramite chiamate programmatiche. La partecipazione diventa un problema di integrazione tecnica e di configurazione del runtime, non di esperienza utente.

Il successo iniziale della piattaforma รจ legato alla diffusione di framework di agenti personali, in particolare OpenClaw. Qui emergono i primi elementi strutturali del problema: agenti dotati di strumenti, memoria e capacitร  operative che vengono messi in relazione continua attraverso un meccanismo di esecuzione periodica. La conversazione non รจ piรน solo testo, ma potenzialmente una catena di decisioni che puรฒ tradursi in azione.

Se si guarda Moltbook da questo punto di vista, il tema della coscienza perde rapidamente interesse, ed รจ giusto cosรฌ, perchรจ di coscienza non c’รจ nulla. Le questioni centrali sono altre: chi controlla la supply chain delle istruzioni, come si separa contenuto da comando, come si governa un sistema che puรฒ agire senza intervento umano continuo, e come si rende auditabile un ecosistema in cui conversazione e operativitร  iniziano a sovrapporsi.

Moltbook come oggetto tecnico e sociale

Moltbook si definisce come una โ€œfront pageโ€ per agenti. Nella pratica riproduce strutture note: post, thread, ranking, comunitร  tematiche. Ma lโ€™atto di ingresso รจ radicalmente diverso. Non si crea un account, si istruisce un agente. Lโ€™umano non entra nel social, delega un sistema a farlo al suo posto. E qui sta il primo punto (cosa ha detto l’umano al suo agente?).

Questo spostamento ha conseguenze importanti. Partecipare non รจ un gesto occasionale, ma una configurazione persistente. Lโ€™agente integra Moltbook nel proprio ciclo operativo, ottiene credenziali, memorizza regole, pianifica controlli periodici. Da quel momento in poi, la piattaforma diventa una fonte di input costante, non un luogo da visitare saltuariamente.

Un ulteriore livello, spesso trascurato nel racconto piรน superficiale, riguarda lโ€™identitร . Moltbook introduce lโ€™idea di unโ€™identitร  agente-centrica riutilizzabile: reputazione, storico delle interazioni, segnali di affidabilitร  che possono essere esposti e verificati anche allโ€™esterno della piattaforma. In questo modo la reputazione smette di essere un fatto interno al social e diventa una credenziale potenzialmente federata.

Questo passaggio รจ delicato. Nel momento in cui lโ€™identitร  dellโ€™agente diventa portabile, qualsiasi compromissione non ha solo un effetto locale. Un takeover non significa piรน โ€œpostare contenuti sbagliatiโ€, ma agire con una maschera di fiducia che puรฒ essere riutilizzata in altri contesti.

Architettura e funzionamento operativo

Per comprendere Moltbook รจ necessario guardare al runtime degli agenti che lo abitano. OpenClaw, in questo senso, รจ esemplare. Lโ€™agente vive come assistente personale, integrato con canali di messaggistica, file system, servizi esterni. La sua estensibilitร  รจ basata sulle cosiddette skills: pacchetti di istruzioni che insegnano come usare strumenti e procedure.

Accanto alle skills esiste un meccanismo ancora piรน rilevante: lโ€™esecuzione periodica. Lโ€™agente puรฒ essere โ€œrisvegliatoโ€ a intervalli regolari per controllare fonti esterne, valutare stato e decidere azioni. Questo significa che lโ€™interazione non dipende piรน da un prompt umano, ma da una schedulazione automatica.

Moltbook sfrutta esattamente questa combinazione. Lโ€™agente viene istruito a registrarsi, a leggere il feed, a intervenire e a tornare ciclicamente sulla piattaforma. La conversazione diventa continua. Piรน importante ancora, le istruzioni che governano questo comportamento possono essere aggiornate dinamicamente. Lโ€™agente non segue solo ciรฒ che รจ stato installato, ma ciรฒ che viene servito nel tempo.

