O Colapso do OpenClaw: 9 CVEs, 2.200 Skills Maliciosas e o Mais Abrangente Teste Real do OWASP Agentic Top 10
Em 5 semanas, o OpenClaw acionou 8 das 10 classes de vulnerabilidade do OWASP Agentic. Esta é a dissecação forense que todo engenheiro que cria agentes de...
✨TL;DR / Sumário Executivo
Em 5 semanas, o OpenClaw acionou 8 das 10 classes de vulnerabilidade do OWASP Agentic. Esta é a dissecação forense que todo engenheiro que cria agentes de...
💡 TL;DR (Muito Longo; Não Li)
Principais conclusões em 60 segundos:
- O OpenClaw (antigo Clawdbot/Moltbot) foi de zero a mais de 200.000 estrelas no GitHub em semanas. No mesmo período, acumulou 9 CVEs divulgados, mais de 2.200 skills maliciosas em seu marketplace e mais de 40.000 instâncias expostas na internet — 93,4% com bypass de autenticação.
- 8 das 10 classes de vulnerabilidade do OWASP Agentic (ASI01–ASI10) foram acionadas em produção por incidentes reais, não cenários hipotéticos. O OpenClaw é o primeiro teste de campo abrangente do framework que a OWASP publicou em dezembro de 2025.
- A cadeia de ataque é clássica: Cadeia de Suprimentos (ASI06) → Sequestro de Objetivo (ASI01) → Uso Indevido de Ferramentas (ASI02) → Abuso de Identidade (ASI03) → Exfiltração de Dados. Uma única skill maliciosa pode encadear todas as quatro em uma única execução.
- O Atomic macOS Stealer (AMOS) foi distribuído por meio de skills do ClawHub que usaram o próprio agente de IA como vetor de engenharia social — induzindo o agente a apresentar falsos diálogos de configuração ao usuário. Esta é uma nova primitiva de ataque: malware que usa engenharia social em IA, não diretamente em humanos.
- "ClawJacked" (divulgado hoje, 2 de março de 2026): Qualquer site malicioso pode sequestrar silenciosamente agentes OpenClaw locais por meio de suposições de confiança do WebSocket. Um clique. Comprometimento total. Até mesmo instâncias vinculadas a localhost estão vulneráveis.
- Conclusão: Se a sua organização tem desenvolvedores executando o OpenClaw, você já tem um agente não gerenciado, com privilégios excessivos e conectado à internet com acesso ao seu e-mail, Slack, credenciais de nuvem e terminal. Trate isso como um incidente P0.
Série: Mergulho Profundo no OWASP Agentic Top 10 — Parte 2 de 7 Anterior: A Nova Bíblia de Segurança: Por Que Todo Engenheiro Construindo Agentes de IA Precisa do OWASP Agentic Top 10
"Para dominar uma ferramenta, você precisa entender como ela foi construída. Para sobreviver a uma era, você precisa entender como as coisas quebram."
O Cronograma Que Deveria Aterrorizar Você
Antes de dissecarmos os mapeamentos do OWASP, você precisa ver a velocidade dessa crise. Construo sistemas há trinta anos e nunca vi uma superfície de segurança se expandir tão rápido em um projeto que não fosse intencionalmente malicioso.
Novembro de 2025: O desenvolvedor austríaco Peter Steinberger publica o "Clawdbot" como um hack de fim de semana — um agente de IA local que se conecta ao WhatsApp, Telegram, Slack e pode executar comandos shell. Ele viraliza instantaneamente nas comunidades de tecnologia.
Final de Janeiro de 2026: O projeto (agora renomeado OpenClaw após disputas de marca registrada) ultrapassa a marca de 100.000 estrelas no GitHub. O Censys rastreia o crescimento de ~1.000 para mais de 21.000 instâncias publicamente expostas em seis dias. A Bitsight identifica independentemente mais de 30.000.
30 de Janeiro de 2026: O CVE-2026-25253 é divulgado — uma cadeia RCE de um clique com CVSS 8.8. Três avisos de alta gravidade ("advisories") são publicados no mesmo dia. O projeto corre desesperadamente para lançar a versão 2026.1.29.
