Os agentes de inteligência artificial autônomos estão se tornando cada vez mais populares. No entanto, junto com os benefícios, também surgem novos riscos de segurança. Um exemplo recente é o crescimento explosivo do projeto OpenClaw, que rapidamente se transformou em um dos casos mais debatidos no universo da cibersegurança.
O projeto, que em poucas semanas acumulou mais de 135 mil estrelas no GitHub, passou de promessa inovadora para protagonista de uma das primeiras grandes crises de segurança envolvendo agentes de IA.
Neste artigo, vamos entender o que é o OpenClaw, quais vulnerabilidades foram descobertas e por que esse tipo de tecnologia representa um novo desafio para organizações e equipes de segurança.
O que é o OpenClaw?
O OpenClaw é um agente de inteligência artificial open source criado pelo desenvolvedor Peter Steinberger.
Inicialmente conhecido como Clawdbot e posteriormente Moltbot (devido a disputas de marca), o projeto ganhou popularidade por oferecer algo além dos assistentes de IA tradicionais.
Diferente de chatbots comuns, o OpenClaw é autônomo e capaz de executar ações reais no sistema do usuário, como:
- Executar comandos no terminal (shell)
- Ler e escrever arquivos
- Navegar na internet
- Enviar e-mails
- Gerenciar calendários
- Interagir com aplicativos e serviços online
O agente roda localmente e pode se conectar a modelos de linguagem como Claude ou GPT.
Os usuários também podem interagir com ele por meio de plataformas de mensagens como:
- Slack
- Telegram
- Discord
- iMessage
Outro recurso poderoso é a memória persistente, que permite ao agente lembrar preferências e informações entre diferentes sessões.
Na prática, isso cria um assistente digital que aprende com o usuário e executa tarefas automaticamente. O problema é que esse nível de autonomia também abre novas portas para ataques.
Uma sequência preocupante de falhas de segurança
Poucas semanas após sua popularização, o OpenClaw começou a ser associado a diversos incidentes de segurança.
Esses problemas variaram desde vulnerabilidades técnicas até distribuição de extensões maliciosas, expondo um novo tipo de risco: agentes de IA com acesso profundo ao sistema operacional e às contas do usuário.
Janeiro de 2026: ataques com skills maliciosas
Entre 27 e 29 de janeiro, pesquisadores identificaram uma campanha maliciosa chamada ClawHavoc.
Nesse ataque, criminosos distribuíram 335 skills maliciosas através do marketplace oficial do OpenClaw chamado ClawHub.
Essas skills utilizavam nomes aparentemente legítimos, como:
- solana-wallet-tracker
No entanto, ao serem instaladas, instruíam o usuário a executar códigos externos que instalavam malware.
Os ataques incluíam:
- keyloggers em sistemas Windows
- o malware Atomic Stealer em computadores macOS
Após investigação, pesquisadores descobriram que 341 das 2.857 skills disponíveis eram maliciosas, representando cerca de 12% de todo o repositório.
Por que isso preocupa empresas
Os problemas técnicos são apenas parte da questão.
O maior risco surge quando funcionários conectam ferramentas de IA pessoais a sistemas corporativos, muitas vezes sem conhecimento da equipe de segurança.
O OpenClaw pode se integrar facilmente com serviços como:
- Google Workspace
- Slack
- e-mails corporativos
- documentos em nuvem
- aplicativos SaaS
Quando conectado a esses sistemas, o agente pode acessar:
- mensagens do Slack
- e-mails corporativos
- documentos na nuvem
- eventos de calendário
- dados de aplicativos integrados
- tokens OAuth que permitem movimentação lateral
E como o OpenClaw possui memória persistente, qualquer informação acessada pode permanecer disponível ao agente em sessões futuras.
Se o agente for comprometido, o invasor herda todo esse acesso.
Na prática, isso cria um novo fenômeno chamado Shadow AI, no qual ferramentas de inteligência artificial são utilizadas dentro da empresa sem controle ou visibilidade da equipe de segurança.
O desafio de detectar agentes de IA
Ferramentas tradicionais de segurança ainda têm dificuldade em identificar agentes de IA como o OpenClaw.
Isso acontece porque:
- soluções de endpoint veem apenas processos em execução
- ferramentas de rede detectam chamadas de API, mas não entendem o comportamento do agente
- sistemas de identidade enxergam permissões OAuth sem considerar o risco de um agente autônomo
Uma das plataformas capazes de detectar essas integrações é a Reco Security Platform, que consegue mapear conexões entre aplicativos SaaS e agentes de IA.
Isso permite que equipes de segurança:
- identifiquem quais usuários conectaram agentes
- verifiquem permissões concedidas
- monitorem comportamentos suspeitos
O futuro dos agentes autônomos
Apesar dos problemas de segurança, projetos como o OpenClaw dificilmente desaparecerão.
A demanda por agentes de IA capazes de executar tarefas automaticamente está crescendo rapidamente.
Mesmo com críticas da comunidade de segurança que já descreveu o projeto como um “pesadelo de segurança” o enorme número de usuários mostra que muitas pessoas estão dispostas a aceitar os riscos em troca de produtividade.
Para as empresas, a prioridade agora é ganhar visibilidade sobre essas ferramentas.
