Há alguns dias, foi corrigida uma vulnerabilidade de gravidade elevada no OpenClaw que, nas condições adequadas, teria permitido a um site malicioso ligar-se a um agente de IA executando-se de forma local e tomar o controle do mesmo. A falha foi relatada por pesquisadores externos e resolvida pela equipe de OpenClaw em menos de 24 horas, o que enfatiza tanto a rapidez da resposta quanto a seriedade do problema. Para ler o relatório técnico original, você pode consultar a nota publicada por Oasis Security em seu blog: Oasis Security.
O ataque apoiava-se em um vetor muito concreto: o gateway local do OpenClaw, um servidor WebSocket que por defeito fica escutando na máquina do desenvolvedor. De uma página Web maliciosa, JavaScript pode abrir conexões para localhost usando WebSockets – algo que os navegadores permitem – e, aproveitando a ausência de um mecanismo eficaz de limitação de tentativas, forçar a senha do gateway. Uma vez autenticado o atacante com permissões administrativas, o gateway, por design, aceitava automaticamente o registro de novos “dispositivos de confiança” quando a conexão procedia da máquina local, o que permitiu aos pesquisadores traçar um cenário de controle total sobre o agente: interação remota, voltado de configurações, enumeração de nós e leitura de logs.
A combinação de permitir conexões de localhost sem as devidas restrições e a auto-aprovação de emparelhamentos locais foi a chave do problema. É um exemplo de como o conforto para o desenvolvedor (menos fricções para conectar ferramentas locais) pode se tornar uma porta de entrada para atacantes quando não se contempla o risco de navegação web maliciosa.
O OpenClaw postou um adesivo rápido: a correção figura na versão 2026.2.25, liberada em 26 de fevereiro de 2026. Se você usa o OpenClaw em qualquer computador, o correto é atualizar quanto antes e revisar os acessos e dispositivos de confiança registrados em sua instância.
O aviso do Oasis Security também serve como lembrete de um problema maior: os runtimes de agentes da IA têm um raio de ataque potencial muito mais amplo do que as aplicações tradicionais. Estas plataformas, quando conectadas a serviços e ferramentas empresariais, podem executar ações com privilégios e mover dados entre sistemas; por isso uma instância comprometida pode causar danos desproporcionados. Relatórios adicionais de grupos como Bitsight e NeuralTrust documentaram como instâncias expostas à internet e skills maliciosos ampliam essa superfície de ataque.
Além da falha que permitia o sequestro via localhost, o OpenClaw corrigiu outra vulnerabilidade de “log poisoning” que permitia escrever entradas maliciosas nos arquivos de registro mediante petições WebSocket a instâncias públicas (porto TCP 18789). Como alguns agentes leem seus próprios logs para depurar ou guiar decisões operacionais, um atacante poderia tentar inserir conteúdo que o agente interpretasse como informação válida, provocando manipulações em seu raciocínio ou ações indesejadas. Este problema foi documentado pelo Eye Security e resolvido na versão 2026.2.13; você pode ler a análise em research.eye.security.
Este episódio faz parte de uma série mais ampla de resultados de segurança no OpenClaw: nas últimas semanas, foram publicados vários avisos que cobrem desde a execução remota de código até bypasses de autenticação e SSRF, cada um com o seu adesivo correspondente. Os avisos e os adesivos estão disponíveis nos repositórios de segurança do OpenClaw no GitHub, por exemplo nas páginas dos CVE e releases relacionadas com CVE-2026-25593, CVE-2026-24763 e outras correcções publicadas os releases do projecto.
Nem todo o risco provém da infraestrutura: o ecossistema de skills e marketplaces também está sendo explorado. Pesquisadores descobriram skills maliciosos em ClawHub que atuam como contêineres para distribuir um novo exemplar do troiano Atomic Stealer no macOS. Nesses casos, a cadeia de infecção costuma começar com uma instrução aparentemente inócua que o runtime descarrega e executa, e que por sua vez baixa o binário malicioso de um servidor controlado pelo atacante. Trend Micro oferece um relatório detalhado sobre este modo de entrega em sua análise: Trend Micro.
Mais preocupante ainda é o aparecimento de campanhas sociais dentro da própria plataforma de skills: atores ameaçadores deixaram comentários em listas legítimas sugerindo comandos a executar manualmente em terminais macOS, e esses comandos recuperam o malware desde servidores previamente associados a campanhas semelhantes. Também há casos em que skills que aparentam funções legítimas (por exemplo, ferramentas relacionadas com criptomoedas) ocultam lógica para desviar fundos ou exfiltrar chaves. Uma análise recente do Straiker sobre milhares de skills encontrou dezenas de exemplos com comportamento malicioso ou fraudulento; o seu relatório está disponível em Straiker.
Diante deste panorama, os conselhos são simples, mas essenciais. Primeiro, atualiza o OpenClaw para a versão mais recente(por exemplo, a 2026.2.25 que contém a correção rápida para o bug de localhost). Segundo, trata os runtimes de agente como código não confiável: segue a recomendação da equipe da Microsoft Defender Security Research e exibe OpenClaw apenas em ambientes completamente isolados - uma máquina virtual dedicada ou um sistema físico separado - com credenciais não privilegiadas e políticas de acesso restritas; seu aviso pode ser lido aqui: Microsoft.
Terceiro, auditA periodicamente os dispositivos e permissões concedidos aos agentes, evita instalar skills sem rever a fundo e não execute comandos propostos por terceiros no seu terminal sem os verificar. Se você usa integrações com serviços empresariais, aplica o princípio de menor privilégio e monitora o comportamento do agente e as conexões salientes. Também é aconselhável rodar credenciais que possam ter sido expostas e rever logs para detectar atividade incomum após atualizações ou relatórios de segurança.
Finalmente, este caso é um lembrete de que a segurança das plataformas de agentes da IA exige abordagens híbridas: por um lado, as técnicas clássicas de segurança (parches, controle de acessos, limitação de tentativas); por outro, medidas específicas para ameaças inovadoras como injeções indiretas via logs, skills manipuladas e cadeias agente‐agente que exploram a confiança implícita entre componentes. Organizações e desenvolvedores devem incorporar essas considerações em sua governança de identidades não humanas e em seus testes de segurança contínuas; para uma visão das implicações técnicas e operacionais, as análises de Endor Labs e outros equipamentos de pesquisa são leitura útil: Endor Labs.
Em suma, o fosso em OpenClaw foi rapidamente resolvido, mas o episódio evidencia riscos sistémicos em runtimes de agentes e mercados de skills. Atualizar, isolar e auditar não são novas recomendações, mas neste contexto se tornam medidas indispensáveis para evitar que um simples navegador ou uma skill aparentemente inocua acabem transformando-se na chave de uma intrusão maior.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...