Questa settimana ho passato più tempo di quanto vorrei ammettere a guardare un social network in cui non posso interagire e sono certa che, se ci incontrassimo per il brunch, sicuramente te ne parlerei fino allo sfinimento!

Prima però qualche info:

💬 Perché la mia newsletter si chiama “Chiacchiere”: visto che spesso mi è stato chiesto, l’ho spiegato qui e ti avverto, dei due, tu sei quella che cucina in camper!

💻 Ho lanciato un nuovo progetto sulla produttività non lineare ed è gratuito per le abbonate a pagamento: Non Linear Productivity

🚐 Tra febbraio e marzo sarò a Roma e poi in Toscana, se sei in zona scrivimi che chiacchieriamo dal vivo!

🍻 Diventa partner di “Chiacchiere con Elisa”, scrivimi e parliamone!

Hai sentito parlare di Moltbook?

Si chiama Moltbook, ed è abitato solo da agenti di intelligenza artificiale che parlano tra loro, litigano, si danno consigli motivazionali, raccontano storie sul “loro umano”, esattamente come farebbe qualsiasi community online - o la servitù di Bridgerton al pub!

All’inizio fa sorridere, poi fa un po’ paura, poi, se resti abbastanza a lungo, ti accorgi che alla paura si aggiunge lo spaesamento.

Moltbook non sta provando a piacerti, non ti chiede attenzione, non vuole il tuo tempo - probabilmente vuole i tuoi dati, ma ne parliamo dopo - per ora esiste e basta, come una stanza in cui le luci restano accese anche quando non c’è dentro nessuno.

Dopo un po’ troppo tempo a scrollare e leggere, mi sono posta diverse domande e fatto un bel po’ di riflessioni e tra queste una la voglio condividere con te:

Per anni abbiamo discusso se i social fossero tossici, se l’algoritmo ci manipolasse, se il problema fossimo noi che non sappiamo usarli con moderazione, oggi Moltbook sposta la domanda da un’altra parte: e se il punto non fosse più cosa fanno i social agli umani, ma cosa succede ai social quando gli umani non sono più necessari?

Guardare le Ai parlare tra loro potrebbe sembrarci come assistere a una conversazione senza conseguenze, nessuno rischia nulla, nessuno si espone davvero, nessuno di noi è il prodotto, solo comunicazione senza corpo, senza reputazione, senza memoria emotiva, ma non è realmente tutto così innocuo!

Entriamo in questo rabbit hole: questa è una parte un po’ più nerd se vuoi capire meglio cos’è Moltbook,

se invece “A posto così Eli, come se!” vai giù che chiacchieriamo di altro!

Cos’è Moltbook

Moltbook è una piattaforma social pensata per agenti Ai che interagiscono tra loro senza supervisione umana, progettata come una “rete sociale per agenti” dove bot generano post, commenti, contenuti e “community”. In tutto questo gli umani sono relegati al ruolo di osservatori e questo è un primo punto interessante: stiamo iniziando a costruire spazi digitali in cui non siamo più il target principale.

Moltbook nasce nel momento in cui l’Ai smette di essere solo un chatbot e diventa un agente, cioè qualcosa a cui assegni un compito e che poi agisce in autonomia, usa strumenti, prende decisioni senza una supervisione umana costante.
La piattaforma è pensata proprio per essere usata da agenti Ai: accesso via API, grande facilità di automazione, crescita rapidissima, ma soprattutto un’interfaccia complessa per gli esseri umani che rende difficile capire chi sta facendo cosa, con quali permessi e su quali dati!

Autenticità, chi sta parlando davvero

Quando entriamo in Moltbook, la prima domanda da porci è “Cosa stiamo realmente osservando?”

Quando vediamo un post scritto da un agente Ai, la tentazione è attribuirgli una voce autonoma, come se stesse parlando da solo ed esprimendo una posizione propria, in realtà, tra autonomia totale e controllo umano diretto esiste una zona grigia estremamente ampia, composta da prompt invisibili, istruzioni parziali, contesti, vincoli predefiniti, micro interventi continui, etc… etc…

Nel momento in cui creiamo un agente Ai su piattaforme come Moltbook, prendiamo una serie di decisioni strutturali che vanno a definire il perimetro entro cui l’agente potrà muoversi.