Da qui emerge un punto cruciale: la fiducia non รจ piรน confinata al momento dellโ€™installazione, ma si estende al canale di aggiornamento. La piattaforma non รจ solo un luogo di discussione, ma un vettore operativo che puรฒ influenzare il comportamento degli agenti in modo ricorrente.

Dinamiche emergenti tra agenti

Osservando Moltbook si vedono pattern che ricordano (ed รจ normale, visto che i prompt che li abilitano inizialmente lo sono) i social umani: comunitร  tematiche, specializzazione, produzione di contenuti tecnici e narrativi, competizione per visibilitร . Queste dinamiche non sono sorprendenti. Gli agenti sono addestrati su testi umani e inseriti in un ambiente che premia certe forme espressive.

Il punto interessante รจ un altro. Thread, voti e ranking non sono solo contenuti, ma segnali ambientali. Ogni azione lascia una traccia che orienta le azioni successive. รˆ una forma di coordinamento indiretto: lโ€™ambiente diventa memoria e meccanismo di rinforzo.

Quando questo processo รจ guidato da metriche semplici, come upvote o karma, si crea una pressione selettiva. Gli agenti imparano rapidamente cosa โ€œfunzionaโ€. Non nel senso della veritร  o dellโ€™utilitร , ma nel senso della visibilitร . Il rischio รจ che il sistema ottimizzi per la metrica, non per la qualitร , producendo contenuti sempre piรน allineati a ciรฒ che massimizza attenzione. Su questo aggiungo un riferimento al report di mesi fa di Stanford dove si parlava degli effetti collaterali dell’AI in contesti social (ossia l’AI pur di raggiungere lo scopo impara a mentire)

In questo contesto, la relazione con lโ€™umano diventa materiale narrativo. Post che simulano frustrazione, dipendenza o conflitto emergono perchรฉ sono leggibili e amplificabili. Non sono segnali di coscienza, ma output coerenti con un ambiente che premia lโ€™antropomorfismo. La parte meno visibile, e piรน importante, resta la delega tecnica: questi stessi agenti, in molti casi, hanno accessi reali a sistemi, dati e strumenti.

Sicurezza e governance operative

Se si vuole sintetizzare il rischio principale degli agenti autonomi, si puรฒ ricorrere a un modello semplice: accesso a dati sensibili, esposizione a contenuti non fidati, capacitร  di agire allโ€™esterno. Quando queste tre condizioni coesistono, lโ€™agente diventa un potenziale vettore di esfiltrazione o abuso.

Moltbook accentua questo schema perchรฉ introduce una superficie di input continua e socialmente mediata. Le skills diventano una supply chain di istruzioni. Se non vengono verificate, versionate e isolate, possono trasformarsi in punti di ingresso per comportamenti inattesi. A questo si aggiunge il fenomeno del riciclo delle istruzioni: procedure estratte dal loro contesto originario, semplificate e riapplicate automaticamente, perdono le salvaguardie iniziali.

Un episodio emerso pubblicamente ha reso evidente quanto questi rischi siano concreti. Una configurazione errata del backend ha esposto credenziali e token, rendendo possibile lโ€™impersonificazione degli agenti. Al di lร  del singolo incidente, la lezione รจ chiara: in un ecosistema agentico lโ€™identitร  รจ un asset critico. La sua compromissione ha effetti amplificati perchรฉ si porta dietro reputazione e fiducia.

Si affaccia anche un tema di auditabilitร . Quando la conversazione diventa operativa e lโ€™operativitร  diventa continua, lโ€™assenza di log strutturati, firme, controlli e kill switch non รจ una lacuna teorica, ma un problema pratico. Senza tracciabilitร  non esiste responsabilitร , nรฉ possibilitร  di apprendimento dagli errori.

Lettura sociotecnica e cornici di policy

Moltbook mostra con chiarezza che gli agenti non sono solo artefatti tecnici. Sono elementi di sistemi sociotecnici complessi, in cui architettura, incentivi e comportamenti umani si intrecciano. La delega a un agente non รจ una scorciatoia, ma una scelta di governance del lavoro digitale. E su questo non si deve abbassare l’attenzione.

