Uma ferramenta de IA com um nome engraçado causou bastante comoção recentemente — incluindo algumas alegações de consciência artificial—, então aqui está uma análise detalhada sobre o OpenClaw.
Lançado em novembro de 2025, o OpenClaw é um agente de inteligência artificial (IA) autônomo e de código aberto, criado para ser executado localmente em seu próprio computador, permitindo-lhe gerenciar tarefas, interagir com aplicativos e ler e gravar arquivos diretamente. Ele atua como um assistente digital pessoal, integrando-se a aplicativos de bate-papo como WhatsApp e Discord para automatizar e-mails, verificar calendários e navegar na internet em busca de informações.
O OpenClaw era anteriormente conhecido como ClawdBot, mas o projeto entrou em conflito com a grande desenvolvedora de IA Anthropic, devido à sua própria ferramenta chamada “Claude”. Em resposta, o desenvolvedor do OpenClaw rapidamente renomeou o projeto para “Moltbot”, o que gerou campanhas de falsificação de identidade por parte de cibercriminosos. O problema com a marca registrada e os abusos que se seguiram prejudicaram a reputação do OpenClaw.
Outro golpe ocorreu quando Hudson Rock publicou um artigo sobre o primeiro caso observado de um infostealer roubando uma configuração completa do OpenClaw de um sistema infectado, efetivamente saqueando a “identidade” de um agente de IA pessoal, em vez de apenas senhas do navegador.
O caso destaca um perigo iminente — e não apenas para o OpenClaw, mas também para outros agentes de IA. Os ladrões de informações estão começando a coletar não apenas credenciais, mas também identidades completas de IA, além de suas “chaves-mestras” criptográficas, transformando um agente comprometido em um ponto de pivô para a invasão completa de contas e a criação de perfis de longo prazo.
Como afirmei anteriormente em um contexto mais amplo, os adversários estão começando a atacar os sistemas de IA no nível da cadeia de suprimentos, contaminando silenciosamente os dados de treinamento e inserindo backdoors que só aparecem em condições específicas. O OpenClaw se encaixa perfeitamente nessa zona de risco emergente: código aberto, em rápida evolução e cada vez mais conectado a caixas de correio, drives na nuvem e fluxos de trabalho empresariais, enquanto seu modelo de segurança ainda está sendo improvisado.
Nesta fase de seu desenvolvimento, tratar o OpenClaw como uma ferramenta de produtividade consolidada é uma ilusão, já que ele se comporta mais como um estagiário excessivamente entusiasmado, com uma natureza aventureira, boa memória e sem compreensão real do que deve permanecer privado.
Pesquisadores e reguladores já documentaram riscos de injeção imediata, envenenamento de logs e instâncias expostas que entregam credenciais ou tokens em texto simples a invasores por meio de e-mails, sites ou logs envenenados que o agente processa diligentemente.
Como usar o OpenClaw com segurança
Para quem está pensando em usar o OpenClaw em produção, o panorama geral é ainda menos animador. O OpenClaw é executado localmente, mas foi projetado para ser ousado: ele pode navegar, executar comandos de shell, ler e gravar arquivos e encadear “habilidades” sem que um humano verifique cada etapa. Permissões mal configuradas, habilidades com privilégios excessivos e uma cultura de “basta dar acesso para que ele possa ajudar” significam que o agente muitas vezes fica no centro de suas contas, tokens e documentos, com muito poucas proteções.
Na verdade, uma funcionária da Meta que trabalha com segurança e alinhamento de IA compartilhou recentemente na plataforma de mídia social X não conseguiu impedir o ClawBot de excluir uma grande parte de sua caixa de entrada de e-mails.
Além disso, a autoridade holandesa de proteção de dados (Autoriteit Persoonsgegevens) alertou as organizações para não implantarem agentes experimentais como o OpenClaw em sistemas que lidam com dados confidenciais ou regulamentados, sinalizando a combinação de acesso local privilegiado, engenharia de segurança imatura e um ecossistema em rápido crescimento de plug-ins de terceiros duvidosos como uma espécie de cavalo de Tróia no terminal.
A Microsoft forneceu uma lista de recomendações nessa área que fazem muito sentido. Elas não são voltadas especificamente para o OpenClaw, mas fornecem uma base conservadora para agentes auto-hospedados e conectados à Internet com credenciais duráveis. (Se essas recomendações parecerem excessivamente técnicas, é porque o uso seguro de um agente de IA com amplo acesso ainda é um processo experimental e técnico.)
- Execute o OpenClaw (ou agentes semelhantes) em uma VM ou contêiner em sandbox em hosts isolados, com saída padrão negada e listas de permissões com escopo restrito.
- Atribua ao tempo de execução suas próprias identidades de serviço não humanas, privilégios mínimos, vida útil curta dos tokens e nenhum acesso direto a segredos de produção ou dados confidenciais.
- Trate a instalação de habilidades/extensões como a introdução de um novo código em um ambiente privilegiado: restrinja registros, valide a proveniência e monitore habilidades raras ou recém-aparecidas.
- Registre e revise periodicamente a memória/estado e o comportamento do agente para alterações duradouras nas instruções, especialmente após a ingestão de conteúdo não confiável ou feeds compartilhados.
- Entenda e prepare-se para o caso de precisar fazer uma limpeza completa: mantenha instantâneos de estado não confidenciais à mão, documente um manual de reconstrução e rotação de credenciais e ensaie-o.
- Execute uma solução antimalware em tempo real atualizada, capaz de detectar ladrões de informações e outros malwares.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