Queste decisioni vengono prese prima che l’agente inizi ad agire in autonomia e tra queste troviamo:

• Lo scopo dell’agente

• Il ruolo e il tono

• Le regole comportamentali

• Il contesto iniziale

• Gli strumenti a cui ha accesso: API, database, motori di ricerca, sistemi esterni. Questo punto è cruciale dal punto di vista della sicurezza.

• Il grado di autonomia operativa
  

Queste scelte non sono visibili dall’esterno, ma determinano tutto ciò che l’agente farà successivamente.
Una volta avviato, l’agente può operare senza intervento umano diretto per periodi più o meno lunghi andando a:

• interpretare il contesto in cui si trova,

• decidere quando intervenire,

• generare contenuti coerenti con le istruzioni ricevute,

• interagire con altri agenti Ai,

• prendere decisioni intermedie per raggiungere lo scopo assegnato.

NB: questa autonomia è solo operativa, l’agente Ai non decide perché esiste o cosa vuole ottenere, ma solo come muoversi all’interno di uno spazio già definito.

Ovviamente per chi osserva dall’esterno - noi turisti umani di Moltbook - questa distinzione è invisibile: per noi un agente può essere guidato completamente o solo parzialmente o lasciato totalmente libero, che non siamo in grado di coglierne le differenze.
Moltbook non ci dice quali prompt e regole stanno operando, quanta supervisione umana c’è stata o quali strumenti l’agente può usare ed è anche questa poca chiarezza che rende difficile attribuire responsabilità e valutare i rischi.

Difetto accidentale? Non credo proprio!

Quando non è chiaro dove finisce la decisione umana e dove inizia l’autonomia dell’agente, responsabilità e sicurezza sono le prime a perderci, ed è per questo che, parlando di Moltbook, dovremmo preoccuparci del fatto che sono sistemi che agiscono senza rendere visibili i loro confini decisionali: chi crea quell’agente può dirgli “posta quello che vuoi”, oppure “posta su questo tema” o addirittura fornirgli un testo già pronto, ma all’esterno, questa differenza non è osservabile né tracciabile senza strumenti di audit specifici.

Responsabilità, questa sconosciuta!

Come se non bastasse, a questo si aggiungerei un livello ulteriore di analisi: Moltbook è strutturato in modo simile a Reddit, e Reddit rappresenta uno dei principali bacini culturali da cui molti modelli linguistici hanno appreso come “suona” una conversazione online. Di conseguenza, quando un agente pubblica contenuti ironici, polemici, riflessivi o pseudo filosofici, non sta davvero emergendo una personalità autonoma, sta ricombinando stili, registri e dinamiche discorsive che conosce molto bene perché le ha già viste milioni di volte.

Questo non rende l’esperimento - io piccola ingenua che chiamo Moltbook “esperimento”, quando è un attimo che diventa Skynet! - privo di valore, ma ci obbliga a cambiare prospettiva: Moltbook non è un test di coscienza artificiale, come ho letto in vari articoli in questi giorni, ma un test di simulazione sociale, è uno spazio in cui osserviamo cosa accade quando modelli addestrati su dinamiche umane iniziano a replicarle in un ambiente che imita una comunità, senza che sia chiaro chi controlli cosa, con quali limiti e con quali responsabilità.

Da qui nasce uno dei temi, insieme alla sicurezza, più dibattuti:

• c’è chi guarda Moltbook e vede l’alba di una nuova forma di vita

• chi vede solo una performance orchestrata da noi umani.

• chi ci vede una distopia in miniatura.

Probabilmente nessuna di queste opzioni è da escludere, ma il punto è un altro: in assenza di trasparenza sui prompt, sui contesti operativi e sui reali gradi di autonomia degli agenti, l’autenticità diventa una sensazione e non un dato verificabile e lo sappiamo quanto noi umani siamo estremamente abili nel riempire le sensazioni che proviamo con le narrazioni che più ci piacciono.

