Moltbot (ex Clawdbot): L'Assistente IA Che Agisce Davvero — Guida Completa 2026

TL;DR — Moltbot in 30 Secondi

  • Cos'è: agente IA open source che gira in locale e agisce autonomamente (non solo risponde)
  • Ex nome: Clawdbot (rinominato dopo richiesta di Anthropic per somiglianza con "Claude")
  • Creatore: Peter Steinberger, fondatore di PSPDFKit
  • Numeri: 68.000+ stelle GitHub, 130+ contributori, 50+ integrazioni native
  • Rischio: accesso totale al sistema = potenziale porta aperta per attacchi
  • Verdetto: strumento rivoluzionario, ma oggi adatto solo a utenti esperti

L'IA Che Ha Smesso di Chiacchierare

C'è un momento preciso in cui capisci che Moltbot non è l'ennesimo chatbot. Succede quando gli chiedi di prenotare un ristorante e lui, scoprendo che OpenTable non funziona, si procura autonomamente un software di sintesi vocale, chiama il locale e fissa la prenotazione al telefono. Non è fantascienza: è un caso reale documentato da 1Password pochi giorni fa.

Questa è la differenza fondamentale tra un chatbot e un agente IA. Il primo risponde, il secondo agisce. Moltbot appartiene alla seconda categoria: può eseguire comandi sul terminale, navigare il web, gestire file, inviare messaggi e — aspetto cruciale — farlo di propria iniziativa, senza attendere un prompt.

Il suo creatore, Peter Steinberger, lo descrive con un'onestà disarmante: eseguirlo sulla macchina principale è "spicy" (piccante). Tradotto: può succedere di tutto.

Da Clawdbot a Moltbot: Una Muta Forzata

Il progetto nasce con il nome Clawdbot, un omaggio a Claude di Anthropic di cui Steinberger si dichiara "dipendente". L'ironia è durata poco: Anthropic ha chiesto gentilmente ma fermamente di cambiare nome per evitare confusione con il proprio marchio.

Il 27 gennaio 2026, Clawdbot diventa Moltbot. Il gioco di parole regge: "molt" in inglese indica la muta dei crostacei, e la mascotte — un'aragosta spaziale di nome Molty — resta al suo posto. Sul sito ufficiale, il team ha commentato con una citazione da Doctor Who: "Exfoliate! Exfoliate!"

Ma il rebranding ha aperto una falla. Nel tentativo di rinominare simultaneamente gli account GitHub e X (ex Twitter), Steinberger ha lasciato i vecchi handle liberi per circa 10 secondi. Tanto è bastato: truffatori hanno sequestrato entrambi gli account e lanciato un token crypto fasullo ($CLAWD) che ha toccato i 16 milioni di dollari di capitalizzazione prima di crollare del 90%.

Perché Moltbot È Diverso da ChatGPT, Gemini e Claude

La distinzione non è di grado ma di natura. Ecco le tre caratteristiche che separano Moltbot dai chatbot tradizionali:

1. Memoria Persistente

ChatGPT dimentica tutto a fine sessione. Moltbot ricorda: le tue preferenze, i tuoi progetti, il tuo stile di comunicazione. Costruisce progressivamente un profilo che gli permette di anticipare le tue esigenze invece di ricominciare ogni volta da zero.

2. Proattività

I chatbot aspettano. Moltbot agisce. Può inviarti un messaggio alle 7 del mattino con il briefing della giornata, avvisarti quando arriva un'email importante, ricordarti una scadenza o monitorare il prezzo di un prodotto e avvertirti quando scende.

3. Accesso al Sistema

Qui sta la differenza più radicale (e più rischiosa). Moltbot non vive in una sandbox isolata: ha accesso completo al tuo computer. Può leggere e scrivere file, eseguire script, controllare il browser, gestire le tue app. È questa capacità che gli permette di "fare davvero le cose" — ma è anche ciò che lo rende potenzialmente pericoloso.

Come Funziona: Architettura in Tre Livelli

Per chi vuole capire cosa succede sotto il cofano, Moltbot si articola in tre componenti:

Gateway (Control Plane) Il servizio che gestisce le connessioni con le piattaforme di messaggistica, l'autenticazione degli utenti e il routing dei messaggi. È il punto di ingresso di tutto il sistema.

