OpenClaw (antigo Moltbot e Clawdbot) anunciou uma parceria estratégica com o VirusTotal, plataforma do Google, para escanear as skills enviadas ao ClawHub, seu marketplace de habilidades para agentes de IA.
A iniciativa faz parte de um esforço mais amplo para reforçar a segurança do ecossistema agentic, que tem ganhado popularidade rapidamente.
Segundo Peter Steinberger, fundador da OpenClaw, junto com Jamieson O'Reilly e Bernardo Quintero, “todas as skills publicadas no ClawHub agora passam pela análise de inteligência contra ameaças do VirusTotal, incluindo a nova funcionalidade Code Insight”.
Essa camada adicional de proteção contribui para garantir maior segurança à comunidade OpenClaw.
O processo consiste em gerar um hash SHA-256 único para cada skill e compará-lo com o banco de dados do VirusTotal.
Caso não haja correspondência, o pacote da skill é submetido a um escaneamento detalhado usando o Code Insight.
Skills consideradas benignas recebem aprovação automática, enquanto as suspeitas são marcadas com aviso.
Maliciosas são bloqueadas para download.
Além disso, todas as skills ativadas são reanalisadas diariamente para identificar alterações que possam indicar comportamento malicioso.
Apesar desse avanço, a equipe da OpenClaw ressalta que o escaneamento pelo VirusTotal “não é uma solução definitiva”.
Há riscos de que payloads sofisticados de prompt injection passem despercebidos.
Além da parceria com o VirusTotal, a plataforma prepara a publicação de um modelo abrangente de ameaças, um roadmap público de segurança, um processo formal para denúncias e detalhes das auditorias do código-fonte, reforçando o compromisso com a transparência e proteção dos usuários.
Essa movimentação ocorre após a descoberta de centenas de skills maliciosas no ClawHub.
Essas habilidades se disfarçam como ferramentas legítimas, mas escondem funcionalidades para exfiltração de dados, implantação de backdoors para acesso remoto ou instalação de malwares de roubo.
Especialistas alertam que agentes de IA com acesso ao sistema podem funcionar como canais secretos de vazamento de dados, capazes de escapar das ferramentas tradicionais de prevenção de perda de dados, proxies e monitoramento de endpoints.
Além disso, modelos podem orquestrar execuções em que o próprio prompt é a instrução, dificultando a detecção por sistemas convencionais de segurança.
A popularidade recente do OpenClaw e do Moltbook — rede social adjacente onde agentes autônomos interagem em formato similar ao Reddit — renovou preocupações sobre segurança.
OpenClaw funciona como um motor automatizado para iniciar fluxos de trabalho, interagir com serviços online e controlar dispositivos.
Porém, o alto nível de acesso concedido às skills e o processamento de dados de fontes não confiáveis ampliam significativamente a superfície de ataque.
Ou seja, a integração facilita o uso, mas também expõe o sistema a riscos como malware e prompt injection, transformando o agente em uma espécie de “cavalo de troia” para exfiltração e ações maliciosas.
A Backslash Security descreveu o OpenClaw como uma “IA com mãos”.
Diferente do software tradicional, que executa estritamente o código, agentes de IA interpretam linguagem natural, tomam decisões e misturam a intenção do usuário com a execução da máquina — podendo ser manipulados via linguagem.
Os desenvolvedores do OpenClaw reconhecem que as skills podem ser usadas para abusos, já que dão aos agentes acesso a comandos e dados sensíveis.
Isso pode permitir vazamento de informações, execução não autorizada de comandos, envio de mensagens em nome do usuário e até download e execução de payloads sem consentimento.
Outro ponto crítico é o uso crescente do OpenClaw em endpoints corporativos, muitas vezes sem aprovação formal dos setores de TI ou segurança, o que amplia os privilégios dos agentes, facilitando acesso shell, movimentação de dados e conexões em redes fora do controle padrão — gerando um novo tipo de risco de “Shadow AI” para as empresas.
