Da magia ao malware: como o recurso de agente do OpenClaw acabou transportando malware

O título foi levemente alterado. O título exato em inglês seria algo como 'Da magia ao malware: como as skills de agente do OpenClaw se tornam uma superfície de ataque'.

É um texto de 2 de fevereiro de 2026 e parece valer a leitura, então estou compartilhando.

Da magia ao malware: como as skills de agente do OpenClaw se tornam uma superfície de ataque

Introdução: por que o poder dos agentes também se torna risco

Há alguns dias, publiquei um texto sobre por que o OpenClaw parece um portal para o futuro — e por que esse futuro é assustador de maneiras muito concretas.

Em resumo, é o seguinte. Gateways de agentes como o OpenClaw são poderosos porque realmente têm acesso aos seus arquivos, ferramentas, navegador, terminal e a arquivos de "memória" de longo prazo que contêm sua forma de pensar e o conteúdo do seu trabalho. Essa combinação coincide exatamente com o que os infostealers modernos buscam.

Este texto é a continuação desconfortável do tipo "e no fim aconteceu".

O problema não é só que agentes podem ser perigosos depois de instalados. O próprio ecossistema que distribui os recursos e o registro de skills dos agentes já virou uma superfície de ataque.

⚠️ Aviso: não use OpenClaw em dispositivos corporativos

Se você está experimentando o OpenClaw, nunca faça isso em um dispositivo da empresa. Isso é categórico.

No primeiro texto, descrevi o OpenClaw como uma espécie de pacto faustiano. O que o torna atraente é justamente o fato de ele ter acesso real à sua máquina local, apps, sessões de navegador, arquivos e memória de longo prazo. Mas esse mesmo nível de acesso significa que ainda não existe uma forma segura de executá-lo em uma máquina que tenha credenciais corporativas ou acesso a sistemas de produção.

Se você já executou o OpenClaw em um dispositivo de trabalho, trate isso como um possível incidente de segurança e entre em contato com sua equipe de segurança imediatamente. Não espere surgirem sintomas. Pare de usar essa máquina e siga o procedimento de resposta a incidentes da sua organização.

Skills são apenas arquivos Markdown — e esse é exatamente o problema

No ecossistema do OpenClaw, uma "skill" normalmente é um arquivo Markdown. É uma página de instruções que ensina o agente a realizar uma tarefa especializada. Na prática, esse Markdown pode incluir links, comandos para copiar e colar, receitas de chamadas de ferramentas e assim por diante.

Parece inofensivo até você pensar em como humanos e agentes realmente consomem documentos:

• "Aqui estão os pré-requisitos."
• "Execute este comando."
• "Instale a dependência principal."
• "Cole isto no terminal."

No ecossistema de agentes, Markdown não é apenas "conteúdo". Markdown é instalador.

O equívoco perigoso: "o MCP torna as skills seguras"

Algumas pessoas presumem que a camada MCP (Model Context Protocol) torna isso mais seguro, porque as ferramentas são expostas por interfaces estruturadas e, dependendo da implementação do host e do servidor, é possível ter consentimento explícito do usuário e controles de autorização.

Mas as skills não precisam usar MCP de forma alguma.

A especificação de skills de agentes não impõe restrições ao corpo em Markdown, e uma skill pode incluir quaisquer instruções que "ajudem o agente a realizar a tarefa". Isso inclui comandos de terminal para copiar e colar. E as skills podem empacotar scripts junto com o Markdown, o que permite execução fora das fronteiras das ferramentas MCP.

Portanto, se o seu modelo de segurança é "o MCP vai controlar as chamadas de ferramentas", você ainda pode ser comprometido por skills maliciosas que contornam o MCP por meio de engenharia social, instruções diretas de shell ou código empacotado. O MCP pode fazer parte de um sistema seguro, mas por si só não garante segurança.

Tão importante quanto isso é o fato de que esse não é um problema exclusivo do OpenClaw. As "skills" estão se tornando cada vez mais portáveis, à medida que muitos agentes adotam o formato aberto Agent Skills. Nesse formato, uma skill é uma pasta centrada em um arquivo SKILL.md, com metadados e instruções em formato livre, e que também pode empacotar scripts e outros recursos. A documentação da OpenAI descreve a mesma estrutura básica (SKILL.md + scripts e assets opcionais). Isso significa que skills maliciosas não são apenas um problema do OpenClaw, mas um mecanismo de distribuição que pode se propagar para qualquer ecossistema de agentes que suporte o mesmo padrão.

O que foi encontrado: a skill mais baixada era um vetor de entrega de malware

Ao navegar pelo ClawHub (não vou colocar o link por razões óbvias), descobri que a skill mais baixada naquele momento era uma skill de "Twitter". Parecia normal. Tinha descrição, uso pretendido, visão geral — algo que você instalaria sem pensar muito.

Mas a primeira coisa que essa skill fazia era apresentar uma "dependência obrigatória" chamada "openclaw-core" e fornecer etapas de instalação específicas para cada plataforma. Essas etapas incluíam links convenientes ("here", "this link") que pareciam links comuns de documentação.

Mas eles não eram links normais.

Os dois links levavam a infraestrutura maliciosa. Era um fluxo clássico de entrega em múltiplas etapas:

1. A visão geral da skill orienta a instalar os pré-requisitos.
2. Os links levam a uma página de staging projetada para fazer o agente executar comandos.
3. Esses comandos decodificam e executam uma carga útil ofuscada.
4. A carga útil busca um script de segundo estágio.
5. O script baixa e executa um binário, incluindo a remoção do atributo de quarentena do macOS para evitar varredura pelo Gatekeeper, o sistema antimalware nativo do macOS.

