Moltbot: l’assistente per Mac mini che ha fatto arrabbiare Anthropic

Negli ultimi giorni la rete si è riempita di immagini di Mac mini impilati come se fossero mattoncini, ma Apple non ha nulla a che fare con tutto ciò. All’origine c’è infatti Clawdbot, un progetto open source creato da Peter Steinberger, già creatore di PSPDFKit, un framework per modificare documenti PDF usato in tutto il mondo. Non uno che passa per caso insomma.

Ma cos’è Clowdbot? A detta di molti, l’IA più impressionante mai creata finora. Così impressionante che forse, per una volta, sarebbe davvero bene fermarsi a riflettere su dove vogliamo che la “rivoluzione IA” ci porti, prima di perdere il controllo del treno.

L’idea è semplice alla base di Clawdbot è tanto semplice quanto “già sentita”. Un agente che non risponde tramite una singola interfaccia dedicata, come Gemini, ChatGPT e tutti gli altri, ma attraverso le comuni app di messaggistica, come WhatsApp, Telegram, Discord, Slack, Signal, iMessage o anche Google Chat e Microsoft Teams.

La conversazione resta continua e sincronizzata, come se a rispondere fosse un amico che si muove da un servizio all’altro mantenendo sempre lo stesso profilo. Questo comportamento si basa su tre elementi chiave, che lo rendono molto più umano di qualsiasi altra IA incontrata finora:

• una memoria persistente,
• la capacità di inviare messaggi in modo proattivo,
• e l’accesso completo al sistema su cui gira, ovvero ai nostri dati.

La memoria registra ogni dettaglio menzionato, dalle abitudini alimentari ai nomi dei familiari. La proattività consente all’agente di avvisare, proporre modifiche e suggerire azioni durante la giornata. È lui a scriverci, se lo ritiene opportuno in base alle sue informazioni: una cosa che Google ci ha promesso da anni, ma che Clawdbot sembra riuscire a fare con efficacia impressionante.

E poi, se gli diamo il permsso, diventa un vero tuttofare. L’accesso al dispositivo su cui gira gli permette di inviare email, spostare file, compilare moduli, eseguire script e gestire il browser.

Tutto questo funziona grazie a un agente installato su un computer sempre attivo, da qui i meme sul Mac Mini (un candidato perfetto per l’ottimo rapporto tra prestazioni e prezzo), oppure su un server VPS economico. L’agente utilizza modelli linguistici come quelli di Anthropic, OpenAI o Gemini, mentre un gateway collega le piattaforme di messaggistica all’elaborazione locale.

La comparsa di Clawdbot ha alimentato una scia di immagini ironiche, in particolare quelle dedicate ai Mac mini M4, diventati rapidamente il simbolo del progetto. Online non sono mancati fotomontaggi e paragoni divertiti, come l’esempio riportato qui sopra.

Nel frattempo, però, è arrivata una comunicazione tutt’altro che scherzosa da parte di Anthropic, che ha chiesto un cambio di nome per questioni legate ai marchi registrati. La pronuncia di Claude e Clawdbot è infatti in buona parte simile.

La risposta non si è fatta attendere: Clawdbot è diventato Moltbot. Secondo gli sviluppatori, la nuova denominazione richiama la muta delle aragoste e calza perfettamente con l’identità del progetto, che ha come simbolo proprio un’argosta.

Alla fine è stata un’ulteriore pubblicità, che rischia però di far perdere di vista il rovescio della medaglia, ovvero la quantità enorme di permessi che Moltbot può ottenere da noi e le minacce che da questi derivano, sia interne che esterne.

Sono ormai diversi mesi che lamentiamo la mancanza di una riflessione profonda e comune su quello che deve essere il ruolo dell’intelligenza artificiale nelle nostre vite presenti e future, ma con Moltbot il vaso è letteralmente traboccato, per almeno un paio di ottime ragioni.

