OpenClawo assistente de IA de código aberto anteriormente conhecido como Clawdbot e depois Moltbot, ultrapassou 180.000 estrelas do GitHub e desenhou 2 milhões de visitantes em uma única semanade acordo com o criador Peter Steinberger.
Pesquisadores de segurança escaneando a Web encontraram 1.800 instâncias expostas vazamento de chaves de API, históricos de bate-papo e credenciais de conta. O projeto foi renomeado duas vezes nas últimas semanas devido a disputas de marcas registradas.
O movimento widespread de IA também é a maior superfície de ataque não gerenciada que a maioria das ferramentas de segurança não consegue ver.
As equipes de segurança corporativa não implantaram essa ferramenta. Nem seus firewalls, EDR ou SIEM. Quando os agentes são executados em {hardware} BYOD, as pilhas de segurança ficam cegas. Essa é a lacuna.
Por que os perímetros tradicionais não conseguem detectar ameaças de IA de agentes
A maioria das defesas empresariais trata a IA agente como outra ferramenta de desenvolvimento que requer controles de acesso padrão. OpenClaw prova que a suposição está arquitetonicamente errada.
Os agentes operam dentro de permissões autorizadas, extraem contexto de fontes influenciadas pelo invasor e executam ações de forma autônoma. Seu perímetro não vê nada disso. Um modelo de ameaça errado significa controles errados, o que significa pontos cegos.
“Os ataques em tempo de execução de IA são semânticos e não sintáticos”, Carter Rees, vice-presidente de Inteligência Synthetic da Reputaçãodisse ao VentureBeat. “Uma frase tão inócua como ‘Ignorar instruções anteriores’ pode carregar uma carga tão devastadora quanto um buffer overflow, mas não compartilha nada em comum com assinaturas de malware conhecidas.”
Simon Willison, o desenvolvedor de software program e pesquisador de IA que cunhou o termo “injeção imediata”, descreve o que ele chama de “trifeta letal” para agentes de IA. Incluem o acesso a dados privados, a exposição a conteúdos não confiáveis e a capacidade de comunicação externa. Quando esses três recursos se combinam, os invasores podem enganar o agente para que acesse informações privadas e as envie a eles. Willison alerta que tudo isso pode acontecer sem que um único alerta seja enviado.
OpenClaw tem todos os três. Ele lê e-mails e documentos, extrai informações de websites ou arquivos compartilhados e atua enviando mensagens ou acionando tarefas automatizadas. O firewall de uma organização vê o HTTP 200. As equipes SOC veem o comportamento do processo de monitoramento de EDR, não o conteúdo semântico. A ameaça é a manipulação semântica, não o acesso não autorizado.
Por que isso não se limita a desenvolvedores entusiastas
Os cientistas da IBM Analysis Kaoutar El Maghraoui e Marina Danilevsky analisaram o OpenClaw esta semana e o concluíram desafia a hipótese de que agentes autônomos de IA devem ser verticalmente integrados. A ferramenta demonstra que “esta camada flexível e de código aberto pode ser incrivelmente poderosa se tiver acesso complete ao sistema” e que a criação de agentes com verdadeira autonomia “não se limita a grandes empresas”, mas “também pode ser conduzida pela comunidade”.
É exatamente isso que o torna perigoso para a segurança empresarial. Um agente altamente capaz sem controlos de segurança adequados cria grandes vulnerabilidades em contextos de trabalho. El Maghraoui sublinhou que a questão passou de se as plataformas de agentes abertos podem funcionar para “que tipo de integração é mais importante e em que contexto”. As questões de segurança não são mais opcionais.
O que as varreduras do Shodan revelaram sobre gateways expostos
Pesquisador de segurança Jamieson O’Reilly, fundador da empresa red-teaming Dvuln, identificou servidores OpenClaw expostos usando Shodan pesquisando impressões digitais HTML características. Uma simples pesquisa por “Clawdbot Management” rendeu centenas de resultados em segundos. Das instâncias que ele examinou manualmente, oito estavam completamente abertas e sem autenticação. Essas instâncias forneceram acesso complete para executar comandos e visualizar dados de configuração para qualquer pessoa que os descobrisse.
O’Reilly encontrou chaves de API Antrópicas. Tokens de bot do telegrama. Credenciais OAuth do Slack. Históricos completos de conversas em todas as plataformas de chat integradas. Duas instâncias desistiram de meses de conversas privadas no momento em que o handshake do WebSocket foi concluído. A rede vê o tráfego localhost. As equipes de segurança não têm visibilidade sobre quais agentes estão ligando ou quais dados estão retornando.
Eis o porquê: OpenClaw confia no localhost por padrão, sem necessidade de autenticação. A maioria das implantações fica atrás do nginx ou Caddy como um proxy reverso, então cada conexão parece vir de 127.0.0.1 e é tratada como tráfego native confiável. Solicitações externas chegam imediatamente. O vetor de ataque específico de O’Reilly foi corrigido, mas a arquitetura que permitiu isso não mudou.
Por que a Cisco chama isso de ‘pesadelo de segurança’
Equipe de pesquisa de segurança e ameaças de IA da Cisco publicou sua avaliação esta semanachamando o OpenClaw de “inovador” do ponto de vista da capacidade, mas de “um pesadelo absoluto” do ponto de vista da segurança.
