OpenClaw promete produtividade total – e entrega um alerta de segurança
Especialistas em cibersegurança alertam que pontos vulneráveis podem permitir que hackers acessem arquivos privados, e-mails e mensagens
Pesquisadores de cibersegurança descobriram cerca de mil pontos de acesso desprotegidos ligados ao OpenClaw, um agente de IA de código aberto e proativo que pode ser controlado por conversas de texto em aplicativos como WhatsApp ou Telegram.
Esses pontos de acesso (gateways) estavam expostos na internet aberta, o que permitiria que qualquer pessoa acessasse informações pessoais dos usuários.
Um hacker ético também teria conseguido manipular o sistema de “funcionalidades” do OpenClaw – que permite adicionar plugins para tarefas como automação web ou controle do sistema – para chegar ao topo do ranking e ter sua invenção baixada por usuários do mundo todo. A funcionalidade em si era inofensiva, mas explorava uma falha de segurança que alguém com más intenções poderia usar para causar sérios prejuízos.
- Veja compartilhamentos mais estranhos que as IAs fizeram em sua rede social, o Moltbook
- É sério: agentes de IA podem “chutar o balde” e deixar a empresa na mão
- Além do código: IA pode administrar até a estrutura de suporte aos softwares
- Vibe coding permite que qualquer um escreva software, mas tem lá seus riscos
O acesso a esses gateways daria a hackers a mesma permissão que o OpenClaw tem: leitura e escrita completas nos arquivos de um usuário, além de controle total sobre contas conectadas, incluindo e-mails e números de telefone. Diversos incidentes explorando essas vulnerabilidades já foram relatados.
O OpenClaw – originalmente chamado Clawdbot – foi lançado em novembro de 2025 por Peter Steinberger, desenvolvedor austríaco radicado em Londres, mais conhecido por criar uma ferramenta que permite a aplicativos exibir e editar PDFs de forma nativa.
O lançamento veio na esteira de uma série de avanços na capacidade das IAs de interagir diretamente com arquivos, iniciada no fim de 2025.
aquilo que torna o OpenClaw tão atraente é também o que o torna tão preocupante.
No final do ano passado, muitas pessoas começaram a experimentar o Claude Code, da Anthropic – um agente de IA que se conecta ao sistema de arquivos de um computador e responde a prompts para construir projetos complexos de forma quase autônoma, com alguma supervisão.
A ferramenta empolgou muitos usuários, mas também afastou outros que não se sentiam confortáveis trabalhando em interfaces não gráficas.
Como resposta, a Anthropic colocou o Claude Code para trabalhar de forma autônoma em um produto “irmão”, o Claude Work, que adiciona uma camada de interface mais amigável. Embora tenha ganhado alguma tração, foi um produto de terceiros (desenvolvido fora da Anthropic) que acabou capturando mais atenção.
AGENTES DE IA SEM SUPERVISÃO
Forçada a mudar de nome para Moltbot e depois para OpenClaw, após um pedido da Anthropic, a ferramenta criada por Steinberger replica os melhores recursos do Claude Code, mas com mais funcionalidades e a capacidade de atuar de forma proativa, sem precisar ser acionado o tempo todo.
Essa proatividade é um dos principais diferenciais da ferramenta em relação a outros sistemas de IA. Seu potencial animou o setor de tecnologia, impulsionou as vendas do Mac Mini como uma forma popular de hospedar o agente e passou a dominar certos nichos do X e do Reddit.
O problema é que exatamente aquilo que torna o OpenClaw tão atraente – a possibilidade de supervisionar um assistente de IA sem conhecimento especializado em programação e com configuração simples – é também o que o torna tão preocupante.
“Abrir mensagens privadas e e-mails para qualquer nova tecnologia envolve riscos. Quando não entendemos completamente esses riscos, podemos estar entrando numa nova era em que eficiência vem antes de segurança e privacidade”, alerta Jake Moore, especialista em cibersegurança da Eset.
A proatividade é um dos principais diferenciais do OpenClaw em relação a outros sistemas de IA
O mesmo acesso que torna o OpenClaw poderoso é o que o torna perigoso se for comprometido. “Se um dos dispositivos onde o Clawdbot estiver rodando for invadido, o invasor terá acesso a tudo, incluindo histórico completo e informações sensíveis”, afirma.
Steinberger não respondeu aos vários pedidos de entrevista, mas publicou uma extensa documentação de segurança do Moltbot – ainda que muitos usuários provavelmente não apliquem essas recomendações em suas configurações. Isso preocupa os especialistas.
“Desenvolvimentos como o Clawdbot são muito sedutores, mas um presente para os criminosos”, diz Alan Woodward, professor de cibersegurança da Universidade de Surrey, no Reino Unido. “Com grandes poderes vêm grandes responsabilidades, e máquinas não são responsáveis. No fim das contas, o usuário é.”
Leia mais: IA offline: veja vantagens de inteligências que não dependem de internet
A forma como o OpenClaw opera – rodando sem supervisão constante e atuando como um assistente sempre ativo – pode fazer com que os usuários esqueçam dessa responsabilidade até que seja tarde demais.
“Fico imaginando quem esses usuários acham que será responsabilizado quando um agente de IA esvaziar suas contas ou publicar mensagens de ódio”, diz Woodward.