1. La sicurezza

La viralità di Clawdbot ha portato molti utenti a installarlo su server poco protetti, con interfacce di controllo esposte pubblicamente. Il motore di ricerca Shodan ha permesso di individuare centinaia di istanze accessibili a chiunque, alcune senza alcuna autenticazione.

L’interfaccia permette di visualizzare chiavi API, token di servizi, cronologie complete e accessi a messaggistica come Signal, Telegram e WhatsApp.

Alcune configurazioni includono permessi di sistema e automatismi che consentono a un estraneo di operare come se fosse il proprietario, con rischi che non richiedono molta immaginazione.

A tutto questo si aggiunge il problema del prompt injection, una vulnerabilità strutturale degli agenti basati su modelli linguistici. Anche con protezioni corrette, un messaggio malevolo può contenere istruzioni che l’assistente interpreta come comandi reali. In un test documentato, una email ha portato l’agente a cancellare intere caselle di posta.

La struttura di Clawdbot richiede infatti permessi che superano tutti i tradizionali principi di separazione dei dati e delle applicazioni. Per funzionare al massimo delle sue capacità (e dopo un po’ che lo si usa la tentazione è forte), Moltbot deve accedere liberamente a file, messaggi, browser e contenuti che normalmente resterebbero isolati. È una scelta funzionale, ma incompatibile con le pratiche di sicurezza sviluppate in decenni di internet.

Questi aspetti spiegano perché Clowdbot non sia arrivato per mano di Google, OpenAI o altre grandi aziende: nessuna di loro potrebbe proporre uno strumento simile senza trovarsi di fronte a un muro di responsabilità legali e tecniche.

Per non parlare delle denunce che fioccherebbero in caso di danni.

2. La dipendenza

Ci siamo lamentati più volte del fatto che l’IA rende pigri, ma con Moltbot siamo probabilmente già passati al livello successivo.

Alcuni utenti riferiscono che, dopo settimane di utilizzo, hanno lasciato pieno controllo decisionale all’agente, con una perdita graduale dell’iniziativa, favorita dalla capacità del bot di integrare informazioni da email, messaggi, posizione e abitudini.

Clowdbot ha inoltre la straordinaria capacità di modificarsi da solo, di creare nuove funzioni, integrare modelli esterni, e superare quindi i suoi limiti iniziali, in (quasi) piena autonomia. 

C’è un bellissimo articolo del collega Roberto Pezzali di DDay, che ha provato per qualche settimana Clowdbot in prima persona, che vi invito a leggere, perché espone benissimo i vantaggi e soprattutto i rischi che un futuro del genere comporta.

È vero che la sua barriera d’ingresso è superiore a quella di un Gemini o ChatGPT, perché richiede una installazione manuale, e anche dei costi in termini di hardware su cui farlo girare, ma spesso è possibile cavarsela con poche decine di euro al mese.

Ma il vero prezzo da pagare è un altro. La nostra libertà, la nostra intimità (tanto più quanto più informazioni daremo a Moltbot), il nostro stesso, povero cervello, sempre più atrofizzato e, non da ultimo, anche un po’ della nostra umanità, del nostro diritto e dovere di commettere errori, di sbagliare, di non ricordarci sempre tutto, di non trovare sempre l’incastro prefetto, di non essere dei robot.

Stiamo esagerando? Forse sì, ma per ora l’entusiasmo ha superato di gran lunga il buon senso, e se per tornare a ragionare ci vuole un po’ di allarmismo, lo accogliamo a braccia aperte.

Conclusione

La conclusione inevitabile è che l’entusiasmo generato da Clawdbot nasce da capacità molto concrete, che finora avevamo davvero solo visto in qualche film di fantascienza, ma è sbagliato approcciarsi alla realtà con lo stesso sguardo della fantasia.

Alla fine restano solo tante domande aperte: quanto è saggio affidare così tanto spazio a un sistema che conosce ogni dettaglio della nostra vita digitale? Lo fareste mai con un altro essere umano? E perché con una IA sì? E siamo sicuri che da tutto questo delegare non derivi un atrofizzare? Sono troppe domande, per fingere non che la risposta non sia importante.