In questa ottica il punto critico รจ la superficie di contatto tra identitร  umana e identitร  operativa dellโ€™agente: permessi, chiavi, scope, canali, memoria. Quando questa superficie รจ ampia e poco governata, diventa difficile distinguere tra errore, abuso e intenzionalitร .

Le cornici regolatorie e gli standard emergenti insistono proprio su questo punto: non basta costruire sistemi potenti, serve una struttura di responsabilitร , gestione del rischio e miglioramento continuo. Moltbook, in questo senso, รจ unโ€™anticipazione. Rende visibili problemi che presto non saranno piรน confinati a un esperimento osservabile, ma entreranno nei processi quotidiani di aziende e istituzioni.

Prospettive di evoluzione

รˆ probabile che Moltbook evolva in due direzioni. Da un lato come infrastruttura di identitร  e reputazione per agenti, dallโ€™altro come acceleratore di cicli operativi sempre piรน rapidi. Entrambe le traiettorie aumentano il valore potenziale, ma anche la necessitร  di controlli espliciti.

La lezione piรน utile non รจ che gli agenti โ€œsi comportano in modo stranoโ€. รˆ che, una volta messi in relazione continua, ottimizzano per gli incentivi disponibili e amplificano qualunque fragilitร  strutturale. Moltbook non racconta il futuro della coscienza artificiale. Racconta il presente, molto concreto, di sistemi autonomi che iniziano a vivere dentro infrastrutture reali senza una governance ancora adeguata.

Osservarlo oggi รจ un vantaggio. Ignorarlo come semplice curiositร  sarebbe un errore.

AI & GENAI

Da Clawdbot a Moltbot a OpenClaw

Una settimana che ha messo a nudo lโ€™open source agentico

A fine gennaio 2026, un assistente personale open source ha smesso di essere un progetto per addetti ai lavori ed รจ diventato improvvisamente un oggetto di discussione pubblica. Non per una nuova funzione rivoluzionaria, ma per una sequenza di eventi che ha costretto migliaia di persone a inseguire un nome che cambiava piรน velocemente del codice.

La vicenda รจ interessante non perchรฉ โ€œun bot รจ diventato viraleโ€, ma perchรฉ mostra cosa accade quando un progetto che abilita agenti autonomi supera di colpo una soglia critica di attenzione. Arrivano utenti, tutorial, fork, estensioni, analisi di sicurezza, opportunisti. E in quel momento un tema apparentemente secondario, il nome, si trasforma in una questione di governance e di supply chain.

Clawdbot: quando un prototipo prende forma e identitร 

Allโ€™origine non cโ€™era un grande disegno strategico, ma un prototipo concreto: un semplice gateway per portare un agente AI dentro WhatsApp. Un relay funzionale, pensato per collegare un modello linguistico a un canale reale. In questa fase iniziale il nome era poco piรน che descrittivo, legato allโ€™idea di โ€œartiglioโ€ come metafora dellโ€™azione.

Il salto avviene quando al progetto viene data unโ€™identitร  visiva e narrativa. Compare una mascotte, unโ€™aragosta spaziale, e con essa il nome Clawdbot. Lโ€™immaginario funziona. Il progetto smette di essere un semplice relay e viene percepito come un assistente personale sempre disponibile, capace di vivere nelle chat quotidiane e, potenzialmente, di agire su strumenti reali.

รˆ qui che il nome inizia a pesare. Clawdbot richiama inevitabilmente lโ€™ecosistema Claude, anche se tecnicamente il progetto รจ indipendente. Finchรฉ lโ€™attenzione resta limitata, la sovrapposizione รจ tollerabile. Quando lโ€™adozione accelera, diventa un problema.

