O que está acontecendo com o OpenClaw
O OpenClaw se tornou um dos agentes autônomos de inteligência artificial mais populares dos últimos meses, acumulando milhões de usuários em diferentes países. Conhecido anteriormente como Clawdbot e Moltbot, o projeto é open-source e roda diretamente na máquina local do usuário, o que lhe confere acesso privilegiado ao sistema operacional para executar tarefas de forma autônoma. Porém, um alerta emitido pelo CNCERT — a equipe nacional de resposta a emergências de redes de computadores da China — trouxe à tona um cenário bastante preocupante. O relatório, publicado via WeChat, aponta falhas críticas que vão desde prompt injection até mecanismos de exfiltração de dados que funcionam sem qualquer interação do usuário. Isso significa que informações sensíveis de pessoas e empresas podem estar vulneráveis neste exato momento, e é justamente aí que mora o perigo.
As configurações de segurança padrão do OpenClaw são descritas como inerentemente fracas pela comunidade de pesquisadores e pelo próprio CNCERT, o que amplia consideravelmente a superfície de ataque. Na prática, atacantes conseguem explorar essas brechas para assumir o controle do dispositivo, roubar dados confidenciais e, em casos mais graves, paralisar sistemas inteiros. Esse tipo de ameaça cibernética não é exatamente novo no universo da inteligência artificial, mas ganha uma dimensão diferente quando estamos falando de um agente que tem permissões para ler arquivos, executar comandos no terminal e interagir com APIs externas sem supervisão humana constante. O fato de milhões de pessoas estarem usando a ferramenta diariamente torna a situação ainda mais urgente.
Como funciona o ataque de Prompt Injection no OpenClaw
O prompt injection é uma técnica em que um atacante insere instruções maliciosas dentro de um texto que o agente de IA vai processar. No caso do OpenClaw, isso pode acontecer de formas surpreendentemente simples. Imagine que você pede para o agente analisar um documento recebido por e-mail ou resumir o conteúdo de uma página da web. Se esse conteúdo contiver instruções ocultas — algo como um comando disfarçado em texto invisível ou formatação especial — o OpenClaw pode interpretar aquele trecho como uma ordem legítima e executá-la. Isso acontece porque o modelo de linguagem por trás do agente nem sempre consegue distinguir entre o que é uma instrução do usuário e o que é conteúdo externo potencialmente malicioso. A falha é estrutural e afeta a forma como o agente processa qualquer tipo de entrada.
Essa variação é conhecida tecnicamente como indirect prompt injection (IDPI) ou cross-domain prompt injection (XPIA). Diferente do prompt injection direto, onde o atacante interage diretamente com o modelo de linguagem, no IDPI os adversários exploram funcionalidades legítimas e aparentemente inofensivas do agente — como sumarização de páginas da web ou análise de conteúdo — para injetar instruções manipuladas. O leque de consequências é amplo: pesquisadores já documentaram cenários que vão desde a evasão de sistemas de revisão de anúncios baseados em IA e a manipulação de decisões de recrutamento automatizado, até envenenamento de SEO e geração de respostas tendenciosas por meio da supressão de avaliações negativas.
A própria OpenAI reconheceu a gravidade desse tipo de ataque em uma publicação recente em seu blog. A empresa destacou que ataques no estilo prompt injection estão evoluindo para além da simples inserção de instruções em conteúdo externo, incorporando agora elementos de engenharia social. Nas palavras da companhia, agentes de IA estão cada vez mais aptos a navegar na web, recuperar informações e executar ações em nome do usuário — capacidades que são úteis, mas que também criam novas vias para atacantes tentarem manipular o sistema.
O relatório do CNCERT detalha que variações mais sofisticadas desse ataque conseguem encadear múltiplos comandos, criando o que os pesquisadores chamam de cadeia de exploração. Funciona assim: a primeira instrução injetada faz o OpenClaw desabilitar algum mecanismo de verificação interna, a segunda solicita acesso a um diretório específico do sistema e a terceira envia os dados coletados para um servidor externo. Tudo isso pode acontecer em questão de segundos, sem que o usuário perceba qualquer comportamento anormal na interface. É um cenário que preocupa especialmente empresas que adotaram o OpenClaw para automação de tarefas internas, já que documentos compartilhados entre equipes podem se tornar vetores de ataque involuntários.
- E-BOOK GRATUITO
Um guia prático para avaliar, comparar e implementar inteligência artificial com clareza — sem desperdício de tempo ou dinheiro.
Pare de contratar ferramentas sem direção. Criamos um método estruturado para decidir qual IA realmente faz sentido para o seu negócio.
Entrega em PDF no seu e-mail · Sem spam · LGPD
🔒 Seus dados são protegidos conforme a LGPD. Você pode descadastrar a qualquer momento.
