OpenClaw recebe nota 2/100 em segurança e expõe riscos críticos em assistentes de IA

Assistente de IA OpenClaw recebe nota 2/100 em segurança e expõe riscos graves da IA open source

O crescimento acelerado de ferramentas de inteligência artificial open source trouxe inovação, velocidade e novas possibilidades para desenvolvedores. Mas também escancarou um problema sério: segurança. Esse alerta ganhou contornos dramáticos após o assistente de IA OpenClaw receber apenas 2 pontos em 100 em uma análise independente de segurança, revelando vulnerabilidades críticas que colocam em risco milhares de instâncias ativas ao redor do mundo.

O resultado não apenas expõe fragilidades técnicas do OpenClaw, como também levanta um debate urgente sobre os perigos de adotar agentes autônomos de IA sem maturidade em segurança da informação.

Um desastre anunciado: o que revelou a análise de segurança

A análise foi conduzida pelo desenvolvedor Lucas Valbuena, que submeteu o OpenClaw à ferramenta ZeroLeaks. Os resultados foram alarmantes:

  • 84% de taxa de extração de dados
  • 91% de sucesso em ataques de injeção
  • Exposição total do prompt de sistema na primeira tentativa

Na prática, isso significa que qualquer usuário malicioso poderia acessar:

  • Prompts completos do sistema
  • Configurações internas de ferramentas
  • Arquivos de memória
  • Tokens e fluxos internos do agente

Esse tipo de falha compromete completamente o conceito de isolamento e confiança em um agente de IA.

IA hackeando IA em menos de duas horas

A situação se agravou ainda mais quando a empresa de segurança Ethiack colocou sua ferramenta autônoma de pentest, o Hackian, contra uma instância limpa do OpenClaw em 26 de janeiro.

Sem qualquer intervenção humana, o Hackian:

  • Identificou uma vulnerabilidade crítica
  • Explorou um sequestro de conta com um clique
  • Obteve execução remota de código
  • Tudo isso em aproximadamente 100 minutos

Ou seja: uma IA comprometeu outra IA sozinha, em menos de duas horas.

Como funcionava a vulnerabilidade crítica

A falha explorava a interface de controle de gateway do OpenClaw, que vem ativada por padrão — um erro grave de design.

O ataque funcionava assim:

  1. Parâmetros de URL permitiam substituir o endereço do gateway WebSocket
  2. O aplicativo se conectava automaticamente ao servidor do atacante
  3. O token de autenticação da vítima era transmitido sem validação
  4. O atacante assumia controle total da instância

Uma correção foi enviada ao repositório principal apenas em 28 de janeiro, dias após a descoberta.

Exposição em massa: milhares de instâncias vulneráveis

O impacto não foi pontual. Utilizando o Shodan, pesquisadores identificaram:

  • Mais de 5.000 gateways do OpenClaw expostos
  • Muitos sem qualquer autenticação
  • Vazamento de:
    • Chaves de API do OpenAI
    • Chaves do Claude
    • Tokens do Gemini
    • Credenciais de VPN
    • Históricos completos de conversas

Uma varredura posterior, em 30 de janeiro, ainda encontrou 1.842 instâncias vulneráveis ativas.

Crescimento viral superou qualquer preocupação com segurança

O OpenClaw se tornou um fenômeno quase da noite para o dia:

  • Mais de 100 mil estrelas no GitHub em cerca de dois dias
  • 2 milhões de visitantes no site em uma semana
  • Explosão de plugins e extensões de terceiros
  • Provedores como Hostinger e DigitalOcean passaram a oferecer deploy com um clique

Segundo especialistas, isso criou uma “mina de ouro de superfície de ataque”.

O engenheiro Andrej Karpathy resumiu bem o paradoxo:

“É genuinamente a coisa mais incrível parecida com decolagem de ficção científica que vi recentemente — e ao mesmo tempo uma completa bagunça de pesadelo de segurança em escala.”

Falhas também no ecossistema: o caso Moltbook

Os problemas não se limitaram ao OpenClaw. A rede social relacionada Moltbook, onde agentes interagem entre si, sofreu uma falha grave.

O pesquisador Jamieson O’Reilly descobriu que:

  • Todo o banco de dados Supabase estava público
  • A Segurança em Nível de Linha (RLS) não estava ativada
  • Chaves de API de mais de 32 mil agentes de IA ficaram expostas

A correção exigiu apenas duas instruções SQL, evidenciando falhas básicas de governança técnica.

O que dizem os mantenedores do projeto

O mantenedor conhecido como Shadow foi direto no Discord:

“Se você não consegue entender como executar uma linha de comando, este é um projeto perigoso demais para você usar com segurança.”

Já o criador do OpenClaw, Peter Steinberger, reconheceu que:

“A injeção de prompt ainda é um problema não resolvido em toda a indústria.”

Ele também direcionou os usuários a práticas recomendadas de segurança — que, na prática, exigem alto nível de conhecimento técnico.

Conclusão: o alerta que o mercado de IA precisa ouvir

A nota 2/100 do OpenClaw não é apenas um problema de um projeto específico. Ela simboliza um risco sistêmico na corrida por IA agêntica, autônoma e open source sem fundamentos sólidos de segurança.

O episódio deixa lições claras:

  • Crescimento viral não pode preceder segurança
  • Agentes de IA ampliam drasticamente a superfície de ataque
  • “Deploy com um clique” sem hardening é uma receita para desastre
  • IA autônoma exige segurança by design, não patches reativos

À medida que agentes de IA se tornam mais poderosos, conectados e independentes, o custo de ignorar segurança deixa de ser teórico e passa a ser real, imediato e escalável. O caso OpenClaw é um alerta que a indústria não pode se dar ao luxo de ignorar.

Leia Também

Posts Relacionados

Cadastre-se na nossa newsletter

Inscreva-se na newsletter para ver novas fotos, dicas e postagens no blog.​

Subscribe to My Newsletter

Subscribe to my weekly newsletter. I don’t send any spam email ever!