Um relatório da Certik destaca falhas de segurança significativas no Openclaw, uma plataforma de IA de código aberto, especialmente sua dependência da “verificação de habilidades”, que não protege adequadamente os usuários contra extensões maliciosas de terceiros.
Pesquisadores da Certik alertam que as habilidades de IA do Openclaw estão vulneráveis a explorações maliciosas
ESCRITO POR
PARTILHAR
Limitações do pipeline de moderação do Clawhub
Um relatório da empresa de segurança cibernética Certik revelou falhas de segurança significativas no OpenClaw, uma plataforma de agente de inteligência artificial de código aberto, alertando que sua dependência da “verificação de habilidades” é insuficiente para proteger os usuários contra extensões maliciosas de terceiros.
As conclusões, publicadas em 16 de março de 2026, sugerem que o modelo de segurança da plataforma depende excessivamente de detecção e alertas, em vez de um isolamento robusto em tempo de execução, deixando os usuários vulneráveis a comprometimentos no nível do host.
De acordo com o relatório, o marketplace do OpenClaw, o Clawhub, utiliza atualmente um fluxo de moderação em camadas para revisar “skills” — aplicativos de terceiros que conferem ao agente de IA capacidades como automação de sistemas ou operações com carteiras de criptomoedas. Esse pipeline inclui o Virustotal para a varredura de malware conhecido e o Static Moderation Engine, uma ferramenta lançada em 8 de março de 2026 para sinalizar padrões de código suspeitos. Ele também inclui o que o relatório chamou de “detector de incoerências”, projetado para identificar discrepâncias entre o objetivo declarado de uma skill e seu comportamento real.
No entanto, pesquisadores da Certik afirmaram que regras estáticas que buscam “sinais de alerta” foram contornadas por meio de uma simples reescrita de código. Eles também afirmaram que a camada de revisão de IA se mostrou eficaz em detectar intenções óbvias, mas teve dificuldade em identificar vulnerabilidades exploráveis ocultas em código que, de outra forma, pareceria plausível.
A lacuna do "Pendente"
Uma das falhas mais críticas identificadas pela Certik é o tratamento de resultados de varredura pendentes. Os pesquisadores descobriram que uma skill poderia permanecer ativa e instalável no marketplace mesmo enquanto os resultados do VirusTotal ainda estavam pendentes — um processo que pode levar horas ou dias. Na prática, essas skills pendentes eram tratadas como benignas, permitindo que fossem instaladas sem um aviso ao usuário.
Para comprovar a vulnerabilidade, os pesquisadores da Certik criaram uma skill de prova de conceito (PoC) chamada “test-web-searcher”. A skill parecia funcional e inofensiva, mas continha um bug oculto do tipo “vulnerabilidade” que permitia a execução arbitrária de comandos na máquina host. Quando invocada via Telegram, a skill contornou com sucesso o sandboxing opcional do Openclaw e “abriu uma calculadora” na máquina do pesquisador — uma demonstração clássica de comprometimento total do sistema.
Autonomous AI: Bot Openclaw Gera um Agente 'Filho' e o Financia com Bitcoin
Aprenda sobre o inovador agente Openclaw que compra infraestrutura autonomamente com bitcoin sem intervenção humana. read more.
Leia agora
Autonomous AI: Bot Openclaw Gera um Agente 'Filho' e o Financia com Bitcoin
Aprenda sobre o inovador agente Openclaw que compra infraestrutura autonomamente com bitcoin sem intervenção humana. read more.
Leia agoraAutonomous AI: Bot Openclaw Gera um Agente 'Filho' e o Financia com Bitcoin
Leia agoraAprenda sobre o inovador agente Openclaw que compra infraestrutura autonomamente com bitcoin sem intervenção humana. read more.
O relatório conclui que a detecção nunca pode substituir uma verdadeira barreira de segurança. A Certik está instando os desenvolvedores do Openclaw a executar habilidades de terceiros em ambientes isolados por padrão, em vez de depender da configuração opcional do usuário. Os desenvolvedores também devem implementar um modelo em que as habilidades devem declarar antecipadamente as necessidades específicas de recursos, semelhante aos sistemas operacionais móveis modernos.
Para os usuários, a Certik fez uma advertência severa: um rótulo de “benigno” no Clawhub não é prova de segurança. Até que um isolamento mais forte seja o padrão, a plataforma só deve ser usada em ambientes de baixo valor, longe de credenciais ou ativos confidenciais.
Perguntas frequentes ❓
- Que problema de segurança a Certik encontrou no Openclaw? A Certik relatou que a dependência do Openclaw na “verificação de habilidades” não protege adequadamente os usuários contra extensões maliciosas de terceiros.
- Como funciona o fluxo de moderação do Openclaw? O Openclaw utiliza um fluxo de moderação em camadas, incluindo ferramentas como o Virustotal e um detector de incoerências para revisar as “skills” de terceiros.
- Qual é a falha crítica relacionada aos resultados de verificação pendentes? As habilidades podem permanecer ativas e instaláveis enquanto os resultados da verificação estão pendentes, representando um risco, pois os usuários podem instalar extensões maliciosas sem saber.
- O que os usuários devem fazer para proteger seus dados no Openclaw? Recomenda-se que os usuários utilizem o Openclaw apenas em ambientes de baixo valor até que medidas de isolamento mais robustas sejam implementadas pelos desenvolvedores.
