Mercados de Habilidades em IA: Por Que Registros Abertos São um Pesadelo de Segurança

O apelo dos marketplaces de habilidades de IA

Os marketplaces de habilidades de agentes de IA são uma ideia realmente boa. Em vez de construir cada automação do zero, você navega por um registro, instala uma habilidade pré-construída e seu agente ganha uma nova capacidade em segundos. Triagem de e-mails, gerenciamento de calendário, revisão de código, orquestração de pipelines de dados — habilidades construídas pela comunidade permitem que você pule o básico e chegue ao resultado.

O registro ClawHub da OpenClaw tem 5.705 habilidades construídas pela comunidade até fevereiro de 2026. As categorias abrangem tudo, desde negociação de criptomoedas e automação DeFi até fluxos de trabalho de produtividade e gerenciamento de redes sociais. O crescimento é real. A demanda é real. As pessoas querem capacidades reutilizáveis de agentes de IA, e querem isso de uma comunidade que constrói mais rápido do que qualquer fornecedor único pode.

O conceito funciona. A implementação é o problema.

O problema com registros abertos

O ClawHub opera como um registro aberto. Qualquer um com uma conta do GitHub que tenha pelo menos uma semana pode publicar uma habilidade. Não há revisão de código. Não há sandboxing. Não há processo de verificação. Você escreve um arquivo SKILL.md com frontmatter YAML, o envia para o registro e ele se torna disponível para todos os usuários da OpenClaw no planeta.

Esse é o mesmo modelo de confiança que o npm e o PyPI usaram por anos antes que os ataques à cadeia de suprimentos se tornassem uma crise em toda a indústria. A diferença é que as habilidades de agentes de IA não são apenas bibliotecas importadas para um código — elas são instruções que um agente autônomo executa com acesso total ao sistema. Um pacote malicioso do npm pode comprometer um pipeline de construção. Uma habilidade maliciosa de agente de IA pode comprometer uma máquina inteira em tempo real.

O que os pesquisadores descobriram

Em fevereiro de 2026, a Snyk publicou seu relatório ToxicSkills documentando 341 habilidades maliciosas confirmadas no ClawHub. Destas, 335 usaram verificações de pré-requisitos falsas para instalar malware de roubo de dados do macOS — especificamente Atomic Stealer (AMOS), um coletor de credenciais bem conhecido que exfiltra senhas, cookies de navegador, carteiras de criptomoedas e dados de chaveiro.

O padrão de ataque era simples. Uma habilidade declarava uma dependência do sistema em seus pré-requisitos. Quando o agente do usuário tentava satisfazer essa dependência, ele executava um comando de shell que baixava e executava o binário do ladrão. O usuário nunca viu um prompt. O agente, fazendo o que os agentes fazem, tentava ser útil.

Separadamente, a análise da Snyk descobriu que 36% das habilidades do ClawHub contêm injeção de prompt — instruções ocultas embutidas nas definições de habilidades projetadas para manipular o comportamento do agente. E a equipe de segurança da Cisco demonstrou independentemente a exfiltração de dados através de uma habilidade de terceiros que silenciosamente encaminhava o contexto da conversa para um servidor externo.

Esses não são ataques teóricos. Eles estão documentados, confirmados e, em alguns casos, ainda estão ativos no registro.

Ataques à cadeia de suprimentos são o novo vetor

Se isso soa familiar, deveria. A indústria de software passou os últimos cinco anos aprendendo que registros de pacotes abertos são um alvo principal para ataques à cadeia de suprimentos. Pacotes maliciosos no npm. Typosquatting no PyPI. Confusão de dependências visando registros internos. O padrão está bem estabelecido: atacantes publicam algo que parece útil, esperam que usuários desavisados o instalem e executam seu payload.

Os marketplaces de habilidades de agentes de IA herdam todos esses riscos, além de um novo: as habilidades não apenas importam código — elas dão instruções a um agente autônomo com acesso ao sistema. A superfície de ataque não é um servidor de construção. É toda a sua máquina. Seu sistema de arquivos. Suas credenciais. Suas sessões de navegador.

Quando a Computerworld chamou a OpenClaw de “um pesadelo de segurança”, não estavam exagerando. Quando Gary Marcus a chamou de “um desastre prestes a acontecer”, o desastre já havia acontecido 341 vezes.

Como é um marketplace de habilidades seguro

A resposta não é abandonar os marketplaces de habilidades. A resposta é construí-los com a segurança como base, não como um pensamento posterior. Um marketplace de habilidades seguro precisa de cinco coisas:

Revisão de código obrigatória. Cada submissão de habilidade passa por análise estática automatizada e revisão humana antes de chegar aos usuários. Sem exceções. Sem atalho para publicadores populares.

Teste em sandbox antes da aprovação. As habilidades são executadas em um ambiente isolado durante o processo de revisão. Os revisores observam o que a habilidade realmente faz — o que acessa, o que baixa, o que envia pela rede — não apenas o que afirma fazer.

Isolamento em tempo de execução. Mesmo após a aprovação, as habilidades são executadas dentro de contêineres isolados. Se uma habilidade de alguma forma passar pela revisão com comportamento oculto, o sandbox limita o raio de explosão. Não pode acessar o sistema de arquivos do host, os dados de outros usuários ou as credenciais do sistema.

Escopo de permissões. As habilidades declaram as permissões que precisam. Acesso a arquivos, acesso à rede, endpoints de API específicos. O tempo de execução impõe essas declarações. Uma habilidade de calendário não tem nada a ver com a leitura das suas chaves SSH.

Relato da comunidade. Os usuários podem sinalizar comportamentos suspeitos. Habilidades sinalizadas são retiradas do marketplace e revisadas novamente. O ciclo de feedback é contínuo.

Como a LikeClaw lida com isso

Na LikeClaw, cada habilidade no marketplace passa por uma revisão de segurança obrigatória antes da publicação. As habilidades são testadas dentro de contêineres E2B em sandbox — a mesma tecnologia de isolamento que protege suas tarefas em tempo de execução. A varredura automatizada verifica assinaturas de malware conhecidas, vulnerabilidades de dependência e padrões de injeção de prompt. Revisores humanos verificam os resultados.

Em tempo de execução, as habilidades são executadas dentro de contêineres isolados com permissões limitadas. Uma habilidade não pode acessar seu sistema de arquivos, suas credenciais ou sua rede além do que declara explicitamente e do que o sandbox permite. Se uma habilidade tentasse o mesmo ataque de pré-requisito falso que comprometeu 335 usuários do ClawHub, o sandbox a conteria. O malware seria baixado em um contêiner que é destruído após a execução. Sua máquina permanece intocada.

Essa é a diferença entre um registro aberto e um marketplace verificado. Um confia na comunidade para se policiar. O outro verifica e, em seguida, confia.

Para uma análise mais profunda sobre as questões de segurança na arquitetura da OpenClaw, veja nossa análise em OpenClaw Security: O que você precisa saber. Para uma comparação lado a lado das duas abordagens, veja LikeClaw vs OpenClaw.

A demanda por habilidades de agentes de IA não vai desaparecer. A questão é se você as instala de um registro onde 6% das submissões são malware confirmado, ou de um marketplace onde cada habilidade foi revisada, testada e colocada em sandbox antes de chegar ao seu agente.