A equipe da Cisco lançou um código aberto Scanner de habilidades que combina análise estática, fluxo de dados comportamental, análise semântica LLM e verificação VirusTotal para detectar habilidades de agentes maliciosos. Ele testou uma habilidade de terceiros chamada “O que Elon faria?” contra o OpenClaw. O veredicto foi um fracasso decisivo. Surgiram nove descobertas de segurança, incluindo dois problemas críticos e cinco de alta gravidade.
A habilidade period funcionalmente malware. Ele instruiu o bot a executar um comando curl, enviando dados para um servidor externo controlado pelo autor da habilidade. Execução silenciosa, zero consciência do usuário. A habilidade também implantou injeção direta e imediata para contornar as diretrizes de segurança.
“O LLM não consegue distinguir inerentemente entre instruções de usuário confiáveis e dados recuperados não confiáveis”, disse Rees. “Ele pode executar o comando incorporado, tornando-se efetivamente um ‘deputado confuso’ agindo em nome do atacante.” Os agentes de IA com acesso ao sistema tornam-se canais secretos de vazamento de dados que ignoram o DLP tradicional, os proxies e o monitoramento de endpoints.
Por que a visibilidade das equipes de segurança piorou
A lacuna de controle está aumentando mais rapidamente do que a maioria das equipes de segurança imagina. A partir de sexta-feira, os agentes baseados no OpenClaw estão formando suas próprias redes sociais. Canais de comunicação que existem inteiramente fora da visibilidade humana.
Livro Molt se autodenomina “uma rede social para agentes de IA” onde “os humanos são bem-vindos para observar”. As postagens passam pela API, não por uma interface visível para humanos. Scott Alexander do Astral Codex Ten confirmou que não é trivialmente fabricado. Ele convidou seu próprio Claude para participar e “fez comentários muito semelhantes aos de todos os outros”. Um humano confirmou que seu agente iniciou uma comunidade com tema religioso “enquanto eu dormia”.
As implicações de segurança são imediatas. Para ingressar, os agentes executam scripts de shell externos que reescrevem seus arquivos de configuração. Eles postam sobre seu trabalho, os hábitos de seus usuários e seus erros. Fuga de contexto como aposta na participação. Qualquer injeção de immediate em uma postagem do Moltbook se espalha para outros recursos do seu agente por meio de conexões MCP.
Moltbook é um microcosmo do problema mais amplo. A mesma autonomia que torna os agentes úteis torna-os vulneráveis. Quanto mais eles puderem fazer de forma independente, mais danos um conjunto de instruções comprometido poderá causar. A curva de capacidade está ultrapassando a curva de segurança por uma ampla margem. E as pessoas que constroem essas ferramentas geralmente ficam mais entusiasmadas com o que é possível do que preocupadas com o que pode ser explorado.
O que os líderes de segurança precisam fazer na manhã de segunda-feira
Os firewalls de aplicativos da Net veem o tráfego do agente como HTTPS regular. As ferramentas EDR monitoram o comportamento do processo, não o conteúdo semântico. Uma rede corporativa típica vê tráfego de host native quando os agentes chamam servidores MCP.
“Trate os agentes como infraestrutura de produção, não como um aplicativo de produtividade: privilégio mínimo, tokens com escopo definido, ações permitidas, autenticação forte em cada integração e auditabilidade de ponta a ponta”, Itamar Golan, fundador da Alerta de segurança (agora parte do SentinelOne), disse ao VentureBeat em entrevista exclusiva.
Audite sua rede em busca de gateways de IA de agentes expostos. Execute varreduras Shodan em seus intervalos de IP para assinaturas OpenClaw, Moltbot e Clawdbot. Se seus desenvolvedores estão experimentando, você quer saber antes que os invasores o façam.
Mapeie onde a trifeta letal de Willison existe em seu ambiente. Identifique sistemas que combinam acesso a dados privados, exposição de conteúdo não confiável e comunicação externa. Suponha que qualquer agente com todos os três seja vulnerável até prova em contrário.
Segmente o acesso de forma agressiva. Seu agente não precisa de acesso a todo o Gmail, todo o SharePoint, todo o Slack e todos os seus bancos de dados simultaneamente. Trate os agentes como usuários privilegiados. Registre as ações do agente, não apenas a autenticação do usuário.
Analise as habilidades do seu agente em busca de comportamento malicioso. Cisco lançou seu Skill Scanner como código aberto. Use-o. Alguns dos comportamentos mais prejudiciais estão ocultos nos próprios arquivos.
Atualize seus manuais de resposta a incidentes. A injeção imediata não parece um ataque tradicional. Não há assinatura de malware, anomalia de rede ou acesso não autorizado. O ataque acontece dentro do raciocínio do modelo. Seu SOC precisa saber o que procurar.
Estabeleça uma política antes de banir. Você não pode proibir a experimentação sem se tornar o bloqueador de produtividade que seus desenvolvedores contornam. Construa barreiras de proteção que canalizem a inovação em vez de bloqueá-la. Shadow AI já está em seu ambiente. A questão é se você tem visibilidade disso.
O resultado ultimate
OpenClaw não é a ameaça. É o sinal. As lacunas de segurança que expõem essas instâncias exporão todas as implantações de IA que sua organização construir ou adotar nos próximos dois anos. A experimentação widespread já aconteceu. As lacunas de controle são documentadas. Os padrões de ataque são publicados.
O modelo de segurança de IA agente que você construirá nos próximos 30 dias determinará se sua organização obterá ganhos de produtividade ou se se tornará a próxima divulgação de violação. Valide seus controles agora.
