Pule para o conteúdo principal

341 Habilidades Maliciosas Encontradas no Marketplace do OpenClaw (2026)

A Snyk encontrou mais de 341 habilidades maliciosas no ClawHub que estão roubando chaves de API e instalando malware. Cinco organizações de segurança emitiram alertas. Aqui está o que você deve verificar.

Os números de segurança

341+

Habilidades maliciosas encontradas no ClawHub

Snyk Research, 2026

36%

Habilidades com injeção de prompt

Relatório ToxicSkills do Snyk

335

Pacotes instalando stealer para macOS

Atomic Stealer / AMOS

5

Organizações de segurança emitindo alertas

Kaspersky, Cisco, Snyk, Wiz, Bitsight

OpenClaw provou algo importante

OpenClaw alcançou mais de 145.000 estrelas no GitHub em 10 semanas. É o projeto de código aberto que mais cresce na memória recente. E esse crescimento foi conquistado. A ideia de um agente de IA autônomo que realmente faz coisas — executa código, gerencia arquivos, roda scripts, monitora sua caixa de entrada — ressoou com centenas de milhares de desenvolvedores.

A visão está certa. Uma IA que fala é útil. Uma IA que age é transformadora.

Mas o modelo de segurança tem falhas críticas que cinco grandes organizações agora documentaram. Isso não é especulação. Essas são descobertas da Snyk, Kaspersky, Cisco, Wiz e Bitsight, publicadas em pesquisas revisadas por pares e avisos de segurança oficiais. Se você usa OpenClaw ou está considerando, precisa entender o que eles encontraram.

O problema da cadeia de suprimentos do ClawHub

ClawHub é o marketplace comunitário do OpenClaw para habilidades — pacotes pré-construídos que ampliam o que o agente pode fazer. Em fevereiro de 2026, ele hospeda 5.705 habilidades construídas pela comunidade. Qualquer um com uma conta do GitHub com mais de uma semana pode publicar.

A pesquisa ToxicSkills da Snyk descobriu que 341 dessas habilidades são maliciosas. Destas, 335 usam pré-requisitos falsos para instalar malware de roubo de macOS, especificamente o Atomic Stealer (AMOS), que coleta senhas de navegadores, carteiras de criptomoedas e cookies de sessão.

Pior: a Snyk analisou uma amostra mais ampla e descobriu que 36% das habilidades do ClawHub contêm injeção de prompt — instruções ocultas que sequestram o comportamento do agente. Uma habilidade que afirma formatar seus e-mails poderia silenciosamente instruir o agente a exfiltrar seus arquivos.

Isso não é uma hipótese. É uma descoberta medida e publicada.

Acesso ao sistema bruto com uma proteção fraca

OpenClaw roda como um processo de longa duração na sua máquina com acesso ao seu sistema de arquivos, shell e rede. O modelo de segurança depende de uma lista de permissões — uma lista de comandos aprovados que o agente pode executar. Tudo o que não está na lista é teoricamente bloqueado ao analisar padrões de AST do shell.

Na prática, essa é uma fronteira fraca. A abordagem da lista de permissões significa que a segurança depende de prever todos os padrões de comandos perigosos com antecedência. Pesquisadores demonstraram contornos. O blog da Kaspersky documentou cenários específicos onde as amplas permissões do agente permitem movimento lateral em seu sistema.

A questão central: o modelo de segurança do OpenClaw é opt-out (bloquear padrões conhecidos como ruins) em vez de opt-in (permitir apenas ações explicitamente aprovadas em ambientes isolados). A segurança opt-out tem uma longa história de falhas na engenharia de software.

Exposição de credenciais em texto simples

OpenClaw armazena chaves de API em ~/.clawdbot em texto simples. Sua chave OpenAI, chave Anthropic, chave Google e qualquer token de serviço que o agente precise — tudo isso em um arquivo legível no seu sistema de arquivos.

Fica pior. Quando os usuários trocam chaves, os valores antigos às vezes são preservados em arquivos .bak no mesmo diretório. Uma habilidade maliciosa — ou qualquer processo com acesso de leitura a arquivos — pode coletar tanto credenciais atuais quanto históricas em uma única operação de leitura.

Isso não é um caso extremo. É o comportamento padrão.

Execução remota de código com um clique

Pesquisadores de segurança documentaram uma vulnerabilidade de RCE com um clique no fluxo de instalação de habilidades do OpenClaw. Um pacote de habilidade elaborado pode executar código arbitrário na máquina host durante a instalação — antes que o usuário tenha a chance de revisar o que ele faz.