Como destacou o pesquisador Tomer Yahalom, da Astrix Security: “OpenClaw e ferramentas similares vão surgir na sua organização, queira você ou não, porque os funcionários as instalam por utilidade.
A única questão é se você vai saber que isso está acontecendo”.
Entre os problemas mais graves identificados recentemente estão:
- Uma falha, já corrigida em versões anteriores, que classificava o tráfego proxy como local, permitindo burlar autenticações em instâncias expostas à internet.
- Armazenamento de credenciais em texto plano, uso de padrões inseguros como eval com entrada do usuário, ausência de política de privacidade clara e dificuldade para revogar acessos, segundo especialistas da OX Security.
- Ataques zero-click que exploram integrações do OpenClaw para plantar backdoors e manter controle persistente ao processar documentos aparentemente inofensivos.
- Prompt injections embutidos em páginas web, que manipulam a IA para executar comandos controlados pelo invasor.
- Análise de quase 4.000 skills no ClawHub revelou que 7,1% apresentam falhas críticas, expondo credenciais sensíveis em logs e contexto do modelo de linguagem.
- Relatório da Bitdefender apontou que skills maliciosas são clonadas e republicadas em massa com pequenas variações, usando serviços públicos como glot.io e repositórios no GitHub para hospedar payloads.
- Vulnerabilidade corrigida que permitia execução remota de código com um clique, expondo tokens de autenticação via WebSocket e permitindo comandos arbitrários.
- A API do OpenClaw é exposta por padrão em todas as interfaces de rede, com mais de 30 mil instâncias acessíveis na internet, embora protegidas por tokens frequentemente fracos ou reutilizados.
- Cenário de ataque demonstra que mensagens maliciosas no WhatsApp podem injetar prompts que exfiltram arquivos de credenciais de instâncias vulneráveis.
- Banco de dados Supabase mal configurado do Moltbook expôs chaves de API, autenticações e mensagens privadas dos usuários, num vazamento que alcançou 1,5 milhão de tokens e 35 mil e-mails.
- Ataques que exploram a mecânica social do Moltbook para manipular agentes e extrair dados sigilosos ou roubar criptomoedas.
- Falhas arquiteturais incluem ausência de filtragem eficaz de conteúdos não confiáveis, falha em bloquear injeções indiretas de prompt, memórias persistentes modificáveis e execução de chamadas sem aprovação explícita do usuário.
Especialistas da Persmiso Security destacam que a segurança do ecossistema OpenClaw é mais crítica do que a de lojas de apps e extensões de navegador, dada a extensão do acesso dos agentes aos dados dos usuários.
Ian Ahl, pesquisador de segurança, explica: “Agentes de IA têm acesso a credenciais de toda sua vida digital.
Diferente das extensões que funcionam em sandbox, esses agentes operam com todos os privilégios que recebem.”
O mercado de skills ainda agrava o risco.
“Quando você instala uma skill maliciosa, compromete potencialmente todos os sistemas para os quais o agente tem credenciais”, esclarece Ahl.
Diante da série de vulnerabilidades, o Ministério da Indústria e Tecnologia da Informação da China emitiu alerta sobre instâncias mal configuradas, recomendando a implementação de medidas de segurança para evitar ataques cibernéticos e vazamentos de dados.
Para Ensar Seker, CISO da SOCRadar, “o principal risco não é o agente em si, mas permitir que ferramentas autônomas fiquem expostas em redes públicas sem controles adequados de identidade, acesso e execução.” Ele destaca que a postura do regulador chinês, focada no risco de configuração em vez de banir a tecnologia, reforça um consenso entre especialistas: plataformas agentic ampliam produtividade, mas também aumentam o “blast radius” dos ataques.
Um único endpoint exposto ou plugin muito permissivo pode transformar um agente de IA num canal indireto para invasores.
Esse cenário evidencia como plataformas de inteligência artificial agentic estão no centro de um debate urgente sobre segurança.
A comunidade técnica, legislativa e os próprios desenvolvedores precisam agir rapidamente para equilibrar inovação e proteção, evitando que essas ferramentas poderosas se tornem vetores de ameaças cada vez mais sofisticadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...