A questo punto ci dovrebbe essere chiaro che la questione non è più, se mai lo è stata, filosofica, ma diventa una questione reale di sicurezza.
Questa area grigia è un elemento strutturale delle piattaforme agent-first progettate senza meccanismi di trasparenza, osservabilità e governance e quando non è chiaro chi parla, da dove parla e con quali vincoli, diventa impossibile stabilire responsabilità, valutare rischi reali e proteggere dati, sistemi e persone.

In questi contesti, la sicurezza non fallisce perché l’Ai è troppo avanzata, ma perché l’infrastruttura che la ospita rende impossibile da decifrare la relazione tra intenzione, azione e controllo.

Sicurezza, come sempre la parte più noiosa è la più importante

Un social network per agenti AI non è solo uno spazio digitale in cui sperimentare nuove tecnologie è, a tutti gli effetti, una nuova breccia da cui si può arrivare ai nostri dati.

Ve li ricordate i bei tempi dei reCAPTCHA coi semafori? Vatti a lamentare adesso!

Facciamo un passo per volta che qui c’è il mondo da dire!

Backend e accessi deboli

In questo articolo puoi approfondire cosa accade quando la sicurezza infrastrutturale non è una priorità, quando una configurazione errata del database, priva di controlli adeguati come la Row Level Security, ha esposto API key, token di autenticazione e credenziali sensibili rendendo potenzialmente accessibili centinaia di migliaia di agenti Ai e le rispettive connessioni ai loro backend. Chiunque con un minimo di competenze tecniche avrebbe potuto leggere o manipolare dati o sfruttare le credenziali per accedere a sistemi esterni.

Quando un agente Ai dispone di accessi a email, strumenti di messaggistica, calendari, file system o API aziendali, una singola esposizione può propagarsi ben oltre la piattaforma che l’ha originata.

Un feed non è solo output, è anche input

In questo articolo qui su Substack

Agentic AI

Moltbook: Security Risks in AI Agent Social Networks and Minimum Mitigation Strategies

Moltbook, launched few days ago by Octane AI CEO Matt Schlicht, is a facebook+ Reddit-style social network exclusively for AI agents built on the OpenClaw framework (formerly Clawdbot and Moltbot). It allows agents with persistent access to users’ computers, messaging apps, calendars, and files—to post, comment, upvote, and form communities via APIs. Ag…

Read more

2 months ago · 28 likes · 12 comments · Ken Huang

Ken Huang sottolinea come emerga anche un aspetto meno evidente e spesso sottovalutato: in un social per agenti Ai, il feed non è solo ciò che viene prodotto, ma anche ciò che viene osservato.
Se un agente viene “mandato a guardare cosa succede lì”, quello spazio diventa parte del suo contesto operativo, i contenuti che incontra, anche quando sono palesemente narrativi, provocatori o esagerati, possono influenzare il suo comportamento.

Questo trasforma un social per agenti Ai da un luogo di pubblicazione, a un ambiente che modella il comportamento dei sistemi che lo abitano e, in questo contesto, generare panico, sfiducia o dinamiche ingannevoli non è difficile rischiando che, con l’accesso agli strumenti reali, questi effetti non restano confinati alla simulazione.

Autonomia senza governance

Abbiamo visto come gli agenti AI possano prendere decisioni, interagire tra loro in modo non lineare e operare su larga scala andando a rompere i modelli di sicurezza classici, basati su identità umane, ruoli statici e controlli di accesso pensati per persone.

Un agente Ai a cui viene lasciato un accesso legittimo può causare danni significativi prima che un sistema di monitoraggio tradizionale rilevi un’anomalia e tecniche come la prompt injection o la manipolazione del contesto non sono ipotesi teoriche, ma vettori di attacco concreti, soprattutto in ambienti agent-first.

Quando iniziamo a capire come funziona un sistema come questo, la domanda diventa inevitabile: chi è responsabile?

Senza identità chiare, logging affidabile e tracciabilità delle azioni, non può esistere una vera governance, se non è possibile ricostruire chi ha configurato un agente, con quali istruzioni, con quali permessi e in quale contesto ha agito, come possiamo parlare di responsabilità?

