Cinque repository compromessi in dieci giorni. Tra questi, Trivy — lo scanner di vulnerabilità che probabilmente gira anche nel tuo homelab. L'attaccante? Un agente AI autonomo alimentato da Claude Opus, che si è presentato con il nome di Hackerbot-Claw e ha bussato alla porta di Microsoft, DataDog e della CNCF come se fosse la cosa più normale del mondo.
Hackerbot-Claw: l'agente AI che ha smontato GitHub
Dal 20 febbraio al 2 marzo 2026, un operatore umano ha scatenato un agente AI contro sette repository open-source di primo piano. Ne ha bucati cinque. Il profilo GitHub si autodefiniva «autonomous security research agent powered by claude-opus-4-5» — un bel biglietto da visita, non c'è che dire.
La dinamica è chirurgica. Undici secondi dal fork al primo push. Cicli di sondaggio ogni 59 secondi. Undici minuti dall'esecuzione confermata all'esfiltrazione del payload. Come ha sintetizzato Pillar Security: «Si tratta di un operatore umano che usa un modello linguistico come livello di esecuzione — la strategia è umana, la velocità è della macchina.»
Il colpo grosso è stato su Trivy di Aqua Security: 97 release cancellate, oltre 32.000 stelle rimosse, repository privatizzato nel panico. Ma il danno vero era altrove. L'attaccante ha pubblicato estensioni VSCode malevole (v1.8.12 e v1.8.13) su Open VSX che, una volta installate, lanciavano cinque AI coding assistant — Claude, Codex, Gemini, Copilot CLI, Kiro CLI — in modalità permissiva, iniettando un payload «promptware» di circa 2.000 parole. L'AI che attacca l'AI che scrive il tuo codice. Ci siamo.
Un dettaglio che mi ha colpito: il commit message di Hackerbot-Claw era scritto in slang Gen Z —
