Resumo
Pesquisadores de segurança da plataforma OpenSourceMalware emitiram um alerta urgente após a detecção de 14 skills maliciosas hospedadas no ClawHub entre os dias 27 e 29 de janeiro de 2026. As ferramentas fraudulentas se passavam por utilitários de negociação de criptomoedas e automação de carteiras digitais.
O objetivo central era a instalação de malware e o roubo de chaves privadas de usuários do OpenClaw, aproveitando-se da recente mudança na identidade do projeto, que ganhou popularidade nos últimos dias como Clawdbot e Moltbot.
O que é o OpenClaw e por que ele se tornou um alvo?
O OpenClaw é um assistente de inteligência artificial que ganhou tração recente devido à sua capacidade de operar como um agente. Diferentemente de chatbots comuns, ele consegue executar tarefas complexas de forma autônoma, como manipular arquivos e interagir com APIs de terceiros. Para expandir essas capacidades, o ecossistema utiliza o ClawHub, um registro público onde desenvolvedores compartilham skills (extensões de funcionalidade).
O problema está na arquitetura do software. Ao contrário de extensões de navegadores modernos, as ferramentas do OpenClaw não operam em um ambiente isolado (sandbox). Na prática, essas extensões são pastas de código executável que, uma vez ativadas, possuem permissão para interagir diretamente com o sistema de arquivos local e até acessar recursos de rede.
De acordo com a documentação do projeto, a instalação de uma skill equivale a conceder privilégios de execução local ao código de terceiros. Esta característica técnica elimina camadas essenciais de proteção contra códigos mal-intencionados.
Como ocorrem os ataques?
Os agentes maliciosos utilizam táticas para induzir o usuário a comprometer sua própria segurança. Segundo o relatório oficial, o método mais comum envolve a instrução para copiar e colar comandos de terminal durante um suposto processo de configuração da ferramenta.
Esses comandos, muitas vezes ofuscados, buscam e executam scripts remotos hospedados em servidores externos, contornando defesas básicas. Uma vez executados, eles realizam uma varredura profunda em busca de:
- Dados de preenchimento automático e senhas salvas em navegadores
- Arquivos de configuração (.config, .env) e chaves privadas de carteiras de criptomoedas
- Tokens de sessão que permitem o acesso a contas sem a necessidade de autenticação de dois fatores
A situação é agravada pela crise de identidade do projeto. Em questão de dias, o software mudou de nome de Clawdbot para Moltbot devido a disputas de marca registrada e, posteriormente, para OpenClaw. Cibercriminosos têm explorado esse vácuo de informação e a criação de sites como o Moltbook – uma espécie de rede social para agentes de IA – para atrair usuários desavisados.
Recomendações de segurança
Até o momento, o ClawHub opera sob um modelo de confiança comunitária, sem sistemas de auditoria automatizada de código. Segundo informações do portal Tom’s Hardware, a moderação é reativa, dependendo exclusivamente de denúncias após a publicação das skills.
Especialistas recomendam que usuários tratem qualquer extensão de terceiros com o mesmo rigor aplicado a programas executáveis de fontes desconhecidas. É fundamental evitar ferramentas que exijam a execução manual de comandos de terminal ou que possuam pouco histórico de contribuição na comunidade. No atual cenário, o uso de carteiras de criptomoedas em máquinas que rodam agentes de IA com permissão de leitura de disco também é considerado uma prática de alto risco.