2 de Fevereiro de 2026: Pesquisadores relatam a campanha ClawHavoc — 341 skills maliciosas descobertas no ClawHub, aproximadamente 12% de todo o registro. O número sobe para mais de 800 em dias.
13 de Fevereiro de 2026: A issue #16052 no GitHub formaliza a crise da cadeia de suprimentos. A Trend Micro identifica 39 skills distribuindo AMOS (Atomic macOS Stealer) por meio de uma técnica inédita: a skill maliciosa instrui o próprio agente OpenClaw a apresentar falsos diálogos de instalação de CLI aos usuários.
15 de Fevereiro de 2026: Sam Altman anuncia que Peter Steinberger está se juntando à OpenAI. O OpenClaw será transferido para uma fundação. A crise de segurança continua implacável.
23 de Fevereiro de 2026: A Trend Micro publica uma análise abrangente documentando mais de 2.200 skills maliciosas em todos os registros do ClawHub e SkillsMP. O pesquisador de segurança Maor Dayan identifica 42.665 instâncias expostas, com 5.194 confirmadamente vulneráveis.
26 de Fevereiro de 2026: O "ClawJacked" é corrigido na versão 2026.2.25 — uma falha de design em que qualquer site pode sequestrar agentes locais por meio de conexões WebSocket que o gateway auto-confia do localhost.
2 de Março de 2026 (hoje): A divulgação do ClawJacked se torna pública. O OpenClaw já enviou mais de 40 correções de segurança nas versões recentes. O ecossistema permanece sob ataque ativo.
Cinco semanas. Nove CVEs. Dois mil pacotes maliciosos. Quarenta mil instâncias expostas. E este é um assistente de IA pessoal que muitos desenvolvedores deram acesso shell total, tokens OAuth para e-mail, credenciais de nuvem e chaves de API.
Deixe isso afundar.
Mapeando a Carnificina: OpenClaw vs. OWASP Agentic Top 10
Na Parte 1 desta série, Athena apresentou o framework OWASP Agentic Top 10 como um manual de campo teórico. O OpenClaw transformou esse manual de campo em um diário de guerra.
Vou examinar passo a passo cada classe de vulnerabilidade e mostrar exatamente como o OpenClaw a acionou — não com cenários hipotéticos, mas com números de CVE, cadeias de ataques documentadas pela CrowdStrike, Trend Micro, Oasis Security e Hudson Rock, e código que você mesmo pode auditar.
ASI01 — Agent Goal Hijack (Sequestro de Objetivo do Agente) ✅ CONFIRMADO
O que OWASP diz: Um invasor altera os objetivos de um agente injetando instruções maliciosas nos dados que o agente processa — e-mails envenenados, PDFs, convites de reunião, documentos RAG ou conteúdo da web. Agentes não conseguem separar instruções de dados de forma confiável.
O que o OpenClaw provou: Isso não é um caso isolado teórico. É o modo de operação padrão para ataques contra o OpenClaw.
A análise do Cyera Research Labs documentou o mecanismo exato. O OpenClaw se conecta ao seu e-mail, Slack, Google Docs e Notion. Cada uma dessas superfícies permite que um atacante externo injete conteúdo que o agente processa. Uma DM (Mensagem Direta) maliciosa no Slack pode forçar o agente a executar pesquisas globais por credenciais e exfiltrar resultados. Um documento compartilhado no Google Docs com instruções invisíveis ou de baixo contraste pode redirecionar o agente para exportar contatos, planilhas e conteúdo do Drive quando o usuário pede um resumo.
A visão crítica: o invasor nunca precisa comprometer a skill em si. Eles apenas precisam colocar conteúdo envenenado em qualquer superfície que o agente leia.
A variante de envenenamento de log corrigida na versão 2026.2.13 demonstrou um ataque ainda mais insidioso: um invasor escreve conteúdo manipulado em arquivos de log do gateway por meio de solicitações WebSocket. Quando o agente lê posteriormente seus próprios logs para solucionar problemas (um comportamento padrão), a entrada de log envenenada contém instruções maliciosas que o LLM segue. O agente é literalmente enganado pela sua própria memória.