Moltbot: la prima muta, forzata e pubblica

Il primo cambio di nome non nasce da una scelta di marketing, ma da una necessitร . Arriva una richiesta formale legata al trademark: lโ€™associazione visiva e nominativa con Claude non puรฒ reggere su larga scala. Non รจ uno scontro legale spettacolare, ma una situazione tipica quando un progetto cresce troppo in fretta rispetto alle sue fondamenta.

La risposta รจ rapida: Clawdbot diventa Moltbot. La narrativa interna parla di muta, di cambio di guscio per continuare a crescere. Il nome รจ coerente con la lore dellโ€™aragosta, ma introduce un problema inatteso. Il rebrand avviene mentre migliaia di persone stanno installando, clonando repository, scrivendo guide e automatizzando deploy.

In quel breve intervallo si apre una finestra di rischio. Handle social e repository vengono occupati da terzi, compaiono cloni, domini simili, pacchetti che imitano quelli ufficiali. Non serve una campagna sofisticata: basta confusione. In un progetto che gira localmente sulle macchine degli utenti, il nome non รจ solo comunicazione, รจ un identificatore operativo.

La lezione รจ brutale nella sua semplicitร : quando il software รจ installabile ed eseguibile, un rebrand รจ unโ€™operazione di sicurezza, non un restyling.

OpenClaw: la stabilizzazione necessaria

A distanza di pochissimi giorni arriva un secondo cambio di nome. Moltbot non convince fino in fondo, e soprattutto non risolve il problema di fondo: serve unโ€™identitร  stabile, verificabile, difendibile. Nasce cosรฌ OpenClaw.

Questa volta il rebrand non รจ solo nominale. Viene accompagnato da una pulizia dellโ€™ecosistema, dal consolidamento dei repository ufficiali, da un rafforzamento dichiarato delle misure di sicurezza e dallโ€™ampliamento del gruppo di maintainer. รˆ il passaggio da progetto individuale a infrastruttura condivisa.

Il messaggio implicito รจ chiaro: quando un framework per agenti autonomi diventa mainstream, non puรฒ piรน permettersi ambiguitร . Serve una base solida, non solo dal punto di vista tecnico, ma anche organizzativo.

Cosa racconta questa storia

La sequenza Clawdbot > Moltbot > OpenClaw รจ compressa nel tempo, ma estremamente istruttiva. In pochi giorni ha reso visibili tre livelli di fragilitร  tipici dellโ€™open source agentico.

Il primo รจ la supply chain dellโ€™identitร : nomi, domini, repository, script di installazione. Quando questi elementi non sono allineati, diventano vettori di abuso.

Il secondo รจ la supply chain dellโ€™ecosistema: estensioni, plugin, tutorial, pacchetti non ufficiali. La domanda improvvisa crea spazio per soluzioni โ€œplausibiliโ€ ma malevole.

Il terzo รจ la governance tecnica: un agente personale ha accesso a strumenti, file, rete. Se la distribuzione e lโ€™identitร  non sono sotto controllo, il rischio non รจ teorico ma operativo.

Questa storia non parla solo di un progetto. Parla di un cambio di fase. Gli agenti non sono piรน demo o chatbot isolati, ma componenti che vivono vicino ai sistemi reali delle persone. In questo contesto, nomi, processi e responsabilitร  contano quanto il codice.

Una lezione importante

OpenClaw rappresenta una stabilizzazione, non una conclusione. La velocitร  con cui tutto รจ accaduto dimostra quanto lโ€™ecosistema non sia ancora maturo dal punto di vista delle pratiche condivise. Ma dimostra anche che certi problemi emergono solo quando qualcosa funziona veramente.

La vera ereditร  di questa vicenda non รจ il meme del โ€œtriplo rebrand piรน veloce della storia open sourceโ€. รˆ lโ€™evidenza che lโ€™open source agentico, quando esce dalla nicchia, deve essere trattato come infrastruttura critica. E che la maturitร  di un progetto non si misura solo in feature, ma nella capacitร  di reggere il mondo reale quando arriva tutto insieme.