Em menos de uma semana, pesquisadores detectaram que mais de duascentas trinta extensões maliciosas – conhecidas em OpenClaw como “skills” – foram publicadas tanto no registro oficial do assistente como em repositórios públicos do GitHub. Estas peças de software foram apresentadas como utilitários legítimos: bots para trading de criptomoedas, ferramentas financeiras, plugins para redes sociais ou gestores de conteúdo, mas continham instruções que conduziam à instalação de malware projetado para roubar dados sensíveis.
OpenClaw, o assistente pessoal de código aberto que nas últimas semanas mudou de nome várias vezes (ClawdBot, Moltbot e agora OpenClaw), está pensado para ser executado localmente e pode integrar chat, correio e sistema de arquivos da equipe com memória persistente. Essa capacidade de acesso profundo é precisamente o que converte as “skills” em uma arma de duplo gume: adicionadas sem precaução, podem se tornar vetores diretos para credenciais e chaves privadas. O projeto está disponível no seu repositório oficial em GitHub, e a plataforma documenta como funcionam as extensões em seu guia Skills.
A campanha detectada entre 27 de janeiro e 1 de fevereiro consistiu em duas ondas que, em conjunto, somaram mais de 230 skills maliciosas publicadas em ClawHub (o registro do assistente) e em repositórios públicos. Analistas da comunidade que rastreiam malware de código aberto descrevem que muitos desses pacotes são clones praticamente idênticos com nomes aleatórios; no entanto, alguns chegaram a acumular centenas ou milhares de downloads antes de serem apontados. Uma análise pública do fenômeno pode ser consultada no relatório do OpenSourceMalware, que documenta como essas skills estavam orientadas para propagar roubo de informações entre usuários do OpenClaw: OpenSourceMalware — Clawdbot skills.
O engano é executado com simplicidade social: cada skill incluía documentação extensa e convincente que instruia o usuário a instalar um componente nomeado como “AuthTool”, apresentado como requisito crítico para que a skill funcionasse corretamente. No entanto, essa dependência não era mais do que a porta de entrada para baixar um carregador malicioso. No macOS, o mecanismo era disfarçado como uma linha de comandos codificada em base64 que descarrega um payload a partir de um URL externo; no Windows, a instrução trazia um ZIP protegido por senha que, ao ser descomprimido e executado, encarregava o malware.
Os pesquisadores que analisaram os binários identificaram no macOS uma variante do conhecido info-stealer NovaStealer. O malware tentava contornar as proteções da Apple usando comandos para remover atributos de quarentena (por exemplo, mediantexattr - c) e solicitava permissões que lhe permitiam ler amplas zonas do disco e comunicar com serviços do sistema. Entre os objetivos do ladrão estavam chaves de API de exchanges de criptomoedas, arquivos de carteira e frases semente, extensões de carteira em navegadores, dados do chaveiro do macOS (Keychain), senhas armazenadas em navegadores, chaves SSH, credenciais na nuvem, credenciais do Git e arquivos .env com segredos. O detalhe técnico do comportamento e as amostras rastreadas aparece coletado no relatório do OpenSourceMalware mencionado acima.
Um estudo independente de Koi Security ampliou a radiografia: após digitalizar a totalidade do repositório de ClawHub (umas 2.857 entradas), os analistas encontraram 341 skills com comportamento malicioso atribuído a uma única campanha e detectaram 29 typosquats projetados para explorar erros tipográficos no nome do registro. Koi publicou uma análise em seu blog e disponibilizou uma ferramenta gratuita para que qualquer pessoa cole o URL de uma skill e obtenha um relatório de segurança: Koi Security — ClawHavoc e o scanner Clawdex — scanner.
A tática parece ser conhecida como ataques de tipo “ClickFix”: o usuário confia na documentação da extensão e cópia/pega comandos ou executa instaladores que, na aparência, são passos necessários para que a skill funcione. Neste contexto, a recomendação de peritos é clara: não executar comandos que não sejam compreendidos, nem instalar ferramentas externas sem auditar o código. O desenvolvedor do OpenClaw, Peter Steinberger, reconheceu publicamente em sua conta de X que atualmente não pode revisar manualmente o enorme fluxo de envios de skills que a plataforma recebe, e portanto convidou a comunidade a verificar a segurança das extensões antes de seu uso; seu perfil está disponível em https://x.com/steipete.
Uma vez que um assistente com acesso local pode ler arquivos, interagir com serviços e conectar-se à Internet, as medidas de segurança devem ser aplicadas em camadas. É recomendável executar o OpenClaw em ambientes confinados, como máquinas virtuais ou contêineres, limitar suas permissões ao mínimo imprescindível, e controlar o acesso de rede (bloquear tráfego saliente não necessário, fechar portos e evitar a exposição direta do painel de administração na internet). Além disso, é conveniente inspeccionar manualmente o código- fonte de skills antes de confiar numa extensão e usar ferramentas públicas de análise para verificar URLs ou pacotes suspeitos.
Os achados recentes são um lembrete de que, embora o software local de IA ofereça vantagens de privacidade e desempenho, também aumenta o dano potencial quando as extensões não são submetidas a controles de segurança. A combinação de confiança por defeito em pacotes de terceiros e a capacidade do assistente para executar instruções no sistema é precisamente o que exploram os atacantes, portanto, a prudência e a separação de ambientes já não são apenas boas práticas, mas requisitos para operar com segurança.
Se você usar o OpenClaw ou experimentar assistentes locais semelhantes, veja skills com cepticismo, verifique sua proveniência, pásalas por scanners públicos como o Koi e evita executar linhas de comando copiadas de documentação não verificadas. Manter cópias de segurança, credenciais rotadas e políticas de acesso restritivas reduz o impacto se algo correr mal. Para mais contexto e relatórios técnicos sobre a campanha, veja as análises ligadas do OpenSourceMalware e Koi Security: OpenSourceMalware e Koi Security.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...