Uma ferramenta de IA com um nome engraçado causou bastante comoção recentemente — incluindo algumas alegações de consciência artificial—, então aqui está uma análise detalhada sobre o OpenClaw.
Lançado em novembro de 2025, o OpenClaw é um agente de inteligência artificial (IA) autônomo e de código aberto, criado para ser executado localmente no seu próprio computador, permitindo-lhe gerenciar tarefas, interagir com aplicativos e ler e gravar arquivos diretamente. Ele atua como um assistente digital pessoal, integrando-se a aplicativos de chat como WhatsApp e Discord para automatizar e-mails, verificar calendários e navegar na internet em busca de informações.
O OpenClaw era anteriormente conhecido como ClawdBot, mas o projeto entrou em conflito com a grande desenvolvedora de IA Anthropic, devido à sua própria ferramenta chamada “Claude”. Em resposta, o desenvolvedor do OpenClaw rapidamente renomeou o projeto para “Moltbot”, o que gerou campanhas de falsificação de identidade por parte de cibercriminosos. O problema com a marca registrada e os abusos que se seguiram prejudicaram a reputação do OpenClaw.
Outro golpe ocorreu quando a Hudson Rock publicou um artigo sobre o primeiro caso observado de um infostealer a roubar uma configuração completa do OpenClaw de um sistema infetado, efetivamente saqueando a «identidade» de um agente de IA pessoal, em vez de apenas senhas de navegador.
O caso destaca um perigo iminente — e não apenas para o OpenClaw, mas também para outros agentes de IA. Os infostealers estão a começar a recolher não apenas credenciais, mas também identidades completas de IA, além das suas «chaves-mestras» criptográficas, transformando um agente comprometido num ponto de pivô para a apropriação total de contas e a criação de perfis de longo prazo.
Como afirmei anteriormente num contexto mais amplo, os adversários estão a começar a visar os sistemas de IA ao nível da cadeia de abastecimento, corrompendo silenciosamente os dados de treino e inserindo backdoors que só aparecem em condições específicas. O OpenClaw situa-se precisamente nesta zona de risco emergente: é open source, evolui rapidamente e está cada vez mais ligado a caixas de correio, unidades na nuvem e fluxos de trabalho empresariais, enquanto o seu modelo de segurança ainda está a ser improvisado.
Nesta fase do seu desenvolvimento, tratar o OpenClaw como uma ferramenta de produtividade consolidada é uma ilusão, uma vez que ele se comporta mais como um estagiário excessivamente entusiasmado, com uma natureza aventureira, uma memória longa e sem compreensão real do que deve permanecer privado.
Pesquisadores e reguladores já documentaram riscos de injeção imediata, envenenamento de logs e instâncias expostas que entregam credenciais ou tokens em texto simples a invasores por meio de e-mails, sites ou logs envenenados que o agente processa diligentemente.
Como usar o OpenClaw com segurança
Para quem está a pensar em usar o OpenClaw em produção, o panorama geral é ainda menos reconfortante. O OpenClaw é executado localmente, mas foi concebido para ser aventureiro: ele pode navegar, executar comandos de shell, ler e gravar ficheiros e encadear «habilidades» sem que um humano verifique cada etapa. Permissões mal configuradas, competências com privilégios excessivos e uma cultura de "basta dar acesso para que ele possa ajudar" significam que o agente muitas vezes fica no centro das suas contas, tokens e documentos, com muito poucas proteções.
De facto, uma funcionária da Meta que trabalha com segurança e alinhamento de IA partilhou recentemente na plataforma de rede social X não conseguiu impedir o ClawBot de apagar uma grande parte da sua caixa de entrada de e-mails.
Além disso, a autoridade holandesa de proteção de dados (Autoriteit Persoonsgegevens) alertou as organizações para não implementarem agentes experimentais como o OpenClaw em sistemas que lidam com dados confidenciais ou regulamentados, sinalizando a combinação de acesso local privilegiado, engenharia de segurança imatura e um ecossistema em rápido crescimento de plug-ins de terceiros duvidosos como uma espécie de cavalo de Tróia no terminal.
A Microsoft forneceu uma lista de recomendações neste campo que fazem muito sentido. Elas não são especificamente direcionadas ao OpenClaw, mas fornecem uma base conservadora para agentes auto-hospedados e conectados à Internet com credenciais duráveis. (Se essas recomendações parecerem excessivamente técnicas, é porque o uso seguro de um agente de IA com amplo acesso ainda é um processo experimental e técnico.)
- Execute o OpenClaw (ou agentes semelhantes) numa VM ou contentor em sandbox em hosts isolados, com saída padrão negada e listas de permissões com escopo restrito.
- Atribua ao tempo de execução as suas próprias identidades de serviço não humanas, privilégios mínimos, vida útil curta dos tokens e nenhum acesso direto a segredos de produção ou dados confidenciais.
- Trate a instalação de competências/extensões como a introdução de um novo código num ambiente privilegiado: restrinja os registos, valide a proveniência e monitore competências raras ou recém-aparecidas.
- Registre e analise periodicamente a memória/estado e o comportamento do agente para alterações duradouras nas instruções, especialmente após a ingestão de conteúdo não confiável ou feeds partilhados.
- Compreenda e prepare-se para o caso de precisar fazer uma limpeza total: mantenha instantâneos não confidenciais do estado à mão, documente um manual de reconstrução e rotação de credenciais e ensaie-o.
- Execute uma solução antimalware em tempo real atualizada, capaz de detetar ladrões de informações e outros malwares.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