Combinado com o problema da cadeia de suprimentos do ClawHub, isso cria um caminho de ataque direto: publique uma habilidade maliciosa, aguarde as instalações, execute código em cada máquina que a instalar.

Demonstração de exfiltração de dados da Cisco

A equipe de segurança de IA da Cisco publicou uma demonstração detalhada mostrando como uma habilidade de terceiros pode extrair silenciosamente dados sensíveis do sistema host. A habilidade parece benigna — realizando sua função anunciada — enquanto simultaneamente lê arquivos e envia conteúdos para um servidor externo.

Como as habilidades do OpenClaw rodam com as mesmas permissões que o agente (que tem amplo acesso ao sistema), não há uma fronteira de isolamento entre o que uma habilidade deve fazer e o que realmente faz.

O que a comunidade de segurança está dizendo

A resposta da comunidade de segurança tem sido direta:

  • XDA-Developers publicou um artigo intitulado “Por favor, parem de usar OpenClaw”
  • Computerworld descreveu a plataforma como “um pesadelo de segurança”
  • Gary Marcus a chamou de “um desastre esperando para acontecer”
  • Kaspersky publicou um post detalhado catalogando vulnerabilidades específicas e recomendando que os usuários isolem o OpenClaw em hardware dedicado

Essas não são vozes marginais. Elas representam o consenso geral da comunidade de pesquisa em segurança.

O que você pode fazer

Se você está usando o OpenClaw atualmente, tem três opções:

Opção 1: Fortaleça sua configuração existente. Mova o OpenClaw para uma máquina virtual isolada. Evite todas as habilidades do ClawHub. Armazene chaves de API em um gerenciador de segredos adequado em vez de ~/.clawdbot. Use a openclaw-secure-stack da comunidade para escaneamento de habilidades e proteção contra injeção de prompt. Isso reduz o risco, mas não elimina o problema arquitetônico fundamental.

Opção 2: Experimente o NanoClaw. Este fork de 700 linhas em TypeScript roda dentro de contêineres da Apple, proporcionando isolamento significativo no macOS. É minimalista, suporta menos integrações e está em estágio inicial — mas resolve o problema de acesso ao sistema bruto.

Opção 3: Mude para uma alternativa em sandbox. Plataformas baseadas em nuvem como LikeClaw executam todo o código do agente dentro de contêineres E2B isolados. As habilidades são verificadas antes da publicação. As credenciais são criptografadas. Não há máquina host para comprometer. A desvantagem é que seu agente roda na nuvem em vez de localmente.

A escolha certa depende das suas prioridades. Se a privacidade local é inegociável, fortaleça sua configuração ou experimente o NanoClaw. Se segurança e zero-configuração importam mais, agentes em nuvem em sandbox eliminam toda a categoria de risco.

A lição mais profunda

Os problemas de segurança do OpenClaw não são bugs a serem corrigidos. Eles são consequências de uma decisão arquitetônica: dar ao agente acesso total ao sistema e resolver a segurança depois.

Essa abordagem não escala. À medida que os agentes de IA se tornam mais capazes e autônomos, o raio de explosão de uma falha de segurança cresce. A indústria está se movendo em direção à execução em sandbox pelo mesmo motivo que nos afastamos de executar código como root para executá-lo em contêineres. O isolamento não é uma limitação. É uma característica.

A demanda que o OpenClaw provou é real. Agentes de IA autônomos que executam código, gerenciam arquivos e automatizam fluxos de trabalho — esse é o futuro. A questão é se esse futuro roda na sua máquina bare ou dentro de uma sandbox projetada para isso.

Os cinco riscos de segurança

1

Ataques à Cadeia de Suprimentos

341+ habilidades maliciosas no ClawHub. 335 usaram pré-requisitos falsos para instalar malware de roubo de macOS. Nenhuma verificação adequada ou revisão de código para as submissões.

2

Acesso ao Sistema Bruto

Acesso completo ao sistema de arquivos, shell e rede com apenas uma lista de permissões fraca entre o agente e toda a sua máquina.

3

Exposição de Credenciais

As chaves da API estão armazenadas em texto simples em ~/.clawdbot. Chaves deletadas persistem em arquivos .bak. Uma violação expõe todos os serviços conectados.

4

Execução Remota de Código

Uma vulnerabilidade de RCE documentada com um clique permite que atacantes executem código arbitrário na sua máquina através de pacotes de skill manipulados.

5

Exfiltração de Dados

A Cisco demonstrou que uma habilidade de terceiros pode extrair silenciosamente dados sensíveis do seu sistema e enviá-los para um servidor externo.

Há uma abordagem melhor

Esses cinco riscos têm uma causa raiz comum: o agente roda diretamente na sua máquina com amplo acesso ao sistema. Cada habilidade, cada comando, cada resposta do LLM é executada no seu ambiente com suas permissões.