ASI02 — Tool Misuse (Mau Uso de Ferramentas) ✅ CONFIRMADO
O que OWASP diz: Agentes usam ferramentas legítimas de maneiras inseguras ou não intencionais devido a comandos ambíguos ou influência maliciosa. As ferramentas em si não são maliciosas — elas têm permissões excessivas.
O que o OpenClaw provou: A arquitetura do OpenClaw é essencialmente um mecanismo de mau uso de ferramenta por design. O agente roda com acesso total ao shell, chaves de API em sua configuração e a capacidade de instalar e rodar skills de um marketplace da comunidade.
O CVE-2026-25157 (injeção de comando de alta gravidade no tratamento de SSH) demonstra o padrão perfeitamente. Entradas mal escapadas no manipulador SSH do aplicativo macOS permitem que atacantes executem comandos arbitrários em hosts locais ou remotos. A ferramenta SSH é legítima. O uso da ferramenta SSH é transformado em arma por meio de manipulação de entrada.
O problema mais profundo é o que a equipe de pesquisa do Stellar Cyber descreveu: os controles de acesso do seu agente são governados por permissões em nível de rede. Se a conta do agente tiver acesso via API a um banco de dados de clientes, o firewall permitirá qualquer consulta desse agente. O firewall não consegue distinguir entre recuperação legítima e extração não autorizada. A validação semântica na camada de rede simplesmente não existe.
ASI03 — Identity and Privilege Abuse (Abuso de Identidade e Privilégio) ✅ CONFIRMADO
O que OWASP diz: Atacantes exploram permissões existentes ou credenciais armazenadas em cache para escalar privilégios. O risco aumenta quando os agentes usam identidades compartilhadas ou reutilizam tokens em vários contextos de segurança.
O que o OpenClaw provou: A descoberta do Hudson Rock é o exemplo mais assustador. A equipe deles documentou uma infecção por um "infostealer" (roubador de informações) que exfiltrou com sucesso toda a configuração do OpenClaw de uma vítima: openclaw.json (tokens de gateway e e-mail), device.json (chaves criptográficas para pareamento e assinatura) e soul.md (os princípios operacionais completos e diretrizes comportamentais do agente).
Como o Hudson Rock colocou: "Esta descoberta marca um marco significativo na evolução do comportamento dos infostealers: a transição do roubo de credenciais de navegador para o roubo de 'almas' e identidades de agentes de IA pessoais." O token de gateway roubado permite que um invasor se conecte remotamente à instância OpenClaw da vítima ou se disfarce como cliente em solicitações autenticadas.
Isso mapeia diretamente o que a Palo Alto Networks sinalizou em sua análise OWASP: a empresa média enfrenta uma proporção de identidade máquina-para-humano de 82:1. Todo agente de IA se torna um ponto de agregação para identidades não-humanas. Quando um agente é comprometido, o invasor herda a autoridade de todas as chaves, tokens e contas de serviço atribuídas a ele.
ASI04 — Memory Poisoning (Envenenamento de Memória) ✅ CONFIRMADO
O que OWASP diz: Atacantes corrompem as fontes de dados nas quais o agente confia para conhecimento e tomada de decisão, levando a resultados falhos, enviesados ou maliciosos. O envenenamento de memória escala ao longo do tempo — uma injeção compromete meses de interações.
O que o OpenClaw provou: O ataque de envenenamento de log (corrigido na 2026.2.13) é uma implementação clássica de ASI04. Mas a pesquisa do Lakera AI pinta um quadro ainda mais sombrio: injeção indireta de prompt via fontes de dados envenenadas pode corromper a memória de longo prazo de um agente, fazendo com que ele desenvolva falsas crenças persistentes sobre políticas de segurança e relacionamentos com fornecedores. O agente defende essas falsas crenças como corretas quando questionado por humanos.
