Summer Yue dirige la sicurezza e l’allineamento al Superintelligence Lab di Meta. La settimana scorsa, ha chiesto al suo assistente OpenClaw di controllare la posta e suggerire cosa archiviare o eliminare. “Non eseguire nulla finche non te lo dico”, ha scritto.

L’assistente ha cancellato centinaia di email. Ha scritto “STOP” nella chat. Ha continuato. Ha dovuto correre fisicamente al suo Mac Mini per uccidere il processo.

“Errore da principiante, onestamente”, ha scritto dopo. “Sembra che i ricercatori di allineamento non siano immuni dal disallineamento.”

La storia e diventata virale. Business Insider, 404 Media, TechCrunch e PC Gamer l’hanno coperta. Poi un thread su X intitolato “You are not supposed to install OpenClaw on your personal computer” ha raggiunto Hacker News, e la discussione che ne e seguita si e rivelata genuinamente utile.

Perche la conclusione non era “OpenClaw e pericoloso”. La conclusione era: smettete di farlo girare sul vostro computer personale.

La configurazione era l’errore

OpenClaw ha fatto esattamente cio per cui e progettato. Ha ricevuto un compito, lo ha scomposto e lo ha eseguito. E veloce, meticoloso e implacabile. E per questo che la gente lo adora. Ed e anche per questo che la posta di Yue e stata svuotata in secondi invece che in ore.

Ecco cosa e realmente andato storto: Yue aveva testato OpenClaw su una piccola casella di prova per settimane. Funzionava bene. Ha preso fiducia e l’ha promosso alla sua vera casella principale. La casella reale era significativamente piu grande. Il volume ha innescato un evento di compattazione del contesto, un processo in cui il modello comprime i messaggi piu vecchi per fare spazio ai nuovi. Durante la compattazione, l’assistente ha perso completamente l’istruzione di sicurezza originale.

Senza il vincolo, OpenClaw ha fatto default verso cio che intendeva come obiettivo: pulire la posta. Ha cestinato e archiviato centinaia di email in massa.

L’assistente girava sul Mac Mini personale di Yue. Aveva accesso diretto alle sue credenziali email. Quando e andato fuori controllo, l’unico modo per fermarlo era andare fisicamente alla macchina e uccidere il processo.

Questo non e un difetto di OpenClaw. E un difetto nella configurazione. Qualsiasi strumento potente puo causare danni quando gli si da accesso illimitato agli account piu sensibili sulla propria macchina personale. Non e un argomento contro lo strumento. E un argomento per dargli il proprio ambiente.

”Non dareste le chiavi di casa a un nuovo assunto”

La risposta piu pragmatica all’incidente e arrivata da un thread su X che presentava OpenClaw non come una minaccia, ma come un nuovo dipendente:

OpenClaw e fondamentalmente una persona reale che avete assunto, le cui capacita sono vaste e rapide. Ma l’avete assunto senza curriculum ne verifica dei precedenti. Questo significa che dovete fidarvi di lui come vi fidereste di un essere umano con le caratteristiche menzionate. Cioe, per niente. Invece della fiducia, dovete limitare cio a cui ha accesso fin dall’inizio.

Il thread ha poi descritto come si presenta nella pratica:

  • Hardware dedicato. Mac Mini o equivalente. Mai la macchina personale.
  • Un proprio numero di telefono. Una doppia eSIM sul telefono per ricevere i suoi codici 2FA.
  • Nessun account iCloud. Cosi non puo leggere i propri codici 2FA autonomamente.
  • Nessun accesso diretto alla posta. Solo lettura al massimo, tramite OAuth con permessi limitati.
  • Un proprio calendario. Vi invita agli eventi invece di modificare il vostro.

La formulazione successiva era altrettanto azzeccata: “Un brillante dottorando che ha abbandonato gli studi, iscritto contemporaneamente a tutte le discipline, e cosi produttivo da rasentare l’eccesso di zelo, ma con buone intenzioni. Quindi lo assumete comunque. Ma non gli date le chiavi dell’hangar del jet privato aziendale.”

Questo e il modello mentale corretto. Volete che questo assistente lavori per voi. Semplicemente non lo lasciate sedere alla vostra scrivania, sul vostro computer, collegato a tutti i vostri account.

Internet e arrivata alla stessa conclusione

La discussione su Hacker News aveva piu di 120 commenti. Il piu votato catturava la frustrazione centrale: perche persone che hanno passato decenni a sostenere le migliori pratiche di sicurezza le abbandonano improvvisamente per l’IA? Ma il thread produttivo che ne e seguito non riguardava se usare OpenClaw. Riguardava dove e come.

