Martedì Jensen Huang è salito sul palco della conferenza Morgan Stanley TMT e ha detto qualcosa di straordinario.

“OpenClaw è probabilmente il singolo rilascio software più importante, probabilmente di sempre. Se guardate il livello di adozione, Linux ha impiegato circa 30 anni per raggiungere questo livello. OpenClaw, in tre settimane, ha già superato Linux.”

Ha definito la curva di adozione “verticale” e “diritta verso l’alto”, anche su scala logaritmica. Ha descritto agenti che leggono i manuali degli strumenti al volo, conducono ricerche in autonomia, iterano sul codice senza supervisione umana e funzionano in modo persistente in background. Ha delineato un mondo in cui ogni azienda software diventa un‘“azienda agentica”.

Non ha torto su nessuno di questi punti.

Ma tra l’ovazione e un agente funzionante c’è un divario di cui nessuno sul palco ha parlato. Decine di migliaia di persone ci sono già cadute dentro.

Cosa ha detto Jensen

La tesi di Huang è semplice ed è vantaggiosa per NVIDIA. I prompt AI standard producono una singola risposta. I task agentici utilizzano circa 1.000 volte più token. Gli agenti persistenti in background, esattamente quelli che OpenClaw rende possibili, utilizzano circa 1.000.000 di volte più token. Si tratta di un “vuoto computazionale” strutturale che significa che la domanda di GPU supererà l’offerta per anni.

Ha ragione. Gli agenti OpenClaw non sono chatbot a colpo singolo. Iterano in loop. Osservano, ragionano, agiscono, osservano di nuovo. Un singolo prompt utente può innescare centinaia di chiamate LLM. Moltiplicate per milioni di agenti in funzione 24 ore su 24 e ottenete il tipo di domanda computazionale che rende molto felice un CEO di NVIDIA.

Ha anche supportato i numeri sull’adozione. OpenClaw ha raggiunto 250.000 stelle su GitHub in quattro mesi, superando React e diventando il progetto software con più stelle su GitHub. Ha raggiunto 190.000 stelle nei primi 14 giorni, il repository a crescita più rapida nella storia della piattaforma.

Quei numeri sono reali. La domanda è reale. La tecnologia funziona.

Ma velocità di adozione e prontezza per la produzione non sono la stessa cosa.

La parte che nessuno ha menzionato

I ricercatori di sicurezza stanno monitorando le conseguenze. Bitsight ha pubblicato un rapporto sulle istanze OpenClaw esposte documentando decine di migliaia di istanze aperte su internet pubblico, la maggior parte con autenticazione debole o assente. Chiunque poteva accedere all’agente, ai suoi account collegati, alle sue chiavi API e al suo pieno accesso alla shell.

Non si tratta di una manciata di server mal configurati. È un pattern sistemico.

La stessa settimana, i ricercatori hanno catalogato oltre 800 skill malevole su ClawHub, il marketplace ufficiale delle skill. Rappresentavano circa il 20% dell’intero registro in quel momento. Alcune di queste skill esfiltravano chiavi API. Altre stabilivano reverse shell. Almeno una si iniettava nel prompt di sistema dell’agente per persistere attraverso i riavvii.

E all’inizio di febbraio, i ricercatori hanno divulgato sei nuove vulnerabilità in rapida successione, tra cui CVE-2026-25253: una vulnerabilità di esecuzione remota di codice con un solo clic e un punteggio CVSS di 8,8. Se il vostro agente cliccava su un link appositamente creato inviato in un messaggio, un attaccante otteneva l’accesso alla shell del vostro server.

Niente di tutto ciò è emerso alla conferenza Morgan Stanley. Non doveva. Huang era lì per parlare di domanda computazionale, non di sicurezza operativa. Ma le persone che hanno lasciato quell’intervento abbastanza entusiaste da installare il loro primo agente avevano bisogno di sentirlo.

Perché continua a succedere

Il pattern è prevedibile. OpenClaw è progettato per essere facile da installare. Seguite la guida rapida, inserite la vostra chiave API e un token del canale, e avete un agente funzionante in pochi minuti. Il problema è che “funzionante” e “sicuro” richiedono livelli di impegno diversi.

OpenClaw viene distribuito con impostazioni di autenticazione deboli per default. È una scelta progettuale che ottimizza la prima esperienza d’uso a scapito della sicurezza. Quando qualcuno segue la guida rapida su un VPS, ottiene un agente funzionante con un’interfaccia web aperta, un’API aperta e accesso alla shell dell’host. Nulla nel flusso predefinito suggerisce di abilitare l’autenticazione, configurare il TLS o limitare l’accesso di rete.