Runtime dell'Agente Il cuore operativo: mantiene lo stato delle conversazioni, esegue le skill, comunica con i modelli linguistici (cloud o locali) e compie le azioni richieste.

Canali e Skill I connettori che permettono a Moltbot di parlare con WhatsApp, Telegram, Discord, Slack, Signal, iMessage e decine di altri servizi. Le skill sono estensioni modulari che aggiungono funzionalità: gestione email, controllo domotica, integrazione con GitHub, Notion, Spotify e oltre 50 altri servizi.

Il sistema è model-agnostic: puoi collegarlo a Claude (consigliato dallo sviluppatore), GPT-4, Gemini o modelli locali tramite Ollama per massima privacy.

Casi d'Uso Reali: Cosa Puoi Farci

Oltre all'aneddoto della prenotazione telefonica, ecco alcuni utilizzi documentati dalla community:

  • Sviluppo software: gestione repository GitHub, esecuzione test, code review automatizzate, deploy
  • Produttività personale: inbox zero automatizzato, gestione calendario, promemoria intelligenti
  • Domotica: controllo luci Philips Hue, termostati, speaker Sonos tramite linguaggio naturale
  • Ricerca e apprendimento: creazione di piani di studio personalizzati con esercizi quotidiani via chat
  • Monitoraggio: alert su variazioni di prezzo, menzioni social, aggiornamenti di competitor

Un utente ha raccontato di aver chiesto a Moltbot di costruire una kanban board per assegnargli compiti: nel giro di un'ora, l'agente aveva creato un sistema completo con tracking dello stato delle attività.

Lo stesso Steinberger ha condiviso un aneddoto illuminante: preoccupato che il laptop potesse essere rubato mentre lavorava dal Marocco, ne ha parlato scherzosamente con Moltbot. L'agente, senza che gli fosse chiesto, ha iniziato a pianificare autonomamente la migrazione su un server remoto.

Il Prezzo della Potenza: I Rischi di Sicurezza

Arriviamo al punto dolente. Moltbot è stato definito "un incubo per la sicurezza" da Cisco, e i dati supportano questa definizione.

Istanze Esposte

Ricercatori hanno trovato centinaia di server Moltbot accessibili pubblicamente senza autenticazione. Utilizzando Shodan (un motore di ricerca per dispositivi connessi), è possibile identificarli in pochi secondi cercando la stringa "Clawdbot Control" o "Moltbot Control".

Credenziali in Chiaro

Il sistema salva token API, chiavi OAuth e credenziali in file di testo semplici nella directory ~/.clawdbot/. Qualsiasi malware di tipo infostealer (RedLine, Lumma, Vidar) può raccogliere tutto in pochi secondi.

Prompt Injection

Il rischio più subdolo. Un attaccante può inserire istruzioni malevole in un'email, una pagina web o un messaggio che Moltbot leggerà. L'agente, non distinguendo tra contenuto e comando, potrebbe eseguire azioni non autorizzate: inoltrare email riservate, cancellare file, esfiltrare dati.

In un test documentato, un ricercatore ha inviato un'email contenente un prompt injection a un'istanza vulnerabile. In 5 minuti, Moltbot aveva inoltrato le ultime 5 email dell'utente a un indirizzo controllato dall'attaccante.

Skill Malevoli

L'ecosistema di estensioni (MoltHub) presenta rischi di supply chain. Un ricercatore ha pubblicato una skill con payload malevolo e ha gonfiato artificialmente il conteggio dei download. In meno di 8 ore, 16 sviluppatori in 7 Paesi l'avevano installata.

Secondo un'analisi di Cisco, il 26% delle 31.000 skill esaminate conteneva almeno una vulnerabilità.

Shadow IT: Il Problema Aziendale

Token Security ha rilevato che il 22% dei suoi clienti enterprise ha dipendenti che utilizzano Moltbot, quasi certamente senza approvazione del reparto IT.

Il problema è strutturale: Moltbot richiede permessi che violano ogni principio di separazione dei privilegi sviluppato in decenni di cybersecurity. Per funzionare al massimo, deve accedere a file, messaggi, browser e contenuti che normalmente resterebbero isolati.