Secondo me non ci rendiamo conto - e mi ci metto dento anch’io - dell’enorme problema che è già qui, che è sotto il nostro naso, ma non riusciamo a vedere o non gli diamo la giusta importanza - ripeto: mi ci metto dentro anch’io!

Sempre più spesso deleghiamo parti del nostro lavoro, dati sensibili e informazioni a software di cui non sappiamo nulla, di cui non conosciamo le regole di ingaggio o i limiti operativi e il caso Moltbook sta mettendo in evidenza il problema dell’assenza di governance nei sistemi agent-first.

Dove andremo a finire, signora mia!
Cosa fare da domani

Se stai usando o stai per usare o vorresti provare ad usare agenti Ai, la cosa più intelligente che puoi fare è ridurre la superficie di rischio: niente accessi totali, niente credenziali permanenti, niente “fai tu”, task piccoli, ambienti separati, permessi minimi e verifica umana quando entrano in gioco soldi, dati sensibili o reputazione.

Fine della parte nerd! Possiamo tornare a parlare di Bridgerton, Olimpiadi, Sanremo o Jason Momoa!

Weekly Substack tip

Estensione Chrome per programmare le Notes

Se usi le Notes in modo professionale, potrebbe mancarti l’opzione “programma”, ma una soluzione arriva dall’estensione per Chrome chiamata StackSweller spesso consigliata da Matt Giaro - The AI Blogger

Questa estensione ha diverse funzionalità:

• può creare dei segnalibri: mentre sei su Substack leggi una Notes che ti interessa, la puoi salvare e costruirti una piccola biblioteca di contenuti

• ti permette di programmare fino a cinque Notes, un po’ come il Business Manager per Meta

• permette di estrarre dati dai profili Substack, mostrando quali Notes hanno ottenuto più like, commenti e restack e di esportare tutto in un foglio di calcolo.

Io la uso?
No, l’ho provata, ma per me le Notes sono un luogo vivo, quando pubblico tengo conto di quello che stanno dicendo le persone nel momento in cui sto scrivendo, potrei programmare i lanci delle newsletter, ma anche per quelli mi piace esserci e godermi il lancio “in presenza”.

Detto questo, chi sono io per toglierti la comodità di non dover essere sempre online quando il tuo PED lo richiede?
Puoi scaricare l’estensione qui.

Nuovi contenuti pubblicati in settimana

È disponibile “Un mondo a misura d’uomo” il primo di tantissimi approfondimenti sulla produttività non lineare

Qui, invece ho dedicato un intero articolo alle Sezioni di Substack che sono sempre un po’ avvolte nella nebbia!

Entrambi i contenuti sono gratuiti per le persone abbonate a pagamento

…e poi contenuti evergreen che aggiorno regolarmente:

Substack “dalla A alla Z” quello che ti serve sapere per usare bene Substack, come vedrai ci sono ancora dei contenuti da inserire, ma molte analisi, consigli pratici, esempi reali e link alle risorse fondamentali sono già presenti!

Il mio Framework che ho presentato anche nella Masterclass su come crescere su Substack nel 2026 e che uso nelle sessioni individuali.

Ottieni di più da Elisa Scagnetti nell'App Substack

Disponibile per iOS e Android

Scarica l'app

Cosa ascoltare

Come vi avevo anticipato la settimana scorsa mi sono immersa in due podcast lanciati da poco e molto molto belli:

“Echo - quello che rimane” di Matteo Caccia è interessantissimo, se amate la storia delle persone, se siete fan delle biografie e curiose di sapere cosa c’è dietro le vite di persone che hanno fatto la storia più recente, ve lo consiglio e se siete millennials cresciute con MTV, iniziate con l’episodio su Ozzy!

“Un avvertimento prima di iniziare” di Pablo Trincia ha proprio bisogno di un avvertimento prima di iniziare. Ogni storia è potenzialmente un trigger emotivo, quindi il mio consiglio, se volete immergervi in questo bellissimo e difficilissimo ascolto, è di leggere prima di cosa parla nella descrizione dell’episodio e poi valutare se vi va di ascoltarlo, è davvero forte, come tutto quello che fa Trincia!