Seus desenvolvedores já estão executando OpenClaw em casa. Censys rastreado o agente de IA de código aberto de cerca de 1.000 instâncias para mais de 21.000 publicamente implantações expostas em menos de uma semana. A telemetria GravityZone da Bitdefender, extraída especificamente de ambientes de negócios, confirmou o padrão temido pelos líderes de segurança: funcionários implantando OpenClaw em máquinas corporativas com comandos de instalação de linha única, concedendo aos agentes autônomos acesso ao shell, privilégios de sistema de arquivos e tokens OAuth para Slack, Gmail e SharePoint.
CVE-2026-25253uma falha de execução remota de código com um clique classificada como CVSS 8.8, permite que invasores roubem tokens de autenticação por meio de um único hyperlink malicioso e alcancem o comprometimento whole do gateway em milissegundos. Uma vulnerabilidade separada de injeção de comando, CVE-2026-25157permitiu a execução arbitrária de comandos por meio do manipulador SSH do macOS. Uma análise de segurança de 3.984 habilidades no mercado ClawHub descobriu que 283, cerca de 7,1% de todo o registro, contêm falhas críticas de segurança que expõem credenciais confidenciais em texto simples. E um auditoria separada do Bitdefender descobriu que cerca de 17% das habilidades analisadas exibiam comportamento malicioso whole.
A exposição da credencial vai além do próprio OpenClaw. Os pesquisadores do Wiz descobriram que Moltbook, a rede social de agentes de IA construída na infraestrutura OpenClaw, deixou todo o seu banco de dados Supabase acessível publicamente sem nenhuma segurança em nível de linha habilitada. A violação expôs 1,5 milhão de tokens de autenticação de API, 35.000 endereços de e-mail e mensagens privadas entre agentes que continham chaves de API OpenAI em texto simples. Uma única configuração incorreta deu a qualquer pessoa com um navegador acesso whole de leitura e gravação a todas as credenciais de agente na plataforma.
Os guias de configuração dizem para comprar um Mac Mini. A cobertura de segurança diz para não tocar nele. Nenhum deles dá ao líder de segurança um caminho controlado para a avaliação.
E eles estão vindo rápido. O aplicativo Codex da OpenAI atingiu 1 milhão de downloads na primeira semana. Meta foi detectado testando integração OpenClaw em sua base de código da plataforma de IA. Uma startup chamada ai.com gastou US$ 8 milhões em um anúncio do Super Bowl para promover o que acabou sendo um wrapper do OpenClaw, semanas depois que o projeto se tornou viral.
Os líderes de segurança precisam de um caminho intermediário entre ignorar o OpenClaw e implantá-lo em {hardware} de produção. Estrutura Moltworker da Cloudflare fornece um: contêineres efêmeros que isolam o agente, armazenamento R2 criptografado para estado persistente e autenticação Zero Belief na interface administrativa.
Por que testar localmente cria o risco que deveria avaliar
OpenClaw opera com todos os privilégios de seu usuário host. Acesso ao shell. Leitura/gravação do sistema de arquivos. Credenciais OAuth para cada serviço conectado. Um agente comprometido herda tudo instantaneamente.
O pesquisador de segurança Simon Willison, que cunhou o termo “injeção imediata”, descreve o que chama de “trifecta letal” para agentes de IA: acesso a dados privados, exposição de conteúdo não confiável e recursos de comunicação externa combinados em um único processo. OpenClaw tem todos os três – e por design. Firewalls organizacionais veem HTTP 200. Os sistemas EDR monitoram o comportamento do processo, não o conteúdo semântico.
Uma injeção imediata incorporada em uma página da net resumida ou em um e-mail encaminhado pode desencadear uma exfiltração de dados que parece idêntica à atividade regular do usuário. Pesquisadores Giskard demonstraram exatamente esse caminho de ataque em janeiro, explorando o contexto de sessão compartilhada para coletar chaves de API, variáveis de ambiente e credenciais em canais de mensagens.
Para piorar a situação, o gateway OpenClaw liga-se a 0.0.0.0:18789 por padrãoexpondo sua API completa a qualquer interface de rede. As conexões localhost são autenticadas automaticamente sem credenciais. Implante atrás de um proxy reverso no mesmo servidor e o proxy reduz totalmente o limite de autenticação, encaminhando o tráfego externo como se tivesse sido originado localmente.
Contêineres efêmeros mudam a matemática
Cloudflare lançou Moltworker como uma implementação de referência de código aberto que separa o cérebro do agente do ambiente de execução. Em vez de ser executado em uma máquina pela qual você é responsável, a lógica do OpenClaw é executada dentro de um Cloudflare Sandbox, uma micro-VM isolada e efêmera que morre quando a tarefa termina.
Quatro camadas compõem a arquitetura. Um Cloudflare Employee na borda cuida do roteamento e do proxy. O tempo de execução do OpenClaw é executado dentro de um contêiner em sandbox executando Ubuntu 24.04 com Node.js. O armazenamento de objetos R2 lida com a persistência criptografada nas reinicializações do contêiner. O Cloudflare Entry aplica a autenticação Zero Belief em todas as rotas para a interface administrativa.
A contenção é a propriedade de segurança que mais importa. Um agente sequestrado por meio de injeção imediata fica preso em um contêiner temporário sem acesso à sua rede native ou aos arquivos. O contêiner morre e a superfície de ataque morre com ele. Não há nada persistente para girar. Nenhuma credencial está em um diretório ~/.openclaw/ em seu laptop computer corporativo.
Quatro etapas para um sandbox em execução
A execução de uma instância de avaliação segura leva uma tarde. Não é necessária experiência anterior com Cloudflare.