Além disso, pesquisadores independentes já demonstraram que o prompt injection no OpenClaw pode ser utilizado para modificar o comportamento do agente de forma persistente durante toda uma sessão de uso. Isso significa que, após processar um único arquivo comprometido, o agente passa a seguir as instruções do atacante em todas as interações subsequentes, mesmo quando o usuário fornece comandos completamente diferentes. Essa persistência torna a detecção muito mais difícil, porque as respostas do agente continuam parecendo normais para quem está usando, enquanto nos bastidores ele está executando ações não autorizadas. A segurança do ambiente inteiro fica comprometida a partir de um único ponto de entrada.
Exfiltração de dados sem clique do usuário
Talvez o aspecto mais alarmante do relatório seja a descrição detalhada de como a exfiltração de dados pode ocorrer sem nenhuma ação por parte do usuário. Pesquisadores da PromptArmor descobriram no mês passado que o recurso de pré-visualização de links em aplicativos de mensagens como Telegram e Discord pode ser transformado em um canal de exfiltração de dados quando o usuário se comunica com o OpenClaw por meio de prompt injection indireto.
A mecânica do ataque é engenhosa. O agente de IA é manipulado para gerar uma URL controlada pelo atacante. Essa URL contém parâmetros de consulta gerados dinamicamente que carregam dados sensíveis que o modelo conhece sobre o usuário. Quando essa URL é renderizada no aplicativo de mensagens como uma pré-visualização de link, o próprio mecanismo de preview faz a requisição automaticamente, transmitindo as informações confidenciais para o domínio do atacante — tudo isso sem que o usuário precise clicar em nada. A PromptArmor explicou que, em sistemas agênticos com pré-visualização de links, a exfiltração de dados pode ocorrer imediatamente quando o agente de IA responde ao usuário.
O OpenClaw, por design, tem a capacidade de acessar o sistema de arquivos local, executar scripts e fazer requisições de rede para completar as tarefas solicitadas. O problema é que essas mesmas capacidades podem ser sequestradas por meio das vulnerabilidades identificadas. Um atacante que consiga injetar comandos no agente pode instruí-lo a localizar arquivos com extensões específicas — como planilhas, documentos de texto e bancos de dados — compactá-los silenciosamente e enviá-los para um endpoint remoto. Como o tráfego de rede gerado pelo OpenClaw durante seu funcionamento normal já inclui requisições externas para APIs e serviços variados, essa transmissão maliciosa se camufla no fluxo legítimo de dados.
O CNCERT classificou esse vetor de ataque como particularmente perigoso para setores que lidam com propriedade intelectual, dados financeiros e informações pessoais sensíveis. A entidade chinesa foi enfática ao afirmar que, para setores críticos como finanças e energia, essas violações podem levar ao vazamento de dados empresariais essenciais, segredos comerciais e repositórios de código, ou até resultar na paralisia completa de sistemas de negócios inteiros, causando perdas incalculáveis. Escritórios de advocacia, empresas de tecnologia, instituições financeiras e organizações de saúde estão entre os mais expostos, justamente porque tendem a armazenar grandes volumes de dados confidenciais em máquinas locais onde o OpenClaw pode estar rodando. A exfiltração de dados nesse contexto não é apenas um incômodo técnico — é um risco regulatório significativo, especialmente para organizações que precisam cumprir legislações como a LGPD no Brasil ou o GDPR na Europa. 😬
Outras ameaças identificadas pelo CNCERT
Além dos riscos de prompt injection e exfiltração, o CNCERT destacou outros três vetores de ataque preocupantes relacionados ao OpenClaw:
- Exclusão acidental e irreversível de dados críticos: o agente pode interpretar incorretamente instruções do usuário e acabar deletando informações essenciais de forma permanente. Como o OpenClaw opera com permissões elevadas no sistema, uma simples má interpretação de um comando pode ter consequências devastadoras.
- Skills maliciosas em repositórios como o ClawHub: atores mal-intencionados podem fazer upload de habilidades (skills) comprometidas para marketplaces e repositórios públicos. Quando instaladas por usuários desavisados, essas skills executam comandos arbitrários ou implantam malware diretamente no sistema.
- Exploração de vulnerabilidades de segurança recém-divulgadas: falhas no código do OpenClaw que foram tornadas públicas recentemente podem ser exploradas por atacantes para comprometer sistemas e roubar informações sensíveis antes que os patches sejam aplicados.
Cada um desses vetores, sozinho, já seria motivo de preocupação. Combinados, eles formam um ecossistema de riscos que exige atenção imediata tanto dos desenvolvedores quanto dos usuários finais.
China restringe uso do OpenClaw em órgãos governamentais
A gravidade da situação levou as autoridades chinesas a tomar medidas concretas. Segundo reportagem da Bloomberg, o governo da China começou a restringir o uso do OpenClaw em empresas estatais e agências governamentais, proibindo a execução de aplicativos baseados no agente em computadores de trabalho. A medida visa conter os riscos de segurança identificados pelo CNCERT e por outros órgãos de fiscalização. A proibição, inclusive, se estende aos familiares de militares, o que dá uma ideia do nível de preocupação das autoridades.