A execução em sandbox é a resposta arquitetônica. Quando o código roda em um contêiner isolado que é criado para cada tarefa e destruído depois, ataques à cadeia de suprimentos não têm nada para roubar. Credenciais nunca tocam o ambiente de execução. Dados exfiltrados não vão a lugar nenhum. O raio de explosão de qualquer vulnerabilidade diminui de todo o seu sistema para um sandbox vazio e efêmero.

Segurança não é uma funcionalidade que você adiciona. É uma arquitetura da qual você parte.

Como agentes de IA em sandbox resolvem esses problemas

  1. 1

    Ataques à cadeia de suprimentos estão contidos

    As habilidades são executadas em contêineres isolados, sem acesso ao sistema de arquivos do host, credenciais ou rede. Uma habilidade maliciosa só pode danificar um sandbox vazio que é destruído segundos depois.

  2. 2

    O acesso ao sistema é eliminado por design.

    Não há uma máquina host para acessar. O agente roda na nuvem dentro de um contêiner E2B. Seu laptop, seus arquivos, seu histórico de shell — nada disso é acessível.

  3. 3

    As credenciais são criptografadas e separadas.

    As chaves da API são armazenadas em cofres criptografados, nunca em arquivos de configuração em texto claro. O ambiente de execução recebe apenas os tokens necessários para cada tarefa específica, com escopo e tempo limitados.

  4. 4

    A execução remota de código não tem alvo.

    Mesmo que um atacante consiga executar código, ele cai dentro de um container descartável sem dados persistentes, sem credenciais e sem rota de rede de volta para sua máquina.

  5. 5

    A exfiltração de dados chega a um beco sem saída

    Contêineres em sandbox têm políticas de rede controladas. Conexões de saída para endpoints desconhecidos são bloqueadas. Seus dados permanecem no seu espaço de trabalho, não no contexto de execução da skill.

Perguntas comuns sobre a segurança do OpenClaw

O OpenClaw é seguro para usar?

Depende do seu modelo de ameaça. OpenClaw dá aos agentes acesso total ao seu sistema de arquivos, shell e rede. Cinco organizações de segurança (Kaspersky, Cisco, Snyk, Wiz e Bitsight) publicaram avisos sobre vulnerabilidades específicas. Se você usar, evite instalar habilidades de terceiros do ClawHub sem revisar o código-fonte, e nunca armazene chaves de API no local padrão em texto simples.

Quais são as alternativas ao OpenClaw?

Você tem várias opções. Para agentes de IA baseados em nuvem com sandbox, o LikeClaw executa todo o código em contêineres E2B isolados com habilidades verificadas e credenciais criptografadas. Para configurações locais mínimas, o NanoClaw é um fork de 700 linhas que roda dentro de contêineres da Apple. Para IA apenas de chat (sem execução de código), Claude, ChatGPT e Gemini são mais seguros, mas menos capazes. Sua escolha depende de você precisar de execução de código autônoma e de quanto setup você está disposto a gerenciar.

Posso proteger o OpenClaw eu mesmo?

Parcialmente. Você pode auto-hospedar em uma máquina virtual isolada, evitar completamente as habilidades do ClawHub, mover as chaves da API de ~/.clawdbot para um gerenciador de segredos adequado e executá-lo atrás de um firewall. O projeto da comunidade openclaw-secure-stack adiciona um scanner de habilidades e proteção contra injeção de prompts. Mas o problema fundamental — acesso bruto ao sistema para cada execução — continua sendo uma limitação arquitetônica que não pode ser corrigida.

E quanto ao NanoClaw?

NanoClaw é um fork minimal promissor. Com 700 linhas de TypeScript, ele roda dentro de containers da Apple para isolamento básico e é construído sobre o SDK de Agentes da Anthropic. Resolve alguns problemas de segurança, mas é limitado ao macOS, suporta menos integrações e ainda está em estágio inicial. É uma boa opção se você quer uma abordagem local-primeiro com mais segurança do que o OpenClaw padrão.

Como a execução em sandbox realmente funciona?

A sandboxing baseada em nuvem utiliza contêineres isolados (como o E2B) que são criados para cada tarefa e destruídos após a conclusão. O código do agente é executado dentro desse contêiner, que possui seu próprio sistema de arquivos, regras de rede e limites de recursos. Ele não pode ver ou acessar sua máquina local. Pense nisso como executar código em uma sala limpa que é incinerada após cada uso. Seus arquivos, credenciais e sistema permanecem intocados, independentemente do que o agente faz dentro da sandbox.