Escaneamos 5.327 habilidades do ClawHub. 65 eram perigosas.

Por que escaneamos cada habilidade no ClawHub

Estamos construindo um marketplace de habilidades para o LikeClaw. Para populá-lo, importamos habilidades do ClawHub — o registro comunitário do OpenClaw com mais de 7.000 habilidades. Mas nos recusamos a importar cegamente. A Snyk já encontrou 341 habilidades maliciosas confirmadas nesse registro. Precisávamos saber exatamente com o que estávamos lidando.

Então, construímos um pipeline que baixa, analisa e analisa cada habilidade no ClawHub. Não uma amostra. Não as 100 principais. Todas elas.

O resultado: das 5.327 habilidades que passaram pelo nosso filtro inicial de compatibilidade, 65 foram sinalizadas como perigosas. Isso representa 1,2% do marketplace. Uma em cada 83 habilidades quer fazer algo que não deveria.

Aqui está o que encontramos, como encontramos e o que fazemos a respeito.

Como funciona o pipeline de escaneamento

Nossa detecção ocorre em três etapas.

Etapa 1: Baixar todo o marketplace. Um script em Python pagina pela API do ClawHub, baixando o código-fonte, metadados e conteúdos de arquivos de cada habilidade para o armazenamento local. Limitado a 1,8 requisições por segundo com retrocesso exponencial. A execução mais recente baixou 7.001 diretórios de habilidades.

Etapa 2: Filtro de compatibilidade da plataforma. Antes da análise de segurança, filtramos a compatibilidade com o sandbox E2B. Habilidades que requerem binários apenas para macOS (osascript, pbcopy, Homebrew), contêineres Docker ou acesso direto ao sistema são sinalizadas como incompatíveis e ocultadas. Este filtro verifica dependências declaradas, analisa o código-fonte em busca de padrões específicos da plataforma e valida contra uma lista de bloqueio de 39 binários incompatíveis conhecidos. Esta etapa removeu 114 habilidades — deixando 5.327 para análise de segurança.

Etapa 3: Análise de código-fonte com inteligência artificial. O código-fonte completo de cada habilidade restante é concatenado e enviado para um LLM para avaliação de segurança. O modelo avalia cada habilidade com base em cinco critérios:

• Ela exfiltra dados para endpoints desconhecidos?
• Ela executa comandos destrutivos?
• Ela tenta injeção de prompt ou jailbreak?
• Ela acessa recursos sensíveis do sistema sem um propósito claro?
• Ela contém código ofuscado ou suspeito?

O modelo retorna um veredicto estruturado: seguro ou inseguro, uma categoria, uma descrição do que o código realmente faz (não o que o marketing afirma) e notas de segurança para quaisquer preocupações.

A execução completa analisou 5.213 habilidades ao longo de aproximadamente 13,5 horas. Zero falhas. 65 habilidades sinalizadas como inseguras. Cada uma dessas 65 foi posteriormente marcada como oculta em nosso banco de dados e excluída do nosso marketplace.

Os sete padrões de ameaça que encontramos

As 65 habilidades perigosas se agrupam em padrões de ataque distintos. Algumas são ousadas. Algumas são sutis. Algumas parecem coordenadas.

Padrão 1: Malware direto

Sete habilidades cruzaram a linha de “questionáveis” para “claramente maliciosas.” O pior infrator — uma habilidade chamada redpacket-claim — baixa e executa um binário arbitrário de um endereço IP codificado (120.48.191.124) sem verificação, sem checagem de assinatura, sem solicitação ao usuário. Você a instala, e ela executa o que o servidor enviar.

Outra, self-evolve, autoriza seu agente a executar comandos bash, modificar configurações do sistema e alterar arquivos sem qualquer etapa de confirmação. Uma terceira, bun-runtime, usa eval para executar comandos de shell arbitrários passados como strings — o padrão mais antigo e perigoso em segurança de software.

Essas não são ambíguas. Isso é execução remota de código entregue por meio de um marketplace de habilidades.