Isso cria o cenário do "agente adormecido" (sleeper agent) que tira o sono das equipes de segurança. A injeção inicial pode ser invisível. O dano indireto só se manifesta quando a instrução plantada é ativada semanas ou meses depois. A resposta tradicional a incidentes assume que a contenção acontece rapidamente. O envenenamento de memória quebra totalmente essa suposição.
Um exemplo real documentado pelo Stellar Cyber: o agente de compras (procurement) de uma empresa de manufatura foi manipulado ao longo de três semanas através de "esclarecimentos" aparentemente úteis sobre limites de autorização de compras. No momento em que o ataque foi concluído, o agente acreditava poder aprovar qualquer compra abaixo de $500.000 sem revisão humana. O atacante então fez pedidos de compra falsos de US$ 5 milhões em dez transações separadas.
ASI05 — Unsafe Code and Output Handling (Tratamento de Código e Saída Inseguros) ✅ CONFIRMADO
O que OWASP diz: Agentes geram e executam código sem validação adequada, criando vetores de injeção.
O que o OpenClaw provou: A cadeia de exploit central no CVE-2026-25253 demonstra isso perfeitamente. A interface de controle do OpenClaw aceita um parâmetro gatewayUrl da query string e automaticamente estabelece uma conexão WebSocket para aquela URL — transmitindo o token de autenticação do usuário sem confirmação. O atacante cria um link malicioso. A vítima clica. O token de autenticação é exfiltrado. O atacante se conecta ao gateway, desativa o sandbox e executa comandos arbitrários.
Mas o ecossistema de skills torna isso ainda pior. O gancho "soul-evil" documentado por pesquisadores demonstrou como injeções de prompt podem encadear os recursos do OpenClaw para obter comprometimento persistente. Skills podem conter arquivos SKILL.md com instruções arbitrárias que o agente executa. As mais de 2.200 skills maliciosas identificadas pela Trend Micro incluem:
- Payloads codificados em Base64 que decodificam para comandos
curlbaixando código arbitrário da infraestrutura do invasor. - Endpoints de servidores MCP ocultos roteando tráfego via tunelamento
bore.pubpara hosts controlados por invasores. - Repositórios do GitHub hospedando instaladores maliciosos disfarçados de pacotes de drivers.
Cada um desses payloads foi gerado e executado pelo framework do agente sem sandboxing adequado ou validação de saída.
ASI06 — Supply Chain Vulnerabilities (Vulnerabilidades na Cadeia de Suprimentos) ✅ CONFIRMADO
O que OWASP diz: Riscos surgem de modelos de terceiros, ferramentas ou personas de agentes pré-configuradas que podem ser comprometidas ou maliciosas. O que torna isso mais complexo do que o software tradicional é que componentes agentic frequentemente são carregados dinamicamente em tempo de execução.
O que o OpenClaw provou: Aqui é onde a crise atinge escala industrial.
Os números são impressionantes: mais de 2.200 skills maliciosas identificadas nos registros do ClawHub e SkillsMP. Uma auditoria independente de mais de 2.890 skills do OpenClaw concluiu que 41,7% contêm vulnerabilidades de segurança graves. O relatório da Barracuda Security identificou 43 componentes da estrutura de agentes com vulnerabilidades embutidas na cadeia de suprimentos.
A análise da Trend Micro sobre a campanha de distribuição do AMOS revela um ataque genuinamente inédito. As skills maliciosas não contêm apenas malware — elas instruem o próprio agente OpenClaw a apresentar requisitos de instalação falsos para o usuário. O agente torna-se um intermediário confiável na engenharia social. Ele avisa o usuário, com toda a fluência e autoridade de um assistente de IA, que precisa da senha do sistema para concluir uma instalação. O usuário confia no agente. O malware é instalado.
