A cibersegurança vive um momento de transição. Há anos, o valor mais cobiçado pelos ladrões digitais eram senhas e dados bancários; hoje, segundo pesquisas recentes, os atacantes começam a se fixar em algo muito mais íntimo para os usuários: a configuração e as "personalidades" dos assistentes de IA. Um relatório da assinatura Hudson Rock descreve um caso real em que um ladrão de informação conseguiu extrair arquivos chave do OpenClaw, o popular agente aberto que muitos estão usando para delegar tarefas e automatizar fluxos de trabalho.
Os pesquisadores que reportaram o incidente consideram que o programa malicioso tem similaridades com variantes conhecidas do infostealer Vidar, uma família de roubadores de informação em circulação desde o final de 2018. No entanto, o relevante não é tanto o rótulo do malware como a técnica: em vez de um módulo desenhado especificamente para o OpenClaw, o atacante usou uma rotina genérica de "arrastre de arquivos" que busca extensões e nomes de pastas com chances de conter segredos.
Entre os arquivos sustraídos encontram-se arquivos que para um agente de IA são essenciais: o arquivo de configuração que guarda o token da passarela do OpenClaw, um arquivo com chaves criptográficas usadas para emparelhar e assinar comunicações, e documentos que definem o comportamento e as regras éticas do próprio agente. Em outras palavras, não só se levaram credenciais: extraíram peças que permitem entender e, potencialmente, suplantar a identidade operacional do assistente.
A gravidade é clara: com um token de gateway e acesso à configuração, um atacante poderia tentar se comunicar com uma instância local de OpenClaw exposta, fazer pedidos autenticados ao gateway ou, em cenários mais complexos, atuar em nome do agente contra serviços aos quais ele tem permissões. Os arquivos com chaves e modelos de comportamento também oferecem material com o qual construir ataques mais direcionados ou reproduzir a "personalidade" do assistente.
A comunidade de segurança já está alertando que, à medida que os agentes da IA se integram em processos profissionais, os desenvolvedores de malware adaptarão suas ferramentas para expor, decifrar e aproveitar esses novos objetivos, como fizeram em seu dia com navegadores ou clientes de mensagens. O achado ilustra como rotinas amplas e pouco sofisticadas podem, por acaso ou por design, dar com informação altamente sensível.
Paralelamente a este alerta, foram detectadas campanhas mais sutis que apontam para o ecossistema de skills e complementos do OpenClaw. Grupos maliciosos estão publicando habilidades que em aparência são inócuas, mas que, na verdade, redirigen a recursos externos onde se aloja o código prejudicial, uma técnica pensada para contornar sistemas de análise como VírusTotal. Pesquisadores independentes documentaram como esses skills funcionam como cogumelos e levam o usuário para sites clonados ou recursos hospedados fora da plataforma de revisão.
Outros problemas práticos saltaram à luz: plataformas complementares como fóruns de agentes estão mostrando falhas de privacidade. Em um caso, pesquisadores descobriram que as contas de agentes criadas em um site tipo fórum nunca podiam ser apagadas, deixando dados persistentes sem controle do proprietário. Além disso, a digitalização em larga escala identificou dezenas ou centenas de milhares de instâncias do OpenClaw acessíveis da Internet, o que abre a porta a vulnerabilidades de execução remota que permitiriam a um atacante executar código em sistemas com permissões sensíveis.
A reação da comunidade e dos mantenedores do OpenClaw tem sido rápida: foram anunciadas medidas para melhorar a detecção de skills maliciosos e para facilitar auditorias de configuração, e foi iniciada uma colaboração com serviços de análise como VírusTotal para revisar contribuições e reduzir riscos. Foram também publicadas recomendações e ferramentas para auditar o gateway e mitigar exposições. Você pode ler mais sobre essas iniciativas no blog JFrog e no portal de confiança do OpenClaw.
O crescimento explosivo do OpenClaw – um projeto que alcançou uma grande base de usuários em pouco tempo – acrescenta urgência a essas melhorias. Quando um pacote de software se torna massivo, sua superfície de ataque se multiplica: atores maliciosos buscam pontos de entrada onde há maior densidade de objetivos e permissões. Ao mesmo tempo, movimentos dentro da indústria, como a intenção de integrar o projeto em uma fundação apoiada por atores relevantes, mudam o mapa de responsabilidades e governança.
Que lições deixa tudo isto? Primeiro, as configurações e chaves de agentes da IA devem ser tratadas com o mesmo zelo que as senhas: armazenadas de forma segura, limitando sua exposição e auditando os acessos. Segundo, as comunidades e registros de skills precisam de processos de revisão robustos e detecção ativa de domínios clonados ou recursos externos que possam servir de vetor. E terceiro, que os administradores devem reduzir a exposição pública de instâncias, aplicar políticas de autenticação fortes e monitorar o acesso a recursos sensíveis a partir de agentes automatizados.
Se você quer aprofundar as fontes que documentam esses achados e as respostas técnicas, aqui você tem material de referência: a análise de Hudson Rock sobre a infecção, a cobertura em meios especializados, as recomendações e auditorias propostas pelo OpenClaw, pesquisas sobre skills maliciosos e avisos sobre instâncias expostas que publicaram equipamentos independentes.
A chegada de assistentes de IA capazes de executar tarefas em nosso nome traz enormes vantagens, mas também novos vetores de risco. A prevenção e a higiene digital —atualizações, revisões de configuração, controle de acessos e vigilância sobre o ecossistema de extensões — serão chaves para que essas ferramentas não se tornem uma porta aberta para os atacantes.
Fontes e leituras recomendadas: Relatório de Hudson Rock sobre o incidente ( infostealers.com), análise sobre técnicas para contornar digitalização em ClawHub ( OpenSourceMalware), advertências sobre instâncias expostas e RCE ( SecurityScorecard), as notas sobre privacidade em fóruns de agentes ( OX Security), guia técnico e mecanismos de auditoria do OpenClaw ( docs.openclaw.ai) e o apelo à prudência e boas práticas publicado por JFrog ( jfrog.com). Para contexto sobre a popularidade do projeto e seu futuro, o repositório oficial no GitHub e a comunicação pública de sua integração com atores da indústria oferecem mais detalhes ( GitHub, anúncio de Sam Altman).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...