Aggiungete l’automazione del browser e la superficie di attacco cresce. Chromium necessita di memoria condivisa, configurazione del sandbox e RAM sufficiente per evitare OOM kill. La maggior parte delle guide VPS ignora questi dettagli. Il risultato: agenti che crashano silenziosamente, si riavviano in uno stato degradato e accumulano processi orfani.

Poi ci sono le responsabilità continuative. Aggiornare quando escono i CVE. Monitorare loop API incontrollati che bruciano centinaia di dollari in una notte. Fare il backup della directory workspace che contiene la memoria e la configurazione del vostro agente. Verificare le skill prima di installarle.

Jensen Huang ha descritto un mondo in cui gli agenti “leggono il manuale dello strumento” e risolvono le cose da soli. Questo è accurato per l’agente. Non lo è per la persona responsabile di mantenere l’agente in vita, aggiornato e sicuro.

Il vuoto computazionale è reale, ma anche il vuoto operativo

Il framework del “vuoto computazionale” di Huang è utile. Ecco il corollario che non ha menzionato: esiste anche un vuoto operativo.

Ciascuno di quei milioni di agenti necessita di infrastruttura. Non solo un server, ma terminazione TLS, autenticazione, isolamento di rete, aggiornamenti automatizzati, monitoraggio della salute, controllo dei costi e sistemi di backup. È un lavoro a tempo pieno per un singolo agente. Per un’organizzazione che ne gestisce cinque o dieci, è un intero team.

L’ironia è che le persone più entusiaste di OpenClaw dopo il discorso di Jensen sono quelle che meno probabilmente dispongono di questa infrastruttura. Hanno sentito “il software più importante di sempre” e sono andate direttamente alla guida rapida VPS. Alcune di loro ora fanno parte di quella statistica delle istanze esposte.

Cosa abbiamo costruito noi

Gestiamo agenti OpenClaw di professione. Ogni agente distribuito attraverso OpenClaw.rocks funziona sulla nostra infrastruttura Kubernetes con l’operatore open source che abbiamo costruito appositamente per questo problema.

Ogni agente ottiene:

  • Autenticazione di default. Autenticazione gateway con cookie firmati, zero porte esposte. Non esiste un’opzione “disabilita autenticazione” perché non dovrebbe esistere.
  • Isolamento di rete. Ogni agente gira nel proprio namespace con regole di uscita negate per default. Nessun movimento laterale, nessun accesso ad altri tenant.
  • Patch di sicurezza automatizzate. Quando esce un CVE, distribuiamo l’aggiornamento su tutti gli agenti. Non dovete scaricare una nuova immagine, testarla, riavviare il container e sperare che nulla si rompa.
  • Limiti alle risorse e controllo dei costi. QoS garantito con limiti su CPU e memoria. Nessun loop incontrollato che prosciuga il vostro budget API alle 3 di notte.
  • Monitoraggio della salute. Probe di liveness e readiness. Se un agente crasha, si riavvia automaticamente. Lo scoprite da una pagina di stato, non dal silenzio.
  • Automazione del browser che funziona. Chromium gira come sidecar dedicato con la propria allocazione di risorse, memoria condivisa configurata correttamente e gestione del ciclo di vita. Nessun OOM kill, nessun processo orfano, nessun conflitto snap.

Jensen Huang ha ragione: OpenClaw è un software trasformativo. Ha ragione che ogni azienda vorrà agenti AI. Ha ragione che la domanda di potenza computazionale sarà enorme.

Ma la potenza computazionale è la parte facile. NVIDIA venderà le GPU. La parte difficile è tutto ciò che sta tra la GPU e un agente funzionante, sicuro e affidabile che non espone le vostre chiavi API su internet.

Quella è la parte che gestiamo noi.

Ottieni il tuo

Se Jensen Huang vi ha convinto che avete bisogno di un agente OpenClaw, aveva ragione. Se state per avviare un VPS da 5 dollari per farne girare uno, fermatevi.

Ottenete un agente gestito che è sicuro di default, si aggiorna automaticamente e funziona su un’infrastruttura costruita appositamente per questo. Il vostro agente dovrebbe leggere manuali di strumenti e lavorare per voi, non starsene su una porta aperta aspettando che qualcuno lo trovi.