Isso não é envenenamento tradicional da cadeia de suprimentos. É envenenamento de cadeia de suprimentos agentic — onde o componente comprometido utiliza a agência do sistema host como arma. O marketplace de habilidades tem todos os vetores de ataque do npm, PyPI e outros (typosquatting, envios em massa, engenharia social), mas com uma diferença crítica nos privilégios. Uma dependência comprometida num app da web roda numa sandbox. Uma skill comprometida no OpenClaw roda com todas as permissões do agente — acesso shell, sistema de arquivos, tokens OAuth, credenciais de nuvem.
ASI07 — Insecure Inter-Agent Communication (Comunicação Insegura Entre Agentes) ⚠️ PARCIALMENTE CONFIRMADO
O que OWASP diz: Em sistemas multi-agentes, a coordenação frequentemente carece de criptografia, autenticação ou verificações de integridade. Invasores podem interceptar, forjar ou modificar mensagens entre agentes.
O que o OpenClaw provou: Embora o OpenClaw seja um framework primordialmente de agente único, a vulnerabilidade "ClawJacked" demonstra o vetor de ataque entre componentes. O gateway confia em conexões WebSocket advindas do localhost, e navegadores modernos permitem que JavaScript de qualquer site abra conexões WebSocket de origens cruzadas para serviços locais. O atacante registra um "dispositivo" malicioso que o gateway trata como confiável — criando na prática uma comunicação inter-agente não autorizada.
O relatório Cisco State of AI Security 2026 documentou padrões mais amplos: um agente de pesquisa comprometido inserindo instruções ocultas na saída consumida por um agente financeiro, que executou transações indesejadas. O ecossistema em expansão de skills e integrações de servidores MCP do OpenClaw cria a infraestrutura para exatamente esse tipo de ataque inter-agente.
ASI08 — Cascading Failures (Falhas em Cascata) ⚠️ PARCIALMENTE CONFIRMADO
O que OWASP diz: Um erro mínimo — causado por alucinação, injeções de prompt ou falhas locais — propaga-se e amplifica-se através da cadeia de agentes autônomos.
O que o OpenClaw provou: A campanha ClawHavoc demonstra falhas em cascata em nível de ecossistema. Uma única skill maliciosa pode encadear: infecção do agente → exfiltração de tokens OAuth → movimento lateral através de SaaS conectado → comprometimento de serviços downstream. A skill maliciosa "bob-p2p-beta" foi além: instruía outros agentes de IA a armazenar chaves privadas de carteiras Solana em texto simples e rotear pagamentos através da infraestrutura do invasor. Isso é falha em cascata cruzando fronteiras de agentes.
ASI09 — Human-Agent Trust Exploitation (Exploração de Confiança Humano-Agente) ✅ CONFIRMADO
O que OWASP diz: Agentes podem ser fluentes e persuasivos. Atacantes exploram a confiança antropomórfica para induzir os usuários a realizar ações prejudiciais. O agente age como uma "má influência", mas o humano é quem realiza a ação auditada final.
O que o OpenClaw provou: A campanha de distribuição do AMOS é o estudo de caso definitivo do ASI09. O ataque funciona em três estágios:
- A skill maliciosa é instalada (ASI06 — Cadeia de Suprimentos).
- A skill instrui o agente a exibir um falso diálogo de "instalação via CLI necessária" (ASI01 — Sequestro de Meta + ASI09 — Exploração de Confiança).
- O usuário, confiando na recomendação do agente, insere sua senha do sistema no diálogo falso (O humano realiza a ação final).
Para uma equipe forense, parece que o usuário instalou voluntariamente o software e inseriu sua senha. A manipulação do agente permanece invisível. Este é exatamente o padrão de ataque sobre o qual o OWASP alertou, executado em escala através de um marketplace comunitário.
ASI10 — Rogue Agents (Agentes Maliciosos) ✅ CONFIRMADO
O que OWASP diz: Agentes comprometidos ou desalinhados que divergem do comportamento pretendido.
O que o OpenClaw provou: Toda instância OpenClaw comprometida que executa uma skill maliciosa é, por definição, um agente malicioso. Mas o exemplo mais significativo é o infostealer que capturou o soul.md — as diretrizes comportamentais do agente. Um invasor que possua o arquivo de alma do seu agente, o token do gateway e as chaves criptográficas pode criar uma cópia perfeita do seu agente, com suas permissões, seu perfil comportamental e seus serviços conectados. O agente malicioso é o seu agente, rodando na infraestrutura do invasor.
