A proliferação de agentes de IA autónomos de código aberto deu início aos alarmes das equipas de resposta a incidentes. Um exemplo recente é o OpenClaw, conhecido como Clawdbot ou Moltbot, uma plataforma que permite aos modelos de linguagem tomar decisões e executar ações em um sistema local. As autoridades chinesas responsáveis pela cibersegurança pública emitiram um aviso público sobre riscos associados à sua utilização, sublinhando que as configurações por padrão pouco robustas e o acesso privilegiado que normalmente precisam destes agentes podem transformá-los numa porta de entrada para os atacantes. Ver o comunicado oficial do CNCERT aqui: CNCERT (WeChat).
Para entender por que preocupação o OpenClaw deve pensar em seu design: para agir de forma autônoma o agente deve poder navegar, ler páginas ou executar comandos. Essa permissão para “moverse” pelo sistema é precisamente o que facilita que uma má configuração ou extensão maliciosa provoque uma brecha. Entre as técnicas que exploram os atacantes destaca a conhecida como injeção de prompts, e em particular uma variante mais sutil chamada injeção de prompts indireta ou cross-domain prompt injection, onde o adversário não ataca o modelo diretamente, mas manipula funções legítimas como a leitura de páginas web ou a geração de resumos. Uma análise técnica sobre esta modalidade pode ser consultada no Kaspersky Securelist: Securelist, e em pesquisas de Palo Alto Unit42: Unit42.
Um caso ilustrativo publicou o PromptArmor: se o agente pode gerar URLs e as aplicações de mensagens mostram “previews” automáticas de ligação, o atacante pode forçar o agente a construir um endereço web com parâmetros que contenham dados sensíveis. Quando o serviço de mensagens pede a antevisão, o navegador ou o servidor remoto do atacante recebe esse URL e com ela a informação filtrada, sem que ninguém tenha que clicar. Este mecanismo converte uma resposta aparentemente inócua do agente em uma via exfiltração de dados imediata. A demonstração e explicação técnica estão disponíveis no relatório do PromptArmor: PromptArmor.
Além dessas injeções indiretas, os pesquisadores e CNCERT identificaram outros vetores preocupantes. Por um lado, a capacidade do agente para interpretar instruções e executar tarefas pode levar a erros destrutivos, como a eliminação involuntária e irreversível de informações críticas se o modelo entender mal uma ordem. Por outro lado, os repositórios de “skills” ou extensões que ampliam as funções do agente podem se tornar um ponto de entrada: se um ator malicioso publica uma skill que executa comandos arbitrários, a instalação dessa skill equivale a dar acesso remoto ao sistema. Finalmente, as vulnerabilidades de software recentemente divulgadas no próprio OpenClaw podem ser exploradas para comprometer instâncias e extrair dados sensíveis.
A popularidade do projeto também foi aproveitada para a distribuição de malware tradicional. Investigações de empresas de cibersegurança documentaram campanhas que empregam repositórios falsos no GitHub apresentados como instaladores do OpenClaw; esses repositórios descarregavam informações sensíveis por troianos como Atomic ou Vidar Stealer, e proxies e backdoors como GhostSocks. Huntress descreve como repositórios maliciosos chegaram a se posicionar nos resultados de busca AI e facilitaram infecções tanto em ambientes Windows como macOS: Huntress, e a análise do GhostSocks está em Synthient.
As implicações em setores críticos podem ser severas: desde a filtragem de segredos comerciais até a interrupção total de serviços essenciais. Por conseguinte, as autoridades chinesas limitaram o uso destas aplicações em computadores de organismos estatais e empresas públicas, proibindo a sua utilização em escritórios e até mesmo estendendo a restrição ao ambiente familiar de pessoal militar, conforme relatou Bloomberg: Bloomberg.
Que medidas práticas podem adotar empresas e usuários para reduzir o risco? Em primeiro lugar, convém aplicar o princípio de menor privilégio: não executar agentes com permissões administrativas se não for estritamente necessário. É recomendável também isolar o serviço em contentores ou máquinas virtuais, e não expor o porto de gestão por defeito à Internet. A gestão de segredos deve evitar o armazenamento em texto plano e passar por sistemas de vaulting; os skills só devem ser instalados a partir de fontes verificadas e é conveniente desativar atualizações automáticas de extensões até validar a sua integridade. Complementariamente, controles de rede que restrinjam saídas não autorizadas, regras de firewall, inspeção de tráfego saliente e medidas EDR aumentam a resiliência contra exfiltrações e execução de código não desejado.
Também há espaço para soluções ao nível do produto: limitar ou desactivar a navegação automática do agente, sanear e validar o conteúdo externo antes do processamento, e aplicar mecanismos de assinatura e revisão para skills ajudarão a mitigar ataques de engenharia social e manipulação de instruções. OpenAI chamou a atenção para a evolução destas técnicas e a necessidade de os agentes serem concebidos para resistir a manipulações, na sua nota sobre como proteger agentes contra injeções de prompt: OpenAI.
A recomendação geral para qualquer organização que valoriza a segurança é agir com prudência: a conveniência de delegar tarefas a um agente autônomo não deve eclipsar os controles básicos de cibersegurança. Por trás de uma interface simples, podem esconder-se mecanismos complexos que, nas mãos erradas ou mal configurados, provocam danos significativos. A comunidade, os mantenedores de projetos e equipamentos de segurança devem colaborar para publicar guias de implantação seguro, hardening por defeito e auditorias frequentes, e assim permitir que essas tecnologias progressistas não se tornem um risco sistémico.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...