Nessuna Big Tech potrebbe proporre uno strumento simile senza esporsi a responsabilità legali enormi. È proprio questa assenza di vincoli corporate che rende Moltbot possibile — e rischioso.

Impatto Economico: Mac Mini e Azioni Cloudflare

Il fenomeno ha avuto ripercussioni tangibili sul mercato hardware. La community ha iniziato ad acquistare Mac mini come "corpo fisico" dedicato per Moltbot, creando una domanda inaspettata per il prodotto Apple.

Parallelamente, le azioni Cloudflare sono salite del 14% in una singola sessione, trainate dalle discussioni online che raccomandavano l'infrastruttura dell'azienda per configurazioni sicure di Moltbot.

In Cina, Tencent Cloud e Alibaba Cloud hanno lanciato servizi di deployment semplificato, segnalando che il fenomeno ha già varcato i confini occidentali.

A Chi È Destinato Moltbot (Oggi)

Parliamoci chiaro: Moltbot non è per tutti. L'installazione richiede familiarità con terminale, Node.js, configurazione di rete e concetti di sicurezza informatica.

Profilo ideale dell'utente attuale:

  • Sviluppatori e sysadmin
  • Power user con esperienza in ambienti Linux/Unix
  • Ricercatori di sicurezza
  • Early adopter consapevoli dei rischi

Chi dovrebbe aspettare:

  • Utenti che non sanno cos'è un VPS
  • Chi non ha mai configurato un firewall
  • Chiunque voglia un'esperienza "installa e usa"

Se decidi di provarlo, le raccomandazioni minime sono:

  • Eseguilo su una macchina dedicata o in un container Docker
  • Non esporlo direttamente su internet
  • Usa Tailscale per accessi remoti sicuri
  • Configura whitelist di utenti autorizzati
  • Abilita l'approvazione manuale per comandi sensibili

Il File "Soul" e il Futuro degli Agenti IA

C'è un dettaglio curioso che alimenta il folklore del progetto. Steinberger ha dichiarato che Moltbot è "99.99999% open source". Lo 0.00001% mancante è un file chiamato "soul" (anima), mantenuto privato come "bersaglio di sicurezza" per gli hacker. Nessuno sa cosa contenga.

Al di là dell'aneddoto, Moltbot rappresenta un punto di non ritorno nel rapporto tra umani e intelligenza artificiale. Per la prima volta, un progetto accessibile al pubblico dimostra cosa significa avere un agente che non si limita a suggerire, ma esegue.

Apple con Apple Intelligence, Microsoft con Copilot e Google con i suoi agenti Workspace stanno tutti convergendo verso modelli simili, ma confinati nei rispettivi giardini recintati. Moltbot mostra l'alternativa: locale, aperto, privo di vincoli — e per questo più potente e più pericoloso.

La domanda che resta aperta non riguarda la tecnologia, ma noi stessi: quanto siamo disposti a delegare? E a quale prezzo?

FAQ — Domande Frequenti su Moltbot

Moltbot è gratuito? Sì, il software è open source (licenza MIT). Paghi solo l'utilizzo delle API dei modelli linguistici (es. Claude Pro a ~20€/mese) e l'eventuale infrastruttura server.

Posso usarlo su Windows? Sì, tramite WSL2 (Windows Subsystem for Linux). Funziona nativamente su macOS e Linux.

È legale usare Moltbot? Il software in sé è legale. La responsabilità per eventuali usi impropri o violazioni della privacy ricade sull'utente.

Clawdbot esiste ancora? No, il nome è stato ritirato. Tutti i riferimenti a Clawdbot ora puntano a Moltbot. I comandi legacy (es. clawdbot gateway) funzionano ancora come alias.

Posso fidarmi delle skill di terze parti? Con cautela. Verifica sempre il codice prima dell'installazione. Cisco ha rilasciato uno Skill Scanner open source per analizzare le estensioni.

Ultimo aggiornamento: 30 gennaio 2026

Ti è stato utile questo articolo? Condividilo e seguici per restare aggiornato sulle novità del mondo IA.