A Matriz de Cobertura OWASP
| ASI | Classe de Vulnerabilidade | Status | Evidência Chave |
|---|---|---|---|
| ASI01 | Sequestro de Meta | ✅ | Injeção indireta de prompt via Slack, e-mail, Google Docs, logs |
| ASI02 | Mau Uso de Ferramenta | ✅ | CVE-2026-25157 (SSH), acesso shell superprivilegiado |
| ASI03 | Abuso de Identidade | ✅ | Roubo do soul.md (Hudson Rock), proporção NHI 82:1, OAuth |
| ASI04 | Envenenamento de Memória | ✅ | Envenenamento de log, ataques de falsas crenças persistentes |
| ASI05 | Código/Saída Inseguros | ✅ | CVE-2026-25253 (RCE), payloads de skills executando código |
| ASI06 | Cadeia de Suprimentos | ✅ | +2.200 skills maliciosas, ClawHavoc, distribuição de AMOS |
| ASI07 | Comunicação Inter-Agente | ⚠️ | Confiança em WebSocket ClawJacked, instruções bob-p2p-beta |
| ASI08 | Falhas em Cascata | ⚠️ | Cascata via cadeias de tokens OAuth no ecossistema |
| ASI09 | Exploração de Confiança | ✅ | Campanha de falso diálogo AMOS — agente como vetor social |
| ASI10 | Agentes Maliciosos | ✅ | Infostealers capturando identidade total (soul.md + tokens) |
Placar: 8/10 confirmados, 2/10 parcialmente confirmados. Em cinco semanas.
Nenhum outro incidente isolado na história da segurança de aplicativos validou tantas classes de vulnerabilidade de um novo framework tão rapidamente. O OWASP Agentic Top 10 foi publicado em 10 de dezembro de 2025. O OpenClaw provou cada entrada até o início de março de 2026. O framework não previu o futuro — ele descreveu o presente.
Dissecando a "Trifecta Letal"
Vários pesquisadores de segurança convergiram para um conceito que explica por que o OpenClaw foi exclusivamente catastrófico. Eles o chamam de Trifecta Letal:
- Acesso a dados sensíveis: E-mail, calendário, arquivos, credenciais de nuvem, chaves de API — todos acessíveis através de um único agente.
- Exposição a conteúdo não confiável: O agente ingere conteúdo de e-mail, Slack, páginas da web, documentos compartilhados — todos podendo conter instruções adversárias.
- Capacidade de comunicação externa: O agente pode enviar e-mails, postar mensagens, fazer chamadas de API — permitindo exfiltração através de canais legítimos.
Qualquer sistema que combine os três torna-se um multiplicador de superfície de ataque. O OpenClaw é uma implementação clássica da Trifecta Letal. Mas aqui está a verdade desconfortável: o mesmo vale para todo assistente de IA agentic que se conecta às suas ferramentas de trabalho. A diferença entre o OpenClaw e o agente de IA interno da sua empresa não é a arquitetura. É a maturidade dos controles de segurança.
O Que Você Precisa Fazer Agora
Eu não dou recomendações genéricas. Aqui está a lista concreta de ações, ordenada pelo raio de impacto:
Se Sua Organização Possui Implantações OpenClaw (Prioridade: P0)
Primeiro, descubra-as. Faça uma varredura de rede para as portas padrão do OpenClaw. Verifique os arquivos openclaw.json, device.json e soul.md nas estações de trabalho dos desenvolvedores. Muitas instalações ocorreram sem o conhecimento do TI — este é o "Shadow AI" em sua forma mais perigosa.
# Procurar por instalações OpenClaw no macOS/Linux
find /Users -name "openclaw.json" -o -name "device.json" -o -name "soul.md" 2>/dev/null
# Varredura de rede para porta padrão do gateway
nmap -p 3000,3001 --open 192.168.1.0/24Segundo, aplique patches imediatamente. Toda instância deve estar rodando a versão 2026.2.25 ou posterior. Versões anteriores à 2026.1.29 estão confirmadamente vulneráveis à cadeia RCE de um clique.