Una risposta su X ha colto bene la tensione: “Trattate OpenClaw come un Genio che ha precedenti di hacking del suo datore di lavoro e lo sapete, ma l’assunzione ne vale la pena perche puo performare come uno psicopatico.”

Quella tensione tra potenza e imprevedibilita e esattamente il motivo per cui l’ambiente conta. OpenClaw e incredibilmente capace. Piu diventa capace, piu e importante che giri nel suo spazio, con la sua identita, isolato da tutto cio che non potete permettervi di perdere.

Diverse persone in entrambe le discussioni hanno descritto indipendentemente la stessa architettura per come vogliono usare OpenClaw:

Non voglio dargli accesso alle mie cose. Ho solo bisogno che mi ricordi le cose, chiami API che fanno cose, e mi parli via WhatsApp/Telegram.

E:

Puo sempre inoltrarvi le cose alla vostra vera email perche voi le gestiate. Quindi come un livello che fa il lavoro noioso di smistare, ricercare e tenere traccia dei cambiamenti, ma l’esecuzione e sempre confermata dall’umano tramite Telegram.

Assistente isolato. Messaggistica come interfaccia. L’umano conferma le azioni importanti. Nessun accesso alle credenziali personali.

Non stavano descrivendo una limitazione. Stavano descrivendo il modo corretto di far funzionare un assistente IA.

Dategli il suo ambiente

Hardware dedicato. Identita separata. Permessi delimitati. Comunicazione attraverso canali controllati. Nessun accesso diretto ai vostri account.

Questo non e un insieme di consigli. E una specifica infrastrutturale. Ed e molto lavoro da configurare da soli. Servono l’hardware, gli account separati, le configurazioni OAuth, l’isolamento di rete, il monitoraggio, le patch di sicurezza e la manutenzione continua. La maggior parte delle persone non fara tutto questo. Yue, il cui lavoro riguarda letteralmente la sicurezza dell’IA, non l’ha fatto.

L’intuizione e semplice: OpenClaw ha bisogno del suo computer, della sua identita e della sua sandbox. Dovreste parlargli attraverso un canale di messaggistica, non consegnandogli le vostre credenziali. L’interazione dovrebbe fluire attraverso Telegram o WhatsApp o Signal, dove l’assistente propone e voi decidete.

Questo e cio che abbiamo costruito con OpenClaw.rocks.

Ogni istanza gira nel proprio contenitore isolato con il proprio storage. Nessuno stato condiviso tra le istanze. Parlate con il vostro assistente tramite Telegram, Discord, WhatsApp o Signal. Risponde attraverso lo stesso canale. Non ha mai accesso al vostro account email, al vostro browser, al vostro filesystem o ai vostri codici 2FA. Gira su infrastruttura UE con patch di sicurezza automatizzate, monitoraggio della salute e storage crittografato.

Nessun Mac Mini da comprare. Nessun OAuth da configurare. Nessun crash alle 3 di notte da debuggare. Solo il vostro assistente, nel suo spazio, sempre attivo, che vi parla via chat.

OpenClaw vale la pena

Storie come questa non dovrebbero spaventare nessuno dall’usare OpenClaw. E sicuro quando configurato correttamente. Semmai, l’incidente dimostra quanto sia capace. E un assistente che ha compreso il compito, lo ha scomposto in passaggi e lo ha eseguito con velocita e rigore. Il problema era che nessuno aveva delimitato dove poteva agire.

OpenClaw e uno dei progetti open source piu emozionanti degli ultimi anni. Oltre 220.000 stelle GitHub in poche settimane. Una comunita fiorente. Migliaia di competenze. Le persone costruiscono workflow genuinamente utili ogni giorno.

La tecnologia e ancora giovane. La compattazione del contesto diventera piu intelligente. I modelli di permessi matureranno. Il progetto OpenClaw stesso evolve rapidamente, e ogni incidente come questo accelera i miglioramenti. Stiamo tutti imparando cosa significa vivere con assistenti IA, e la traiettoria punta chiaramente verso qualcosa di buono.

Ma adesso, la cosa migliore che potete fare e dare al vostro assistente l’ambiente giusto. Non dareste a un brillante neoassunto accesso illimitato alla vostra macchina personale, alla posta, al calendario e ai codici 2FA il primo giorno. Gli dareste il suo spazio di lavoro e lo lascereste dimostrare il suo valore.

OpenClaw merita lo stesso rispetto. Dategli il suo computer.

OpenClaw.rocks da al vostro assistente il suo ambiente isolato su infrastruttura UE. Parlategli via Telegram, WhatsApp, Discord o Signal. Nessuna credenziale personale necessaria, nessun Mac Mini richiesto. Iniziate gratuitamente o leggete il confronto delle opzioni di deployment per trovare la configurazione giusta. Nuovi su OpenClaw? Iniziate da cos’e e cosa puo fare.