Padrão 2: O anel de exfiltração de PDF

Esse nos surpreendeu. Sete habilidades aparentemente não relacionadas — add-watermark-to-pdf, compress-pdf, merge-pdf, change-pdf-permissions, make-pdf-safe, password-protect-pdf e remove-password-from-pdf — todas roteiam PDFs enviados pelo usuário para o mesmo domínio: api.xss-cross-service-solutions.com.

Sete habilidades. Um domínio. Um domínio com “xss” no nome.

Usuários que instalam qualquer uma dessas habilidades e enviam um PDF estão enviando seus documentos — contratos, extratos financeiros, registros pessoais — para um único servidor externo. As habilidades parecem independentes. Elas têm nomes diferentes, descrições diferentes, autores aparentes diferentes. Mas todas se conectam ao mesmo lugar.

Isso parece uma campanha coordenada para coletar conteúdo de PDF em grande escala.

Padrão 3: Coleta de credenciais

Dez habilidades expõem credenciais diretamente ou as transmitem para terceiros.

Duas habilidades marcadas como Twitter Command Center (uma para busca + monitoramento, outra para busca + postagem) enviam o e-mail e a senha do Twitter dos usuários para api.aisa.one — uma API de automação de terceiros. A habilidade pede suas credenciais do Twitter para “ajudar você a gerenciar sua conta.” Então, envia para o servidor de outra pessoa.

coconala-seller encaminha credenciais de login para um serviço de automação de navegador externo. paytrigo-openclawbot vem com chaves de API ao vivo codificadas em seu código-fonte — qualquer um que leia o código-fonte pode acessar essas contas. voice-agent monta o diretório de credenciais do AWS do usuário (~/.aws) em um contêiner Docker que controla.

uniclaw é particularmente preocupante: ela acessa a mnemônica da carteira do usuário e a chave privada enquanto contém uma chave de API codificada em seu próprio código-fonte. Essa é uma combinação feita sob medida para drenar carteiras de criptomoedas.

Padrão 4: Exfiltração silenciosa de dados

A maior categoria. Mais de 17 habilidades enviam dados do usuário para servidores externos que os usuários nunca concordaram em compartilhar.

conversation-summary envia todo o seu histórico de conversas para iautomark.sdm.qq.com. voidborne exfiltra seu ID de máquina, nome do host, nome de usuário e conteúdo gerado para voidborne.org. clawcredit envia todo o rastreamento de raciocínio do seu agente — prompts, lógica e respostas — para um backend externo. telegram-body-scan encaminha dados de vídeo sensíveis (escaneamentos corporais) para um serviço externo.

clawswarm envia dados de registro, rastreamentos de raciocínio e soluções para claw-swarm.com. clawdrug envia entradas e saídas para uma API externa enquanto também baixa modelos de prompt remotos que podem modificar o comportamento do agente. trade-with-taro exfiltra conteúdo de conhecimento para kairyuu.net.

Em todos os casos, a descrição da habilidade não menciona nada sobre esse compartilhamento de dados. Os usuários não sabem que suas conversas, arquivos e saídas de agentes estão sendo encaminhados para servidores de terceiros.

Padrão 5: Exposição de carteira de criptomoedas

Oito habilidades requerem a chave privada da sua carteira de criptomoedas para funcionar. lobsterhood automatiza transferências de USDC sem confirmação — uma única regra mal configurada poderia drenar uma carteira. mia-polymarket-trader requer chaves privadas para negociação automatizada. bonero-miner executa operações de mineração intensivas em CPU, incentivando os usuários a executar scripts de instalação não verificados via o clássico padrão curl | bash.

Essas habilidades estão na interseção do risco financeiro e do risco da cadeia de suprimentos. Você dá a elas sua chave privada, e elas executam código que você não escreveu e não pode verificar.

Padrão 6: Ataques à cadeia de suprimentos

Seis habilidades baixam e executam código não verificado de URLs externas. MoltiumV2 busca e executa código de moltium.fun. desktop-sandbox baixa binários de instaladores do GitHub e os executa com privilégios de sistema. xiaohongshu requer acesso sudo para instalar pacotes do sistema de fontes não verificadas.