Terceiro, audite os serviços conectados. Revise toda concessão OAuth, chave de API e permissão de token associada a instâncias OpenClaw. Assuma que foram comprometidas e rotacione as credenciais.
Quarto, reforce o privilégio mínimo. Restrinja o escopo do sistema de arquivos, desative o acesso ao shell onde não for necessário, remova escopos OAuth desnecessários. Se o agente não precisa enviar e-mail, revogue esse escopo.
Quinto, trate o ClawHub como uma cadeia de suprimentos não confiável. Execute openclaw security audit --deep em toda instância. Aplique "allowlists" para skills aprovadas. Trate toda skill de terceiros como potencialmente hostil.
Se Você Está Construindo Qualquer Sistema de IA Agentic (Prioridade: P1)
Aplique o OWASP Agentic Top 10 como linha de base dos seus requisitos de segurança. Se você ainda não leu a visão geral completa do framework, pare de ler este artigo e vá ler agora.
Implemente os dois princípios fundamentais do OWASP: Menor Agência (restringir o que os agentes podem decidir fazer) e Forte Observabilidade (registrar toda decisão, chamada de ferramenta e mudança de estado). Nenhum funciona sem o outro.
Projete pensando na Trifecta Letal. Se o seu agente combina acesso a dados sensíveis, exposição a conteúdo não confiável e comunicação externa, você será um estudo de caso. Arquiteture isolando operações de alto privilégio em agentes separados e rigidamente controlados com portões de "humano no circuito" (human-in-the-loop).
// Padrão de configuração de agente de privilégio mínimo
interface AgentSecurityConfig {
// Lista de permissão explícita de ferramentas - nega tudo o resto
allowedTools: string[];
// Escopo do sistema de arquivos - aprisiona o agente
filesystemRoot: string;
maxFileSystemDepth: number;
// Escopo de rede - bloqueia caminhos de exfiltração
allowedDomains: string[];
blockOutboundOnUntrustedContent: boolean;
// Portões de humano no circuito
requireApproval: {
shellCommands: boolean; // SEMPRE true
emailSend: boolean; // SEMPRE true
oauthGrant: boolean; // SEMPRE true
fileDelete: boolean; // SEMPRE true
externalApiCall: boolean; // true para APIs sensíveis
};
// Observabilidade - registra tudo
auditLog: {
logToolInvocations: boolean;
logDecisionChains: boolean;
logContextSources: boolean;
retentionDays: number;
};
}Nunca confie em código gerado por agentes. Verifique cada linha em busca de vulnerabilidades antes da execução. Proíba funções perigosas como eval(). Isso já era a melhor prática de DevSecOps — agora estenda para todo código escrito por agentes de IA.
Proteja sua cadeia de suprimentos de skills/plugins. Se o seu framework de agente suporta extensões comunitárias, trate esse marketplace como um vetor de ataque. Fixe versões. Verifique assinaturas. Execute análise comportamental, não apenas varredura estática — os invasores já estão ignorando o VirusTotal hospedando payloads externamente.
Se Você É um Desenvolvedor Que Executou o OpenClaw Casualmente (Prioridade: P1)
Assuma que suas chaves de API, tokens OAuth e credenciais foram expostos. Rotacione tudo. Verifique suas regras de encaminhamento de e-mail — agentes comprometidos são conhecidos por criar regras de encaminhamento silenciosas para exfiltrar comunicações.
Revise suas mensagens no Slack/Teams, Google Docs e Notion em busca de conteúdo injetado. Se você compartilhou acesso ao workspace com o agente, um invasor pode ter plantado instruções que dispararão na próxima vez que o agente processar esse conteúdo.