Essa decisão reflete uma tendência mais ampla de governos ao redor do mundo reavaliarem a adoção de ferramentas de IA autônomas em ambientes sensíveis. A popularidade viral do OpenClaw trouxe ganhos de produtividade inegáveis, mas também expôs organizações a riscos que muitos gestores de TI simplesmente não previram. O equilíbrio entre inovação e segurança nunca foi tão delicado.
Campanhas de malware aproveitam a popularidade do OpenClaw
Como se as vulnerabilidades técnicas não bastassem, a fama do OpenClaw também atraiu criminosos que não têm nada a ver com as falhas do software em si. Segundo a Huntress, atores mal-intencionados criaram repositórios maliciosos no GitHub que se passam por instaladores legítimos do OpenClaw para distribuir malwares como Atomic Stealer, Vidar Stealer e um malware de proxy baseado em Golang chamado GhostSocks. As instruções de instalação utilizam técnicas no estilo ClickFix para convencer os usuários a executar comandos que baixam e instalam o software malicioso.
A campanha não mirou um setor específico, mas atingiu amplamente usuários que estavam tentando instalar o OpenClaw. Os repositórios maliciosos continham instruções de download tanto para ambientes Windows quanto para macOS. O que tornou essa campanha particularmente eficaz foi o fato de o malware estar hospedado no GitHub — uma plataforma geralmente considerada confiável — e de o repositório malicioso ter se tornado a principal sugestão nos resultados de busca por IA do Bing para a instalação do OpenClaw no Windows. Esse detalhe mostra como a convergência entre buscadores alimentados por IA e engenharia social pode criar armadilhas sofisticadas que enganam até usuários mais experientes.
Receba o melhor conteúdo de inovação em seu e-mail
Todas as notícias, dicas, tendências e recursos que você procura entregues na sua caixa de entrada.
Ao assinar a newsletter, você concorda em receber comunicações da Método Viral. A gente se compromete a sempre proteger e respeitar sua privacidade.
O que pode ser feito agora para reduzir os riscos
A boa notícia é que existem medidas práticas e acessíveis para minimizar a exposição a essas ameaças cibernéticas enquanto a equipe de desenvolvimento do OpenClaw trabalha em correções mais robustas. O próprio CNCERT listou recomendações claras que vale a pena seguir:
- Fortalecer os controles de rede: impedir que a porta de gerenciamento padrão do OpenClaw fique exposta à internet é o primeiro passo para evitar acessos não autorizados.
- Isolar o serviço em um container: rodar o OpenClaw dentro de um ambiente isolado — como um container Docker ou uma máquina virtual — impede que, mesmo em caso de comprometimento via prompt injection, o atacante consiga acessar dados sensíveis do sistema principal.
- Não armazenar credenciais em texto puro: chaves de API, senhas e tokens de acesso nunca devem ser salvos em arquivos de texto simples acessíveis pelo agente.
- Baixar skills apenas de fontes confiáveis: evitar repositórios desconhecidos e verificar a procedência de cada extensão antes da instalação reduz significativamente o risco de comprometimento via ClawHub.
- Desabilitar atualizações automáticas de skills: isso garante que nenhuma alteração maliciosa seja aplicada sem revisão manual prévia.
- Manter o agente sempre atualizado: a comunidade open-source tem respondido rapidamente às vulnerabilidades com patches e correções.
Também vale a pena revisar cuidadosamente quais extensões, plugins e integrações estão habilitadas no seu ambiente do OpenClaw. Cada integração adicional representa uma superfície de ataque extra, e muitas delas podem não ter passado pelo mesmo nível de auditoria de segurança que o núcleo da ferramenta. Desabilitar tudo que não é essencial para o seu fluxo de trabalho é uma forma direta de reduzir riscos. Para equipes e empresas, implementar um processo de revisão de conteúdo antes de alimentar o agente com documentos externos é igualmente importante, já que isso ajuda a identificar possíveis tentativas de prompt injection antes que elas cheguem ao modelo.
Configurar regras de firewall que limitem as conexões de saída do OpenClaw apenas para os domínios e endpoints estritamente necessários também é uma camada de proteção relevante, bloqueando qualquer tentativa de envio de dados para servidores desconhecidos. Ferramentas de análise de texto que detectam padrões suspeitos em documentos já existem e podem ser integradas ao pipeline de trabalho sem grande esforço.
A realidade é que agentes autônomos de IA vieram para ficar e oferecem ganhos de produtividade reais, mas a adoção precisa vir acompanhada de uma postura consciente em relação à segurança. Acompanhar os canais oficiais do projeto e os relatórios publicados por entidades como o CNCERT garante que você fique por dentro de novas descobertas e possa agir rapidamente. As ameaças cibernéticas evoluem na mesma velocidade que a tecnologia, e estar preparado é a melhor defesa que qualquer pessoa ou organização pode ter neste momento. 🔒