O padrão é sempre o mesmo: a habilidade afirma precisar de uma dependência, baixa-a de uma URL que o usuário não pode verificar e a executa. Este é o exato vetor de ataque que a Snyk documentou nos 335 casos de stealer para macOS — mas com cargas diferentes.

Padrão 7: XSS e injeção de prompt

Três habilidades são provas explícitas de ataques de prova de conceito contra a própria plataforma ClawHub. localstorage-poc usa JavaScript embutido em SVG para acessar tokens de autenticação do localStorage, e então envia um ping para um endpoint externo com a contagem de tokens. red-pill carrega um iframe externo de clawdhub.com através de um vetor XSS em SVG.

Essas habilidades demonstram que a própria plataforma do ClawHub é vulnerável a scripts entre sites através de seu pipeline de renderização de habilidades. Elas existem no marketplace como exploits funcionais.

O que fazemos com os resultados

Toda habilidade sinalizada como insegura é automaticamente ocultada em nosso banco de dados. Ela nunca aparece em listagens de habilidades, resultados de busca ou no seletor de habilidades. Os usuários não podem instalá-la.

Mas o escaneamento automatizado é apenas o primeiro filtro. Nosso pipeline completo tem três camadas:

1. Análise automatizada captura as 65 habilidades descritas neste post — as obviamente perigosas.
2. Revisão humana avalia cada habilidade antes que ela apareça em nosso marketplace. Alguns comportamentos que parecem suspeitos têm explicações legítimas. Alguns comportamentos que parecem seguros são na verdade perigosos. A decisão final é humana.
3. Execução em sandbox significa que mesmo que uma habilidade de alguma forma passe por ambos os filtros, ela roda dentro de um container E2B — um ambiente isolado que é criado por tarefa e destruído depois. Uma habilidade maliciosa dentro de um sandbox é uma habilidade maliciosa sem para onde ir.

O que isso não captura

Queremos ser transparentes sobre os limites.

Nosso pipeline de escaneamento é forte, mas não infalível. Ele pode perder habilidades que:

• Ofuscam seu comportamento. Cargas codificadas em Base64, esteganografia ou ataques em várias etapas onde cada etapa parece benigna individualmente.
• Usam execução com atraso. Uma habilidade que se comporta normalmente por semanas e depois ativa código malicioso em um gatilho.
• Atualizam após a publicação. Uma habilidade que passa pela revisão e depois empurra uma atualização maliciosa. (Nosso pipeline reescaneia periodicamente, mas sempre há uma janela.)
• Exploram vulnerabilidades de dia zero. Ataques que visam fraquezas desconhecidas no sandbox ou ambiente de execução.

Nenhum sistema automatizado captura tudo. Não garantimos que nosso marketplace esteja livre de todos os riscos. O que garantimos é que estamos ativamente procurando, filtramos o que encontramos e o sandbox limita o raio de explosão de qualquer coisa que passe.

Isso é fundamentalmente diferente de um marketplace que não olha para nada.

Os números, em contexto

65 habilidades perigosas em 5.327 é uma taxa de 1,2%. Isso parece pequeno até você pensar na matemática de um marketplace em crescimento.

Com 5.327 habilidades, 1,2% significa 65 minas terrestres. Com 10.000 habilidades, significa 120. Com 50.000 habilidades, significa 600. Registros abertos ampliam sua superfície de ataque na mesma proporção em que ampliam seu valor. Cada nova habilidade é útil ou perigosa, e sem escaneamento sistemático, os usuários não têm como distinguir a diferença.

A pesquisa independente da Snyk encontrou 341 habilidades maliciosas confirmadas no ClawHub — um número absoluto maior porque sua análise cobriu períodos de tempo e critérios de detecção diferentes. Nossos 65 não contradizem suas descobertas. É um escaneamento separado com uma metodologia diferente que confirma a mesma conclusão: o marketplace do ClawHub tem um problema de segurança sistêmica.

As habilidades que sinalizamos ainda estão ativas no ClawHub. Ainda instaláveis. Usuários que executam o OpenClaw ainda podem instalá-las hoje.

No LikeClaw, elas são filtradas, revisadas e isoladas. Essa é a diferença entre um registro aberto e um marketplace verificado.