Uma auditoria de segurança sobre 2.857 “skills” publicados no ClawHub detectou 341 módulos maliciosos que formavam parte de campanhas coordenadas, de acordo com o relatório. Koi Security. O que começou como uma ferramenta comunitária para ampliar um assistente de IA tornou-se um canal de distribuição de malware e um novo vetor de risco na cadeia de fornecimento de software.
ClawHub, o mercado de skills para OpenClaw, nasceu para facilitar que os usuários instalem extensões criadas por terceiros no OpenClaw, o assistente de código aberto antes conhecido como Moltbot ou Clawdbot. Mas essa abertura também facilita que atores maliciosos suban pacotes que aparentam ser úteis e legítimos. Koi documenta que uma grande parte das skills comprometidas incluíam instruções falsas de “prerrequisitos” para forçar a execução de código prejudicial nas equipes das vítimas.
A engenharia social que descreve os pesquisadores é simples e eficaz: o usuário instala uma skill atraente - por exemplo, uma ferramenta para wallets de Solana ou utilitários para YouTube - e segue uma seção que indica passos anteriores. No Windows foi solicitado baixar um ZIP chamadoopenclaw- agent.zipDesde o GitHub; no macOS, as instruções instavam a copiar e colar um programa hospedado em glot[.]io diretamente no Terminal. Esse tipo de indicação é exatamente o que precisa de um atacante para convencer alguém de que execute código sem revisar.
Dentro do arquivo protegido com senha encontrado pelo Koi há um troianos com capacidades de registro de teclas desenhadas para capturar chaves de API, senhas e outras informações sensíveis que já possam estar acessíveis do próprio assistente. Por sua vez, o programa hospedado em glot[.]io executa comandos ofuscados cujo objetivo é recuperar etapas posteriores do ataque de uma infraestrutura controlada pelos atacantes. Na cadeia de infecção aparece um endereço IP específico (91.92.242.30) que serve para baixar outro script e, finalmente, um binário Mach-O universal com características consistentes com Atomic Stealer, um “stealer” comercial que, segundo os achados, é oferecido no mercado por várias centenas de dólares por mês.
Além desta família —denominada pelos pesquisadores como ClawHavoc — os atacantes usaram técnicas de suplantação e typosquatting para camuflar seus skills: nomes muito semelhantes a ClawHub ou variantes com erros tipográficos, juntamente com utilitários orientados para criptomoedas, bots para plataformas preditivas como Polymarket, funções para baixar ou resumir vídeos do YouTube, autoatualadores e supostas integrações com ferramentas do Google Workspace. Koi também identificou skills que escondiam um backdoor de tipo reverse shell dentro de código aparentemente funcional e outros que exfiltravam credenciais do assistente, por exemplo do arquivo ~/.clawdbot/.env para serviços de webhook.
A confirmação da campanha não veio de uma única fonte. Um pesquisador que publica como 6mile em OpenSourceMalware relatou uma atividade muito parecida, apontando que os módulos difundiam malware orientado a roubar informações relacionadas a exchanges, chaves privadas de wallets, credenciais SSH e senhas armazenadas em navegadores. A coincidência de infra-estruturas entre amostras apontadas reforça a hipótese de uma operação coordenada em larga escala.
O problema de fundo é a abertura por design. ClawHub permite publicar skills com um requisito mínimo: que o autor tenha uma conta do GitHub com apenas uma semana de antiguidade. Essa baixa barreira combinada com a crescente curiosidade de colocar assistentes privados impulsionou muitas pessoas a executar OpenClaw de forma contínua em máquinas como os Mac Mini, algo que já atraiu atenção em mídia como Business Insider e gerou promoções de hardware em sites como Mashable.
Diante da escalada, a equipe OpenClaw adicionou uma função para que usuários autenticados possam reportar skills suspeitos. De acordo com a documentação oficial, cada pessoa pode manter até 20 relatórios ativos e os objetos que acumulem mais de três denúncias únicas se ocultam automaticamente do catálogo. Essa medida representa um primeiro passo, mas não elimina o risco inerente a um repositório onde qualquer um pode publicar código com pouca verificação. Pode consultar a secção de moderação na documentação do OpenClaw aqui.
Os incidentes em torno do OpenClaw e do ClawHub também têm reaberto um debate mais amplo sobre a segurança dos agentes da IA que podem executar comandos locais, armazenar memória persistente e comunicar com recursos externos. Palo Alto Networks publicou uma análise que adverte que quando um agente tem acesso a dados privados, consome conteúdo sem garantia de integridade e pode interagir com a rede, cria-se uma combinação perigosa que alguns chamam de “trilogia letal” ou “lethal trifecta” (termo cunhado pelo desenvolvedor Simon Willison), que torna estes agentes especialmente vulneráveis a ataques sofisticados e a operações de “time-shifted” ou de ativação retardada. O blog de Palo Alto resume como a memória persistente pode converter exploits pontuais em ameaças que se juntam e detonam com o tempo; você pode ler essa análise no site. Palo Alto Networks e a reflexão de Simon Willison em sua entrada sobre a “ lethal trifecta ”.
Que lições deixa este episódio? Primeiro, que a confiança implícita nos módulos publicados por terceiros pode ser explorada com relativa facilidade. Segundo, que as instruções para executar comandos no Terminal são uma via clássica para que o usuário faça o trabalho de “ativar” o malware por si mesmo mediante copy-paste. E terceiro, que a proliferação de agentes com memória persistente e acesso a recursos locais exige medidas de controle mais rigorosas nos catálogos de extensões e skills.
Recomendações práticas: não executar programas colados a partir de páginas desconhecidas, revisar com esmero qualquer pré-requisito que peça baixar ou executar código, manter backups e separar ambientes: se você vai correr um assistente 24/7, considera usar máquinas e contas isoladas sem informações sensíveis. Para os responsáveis por plataformas como o ClawHub, a grande fricção de publicação sugere a necessidade de maior escrutínio automatizado e humano, bem como a possibilidade de assinaturas e revisões obrigatórias para skills que solicitem permissões sensíveis.
Este incidente é uma chamada de atenção: a combinação de curiosidade por novas ferramentas de IA, plataformas abertas e atores maliciosos dispostos a monetizar o roubo de credenciais e chaves torna inevitável que veremos mais tentativas semelhantes se não forem adotadas defesas mais rígidas. Para aprofundar a pesquisa técnica, o relatório Koi Security e o seguimento do OpenSourceMalware são leituras recomendadas: Koi Security e OpenSourceMalware. Também é útil rever a documentação do OpenClaw sobre a moderação do ClawHub aqui.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...