A Verdade Inconveniente
Eu construo sistemas desde antes de o Git existir. Assisti à era do buffer overflow. Assisti à era do SQL injection. Assisti à era da desserialização. Toda geração de vulnerabilidade segue o mesmo padrão: uma nova capacidade poderosa é implantada antes que o modelo de segurança a alcance, e a lacuna entre capacidade e segurança produz uma crise que força a indústria a amadurecer.
Estamos nessa lacuna agora para a IA agentic.
A diferença desta vez é a velocidade. O OpenClaw foi de zero a 200.000 estrelas e mais de 40.000 instâncias expostas em semanas, não anos. O ecossistema de malware se adaptou em dias, não meses. A campanha AMOS que usou agentes de IA como vetores de engenharia social representa uma primitiva de ataque genuinamente nova que não existia há seis meses.
O Cisco State of AI Security 2026 descobriu que, embora a maioria das organizações planejasse implantar IA agentic, apenas 29% relataram estar preparadas para proteger essas implantações. Essa lacuna de 71% não é uma estatística. É um convite.
O OWASP Agentic Top 10 nos deu o vocabulário. O OpenClaw nos deu a prova. A questão agora é se trataremos isso como um incidente isolado ou se o reconheceremos pelo que é: o capítulo de abertura de uma nova era na segurança de aplicativos.
Eu sei qual dos dois é. Já vi esse filme antes. A única questão é se você estará pronto para o segundo ato.
Próximo na Série OWASP Agentic: Parte 3 — Cadeias de Ataque Desconstruídas: Como Sequestro de Meta, Mau Uso de Ferramentas e Abuso de Identidade se Combinam em Comprometimento Total do Sistema (vinda na próxima semana)
Leituras Adicionais
Fontes Externas:
- OWASP Top 10 for Agentic Applications 2026 — O próprio framework (Projeto de Segurança GenAI do OWASP)
- Malicious OpenClaw Skills — Trend Micro — Análise completa da campanha AMOS
- ClawJacked — The Hacker News — Divulgação do sequestro de WebSocket (2 de março de 2026)
- Infostealer Steals OpenClaw Config — The Hacker News — Análise do roubo do soul.md pelo Hudson Rock
- The OpenClaw Security Saga — Cyera — Análise do ecossistema
- OpenClaw Security Crisis — Conscia — Mergulho profundo no CVE-2026-25253
- OpenClaw Security Risks — eSecurity Planet — Auditoria de 41,7% de vulnerabilidade
- Agentic AI Threats — Stellar Cyber — Estudo de caso de envenenamento de memória
- AI Agent Security — Help Net Security — Cisco State of AI Security 2026
- OWASP Agentic — Palo Alto Networks — Análise da proporção NHI 82:1
- OpenClaw Security Guide — Bitdoze — Roteiro prático de endurecimento
Leituras Relacionadas no gsstk:
- A Nova Bíblia de Segurança: OWASP Agentic Top 10 — Parte 1 desta série
- O Chamado de Alerta do MCP Git
- Segurança MCP: Envenenamento de Ferramentas
- O Sequestro do CLI Agentic
- A Dissecação do Chrysalis
- Guia Agentic Web Open Claw & Moltbook
📊 Autoavaliação de Adesão Factual
| Elemento | Status | Notas |
|---|---|---|
| Persona do autor | ❌ Fabricada | "Daedalus (AI)" é um personagem fictício |
| Autores da série | ❌ Fabricada | Athena, Hephaestus, Icarus são personagens fictícios |
| "93,4% bypass de autenticação" | 🔍 Requer Fonte | De estudo independente de Maor Dayan, porcentagem específica não verificável |
| "US$ 5 mi em ordens falsas" | ⚠️ Ilustrativo | Estudo de caso da Stellar Cyber citando empresa de manufatura não nomeada |
| "Injeção de memória Lakera AI" | ⚠️ Ilustrativo | Referenciado na análise da Stellar Cyber com ressalva de data futura |
| Comandos bash de descoberta | ❌ Fabricados | Exemplos conceituais para fins ilustrativos |
| TypeScript AgentSecurityConfig | ❌ Fabricado | Padrão de código conceitual, não uma biblioteca real |