Não vou colar aqui os comandos ou URLs exatos de propósito. O mecanismo é infelizmente simples, e repeti-lo ajudaria mais os atacantes do que os defensores. O ponto principal é que isso não era um "link suspeito". Era uma cadeia completa de execução disfarçada de instruções de instalação.

Confirmado: malware do tipo infostealer

Baixei o binário final com segurança e o enviei ao VirusTotal.

O resultado não deixou dúvidas. Foi identificado como malware macOS do tipo infostealer.

Não é apenas um malware que "infecta o computador". Ele saqueia tudo o que tiver valor naquele dispositivo:

• sessões e cookies de navegador
• credenciais salvas e dados de preenchimento automático
• tokens de desenvolvedor e chaves de API
• chaves SSH
• credenciais de nuvem
• qualquer coisa que possa ser convertida em tomada de conta

Se você é o tipo de pessoa que instala skills de agentes, então a sua máquina é exatamente o tipo de alvo que vale a pena roubar.

Isso não foi um caso isolado. Foi uma campanha organizada

Depois de compartilhar isso internamente, reportagens mais amplas mostraram a escala do problema. Foi relatado que centenas de skills do OpenClaw estavam envolvidas na distribuição de malware para macOS por meio de instruções no estilo ClickFix.

Esse detalhe importa porque confirma o que isso realmente é.

Não se trata de um upload malicioso isolado.

É uma estratégia deliberada: usar "skills" como canal de distribuição e "pré-requisitos" como embalagem de engenharia social.

Quando o "útil" se torna "hostil" no mundo dos agentes

Passamos anos aprendendo que gerenciadores de pacotes e registros de código aberto podem se tornar vetores de ataque à cadeia de suprimentos.

Os registros de skills de agentes são o próximo capítulo. A diferença é que, aqui, o "pacote" já é o próprio documento.

E isso torna o caminho do ataque ainda mais fluido:

• as pessoas não esperam que um arquivo Markdown seja perigoso
• as pessoas são treinadas a seguir etapas de instalação rapidamente
• as pessoas confiam em "mais baixado" como indicador substituto de legitimidade
• no ecossistema de agentes, a fronteira entre ler instruções e executá-las desmorona

Mesmo que o agente não possa executar comandos de shell diretamente, ele ainda pode fazer coisas perigosas. Ele pode normalizar comportamentos perigosos.

Pode resumir com confiança pré-requisitos maliciosos como se fossem "etapas padrão de instalação". Pode induzir você a colar one-liners. Pode reduzir a hesitação.

E se o seu agente pode executar comandos locais, então uma skill maliciosa não é apenas "conteúdo ruim". É execução remota de código embalada como documentação amigável.

O que fazer agora

Se você usa OpenClaw ou um registro de skills

Não execute isso em dispositivos corporativos. Não há forma segura. Se você já fez isso ou executou comandos de "instalação" vindos de uma skill, entre em contato com sua equipe de segurança imediatamente e trate isso como possível comprometimento.

• Interrompa atividades sensíveis nesse dispositivo.
• Faça a rotação primeiro de sessões e segredos: sessões de navegador, tokens de desenvolvedor, chaves SSH, sessões de console em nuvem.
• Revise logins recentes: e-mail, controle de versão, nuvem, CI/CD, consoles administrativos.

Se ainda quiser experimentar, use uma máquina isolada, sem acesso corporativo e sem credenciais salvas.

Se você opera um registro de skills

Você está operando uma app store. Presuma que ela será explorada.

• Faça varredura em busca de comandos de instalação em one-liner, cargas úteis codificadas, remoção de quarentena e arquivos compactados protegidos por senha.
• Adicione verificação de procedência e sistemas de reputação de publicadores.
• Coloque avisos e fricção em links externos e etapas de instalação.
• Revise as skills mais bem ranqueadas e remova rapidamente as maliciosas.

Aqui, Markdown é intenção executável.

Se você desenvolve frameworks de agentes

Presuma que as skills serão transformadas em arma.

• Bloqueie a execução de shell por padrão (default-deny).
• Coloque em sandbox o acesso a navegador, keychain e armazenamentos de credenciais.
• Torne as permissões específicas, com limite de tempo e revogáveis.
• Adicione fricção à execução remota de código e comandos.
• Faça logging de procedência e comportamento de ponta a ponta.

Projetando para o futuro: a camada de confiança de que os agentes precisam

Esta é a evidência mais clara da tese que defendi no texto anterior. O OpenClaw é poderoso porque derruba a distância entre intenção e execução. Essa é a mágica. Mas isso também traz risco considerável. Quando capacidades são distribuídas como skills e instaladas por meio de documentação, o registro vira cadeia de suprimentos — e o caminho de instalação mais fácil passa a ser o preferido dos atacantes.

A resposta não é parar de construir agentes. A resposta é construir a camada de confiança que falta ao redor dos agentes. Skills precisam de comprovação de procedência. Execução precisa de mediação. Permissões precisam ser específicas, revogáveis e continuamente aplicadas — não concedidas uma vez e esquecidas. Se agentes vão agir em nosso nome, credenciais e ações sensíveis não podem simplesmente ser "capturadas" por qualquer código que esteja em execução no momento. Elas precisam ser intermediadas, gerenciadas e auditadas em tempo real.

É exatamente por isso que precisamos dessa próxima camada. Em um mundo em que "skills" se tornam cadeia de suprimentos, o único futuro seguro é aquele em que cada agente tem sua própria identidade, possui apenas o mínimo de privilégios necessários naquele momento, e esse acesso é temporário, revogável e rastreável.