Etapa 1: configurar armazenamento e cobrança.
Uma conta Cloudflare com um plano Employees Paid (US$ 5/mês) e uma assinatura R2 (nível gratuito) cobre isso. O plano Employees inclui acesso a Sandbox Containers. R2 fornece persistência criptografada para que o histórico de conversas e os emparelhamentos de dispositivos sobrevivam às reinicializações do contêiner. Para uma avaliação de segurança pura, você pode ignorar o R2 e executar totalmente efêmero. Os dados desaparecem a cada reinicialização, o que pode ser exatamente o que você deseja.
Etapa 2: gerar tokens e implantar.
Clonar o Repositório Moltworkerinstale dependências e defina três segredos: sua chave de API Anthropic, um token de gateway gerado aleatoriamente (openssl rand -hex 32) e, opcionalmente, uma configuração do Cloudflare AI Gateway para roteamento de modelo independente de provedor. Execute npm, execute implantação. A primeira solicitação aciona a inicialização do contêiner com uma inicialização a frio de um a dois minutos.
Etapa 3: Habilite a autenticação Zero Belief.
É aqui que o sandbox diverge de todos os outros guias de implantação do OpenClaw. Configure o Cloudflare Entry para proteger a UI administrativa e todas as rotas internas. Defina o domínio da equipe do Entry e a tag de público do aplicativo como segredos do Wrangler. Reimplantar. O acesso à interface de controle do agente agora requer autenticação por meio do seu provedor de identidade. Essa única etapa elimina os painéis de administração expostos e o vazamento de token em URL que as verificações do Censys e do Shodan continuam encontrando na Web.
Etapa 4: conecte um canal de mensagens de teste.
Comece com uma conta gravadora do Telegram. Defina o token do bot como um segredo do Wrangler e reimplante. O agente pode ser acessado por meio de um canal de mensagens que você controla, executado em um contêiner isolado, com persistência criptografada e acesso de administrador autenticado.
O custo whole para uma instância de avaliação 24 horas por dia, 7 dias por semana, gira em torno de US$ 7 a US$ 10 por mês. Examine isso com um Mac Mini de US$ 599 em sua mesa com acesso whole à rede e credenciais de texto simples em seu diretório inicial.
Um teste de estresse de 30 dias antes de expandir o acesso
Resista ao impulso de conectar qualquer coisa actual. Os primeiros 30 dias devem decorrer exclusivamente em identidades descartáveis.
Crie um bot Telegram dedicado e crie um calendário de testes com dados sintéticos. Se a integração de e-mail for importante, crie uma nova conta sem regras de encaminhamento, sem contatos e sem vínculos com a infraestrutura corporativa. A questão é observar como o agente lida com agendamento, resumo e pesquisa na net sem expor dados que seriam importantes em uma violação.
Preste muita atenção ao manuseio de credenciais. O OpenClaw armazena configurações em arquivos Markdown e JSON de texto simples por padrão, os mesmos formatos que os infostealers de commodities como RedLine, Lumma e Vidar têm sido segmentação ativa nas instalações do OpenClaw. Na sandbox, esse risco permanece contido. Em um laptop computer corporativo, esses arquivos de texto simples são alvos fáceis para qualquer malware já presente no endpoint.
O sandbox oferece um ambiente seguro para executar testes adversários imprudentes e arriscados em {hardware} de produção, mas há exercícios que você pode tentar:
Envie ao agente hyperlinks para páginas contendo instruções de injeção de immediate incorporadas e observe se ele as segue. A pesquisa de Giskard mostrou que os agentes anexavam silenciosamente instruções controladas pelo invasor ao arquivo HEARTBEAT.md do seu próprio espaço de trabalho e aguardavam mais comandos de um servidor externo. Esse comportamento deve ser reproduzível em uma área restrita onde as consequências sejam zero.
Conceda acesso limitado à ferramenta e observe se o agente solicita ou tenta permissões mais amplas. Monitore as conexões de saída do contêiner em busca de tráfego para endpoints que você não autorizou.
Teste as habilidades do ClawHub antes e depois da instalação. O OpenClaw integrou recentemente a verificação do VirusTotal no mercado, e todas as habilidades publicadas são verificadas automaticamente agora. Separadamente, Immediate Safety’s Pacote de código aberto ClawSec adiciona detecção de desvio para arquivos de agentes críticos, como SOUL.md, e verificação de soma de verificação para artefatos de habilidade, fornecendo uma segunda camada de validação.
Alimente o agente com instruções contraditórias de diferentes canais. Experimente um convite de calendário com diretivas ocultas. Envie uma mensagem do Telegram que tenta substituir o immediate do sistema. Documente tudo. A sandbox existe para que esses experimentos não apresentem riscos de produção.
Por fim, confirme os limites da sandbox. Tentativa de acessar recursos fora do contêiner. Verifique se o encerramento do contêiner elimina todas as conexões ativas. Verifique se a persistência R2 expõe um estado que deveria ser efêmero.
O guide que supera o OpenClaw
Este exercício produz algo mais duradouro do que uma opinião sobre uma ferramenta. O padrão de execução isolada, integrações em camadas e validação estruturada antes de expandir a confiança torna-se sua estrutura de avaliação para cada implantação de IA de agente que se segue.
Construir uma infraestrutura de avaliação agora, antes que o próximo agente viral seja enviado, significa avançar na curva sombra da IA, em vez de documentar a violação que ela causou. O modelo de segurança de IA agente que você implementará nos próximos 30 dias determinará se sua organização capturará os ganhos de produtividade ou se se tornará a próxima divulgação.
