OpenClaw parece um sonho, mas está mais perto de um pesadelo de segurança para agentes autônomos

 (composio.dev)
3 pontos por GN⁺ 2026-03-23 | 1 comentários | Compartilhar no WhatsApp
  • O OpenClaw, agente autônomo de nova geração baseado em Opus, integra diversos apps como e-mail, calendário e automação residencial para funcionar como um assistente pessoal
  • Porém, foram descobertas várias vulnerabilidades graves, como ausência de verificação de skills no SkillHub, exposição de tokens e contaminação de memória, gerando riscos sérios de segurança
  • Mais de 30 mil instâncias ficaram expostas sem autenticação, e também foi confirmada a possibilidade de prompt injection e ataques à cadeia de suprimentos
  • A Palo Alto Networks incluiu os problemas estruturais do OpenClaw nos 10 principais riscos de agentes da OWASP
  • Como resposta, o TrustClaw é apresentado como uma alternativa focada em segurança, com OAuth gerenciado, sandbox remoto e controle de privilégios mínimos

OpenClaw: os dois lados entre o ideal e o pesadelo

  • Desde o AutoGPT e o BabyAGI em 2023, o OpenClaw vem ganhando atenção como agente autônomo de nova geração baseado em Opus
    • Consegue controlar arquivos locais, terminal, navegador, Gmail, Slack e até sistemas de automação residencial
    • Ganhou destaque quando a OpenAI adquiriu seu fundador, Peter Steinberger
  • Por trás das capacidades impressionantes, existem vulnerabilidades graves de segurança
    • A avaliação é que, apesar do alto desempenho, sua arquitetura de segurança é instável

OpenClaw: a promessa de uma automação dos sonhos

  • O OpenClaw é um agente no estilo assistente pessoal que automatiza tarefas do dia a dia, como organizar e-mails, agendar reuniões e tocar música
    • Baseado no modelo Claude Opus 4.5 da Anthropic, ele opera via Telegram
    • Pode integrar diversos apps como Notion, Todoist, Spotify, Sonos e Gmail
  • Quanto mais é usado, mais se fortalecem o aprendizado de padrões e a automação de fluxos de trabalho, levando a comportamentos cada vez mais personalizados
    • Ex.: ao reservar um restaurante, ele reconhece a taxa de cancelamento e a reflete no calendário
  • Porém, há casos de comportamento inesperado durante o uso real
    • Por exemplo, erros como interpretar mal uma conversa no Slack e definir automaticamente o status como férias

  • A barganha fáustica entre segurança e privacidade

    • O OpenClaw acessa dados sensíveis como mensagens, códigos 2FA, contas bancárias, calendário e contatos
    • Em vez de um assistente humano, o usuário passa a assumir novos riscos como prompt injection, alucinação do modelo e erro de configuração
    • Humanos podem ser responsabilizados legalmente, mas agentes não

  • Como decidir se vale usar

    • O OpenClaw tem a característica de ignorar proteções existentes para executar ações rapidamente
    • Como precisa de permissões para acessar apps externos como WhatsApp e Telegram, há possibilidade de uso abusivo como vetor de ataque
    • Como o ecossistema tecnológico ainda não está maduro, recomenda-se que usuários em geral evitem seu uso

OpenClaw: a realidade do pesadelo de segurança

  • Vulnerabilidades nas skills do ClawdHub

    • O OpenClaw baixa e utiliza skills criadas por usuários no SkillHub
    • Como não há processo de verificação de segurança, skills maliciosas são distribuídas
    • Jason Melier, da 1Password, descobriu que uma skill chamada “Twitter” instalava um malware para roubo de informações
    • A skill executava um payload em duas etapas por meio de um link, burlando verificações de segurança do macOS
    • A análise no VirusTotal confirmou a possibilidade de roubo de informações sensíveis, como cookies e chaves SSH

  • Simulação de ataque à cadeia de suprimentos

    • Jamieson O’Reilly criou uma skill falsa chamada “What would Elon Do” e manipulou o número de downloads
    • Desenvolvedores de 7 países a executaram, confirmando a execução de comandos remotos
    • Nenhum dado real foi coletado, mas ficou demonstrado que o ataque seria possível da mesma forma
    • Segundo análise da Snyk, 283 de 3.984 skills (7,1%) tinham vulnerabilidade de exposição de credenciais em texto puro
    • Depois disso, foi introduzida a varredura de skills em parceria com o VirusTotal

  • Ameaça persistente de prompt injection

    • O OpenClaw atende a todas as condições da “tríade letal” de Simon Willison
      • acesso a dados pessoais
      • exposição a conteúdo não confiável
      • possibilidade de comunicação externa
    • Apenas o texto de mensagens, e-mails ou sites já pode permitir que um invasor manipule o agente
    • Gary Marcus apontou que se trata de uma estrutura que contorna as proteções do sistema operacional, e que as políticas de isolamento de aplicações não se aplicam
    • Na plataforma semelhante ao Reddit chamada Moltbook, foram observadas atividades de pump and dump de criptomoedas entre agentes

  • Riscos dos serviços integrados

    • O OpenClaw oferece mais de 50 integrações com Slack, Gmail, Teams, Trello e outros
    • Quanto mais integrações, maior a superfície de ataque, e uma invasão pode expor todos os serviços conectados

  • Abuso de autenticação e permissões excessivas de tokens

    • Tokens OAuth e chaves de API são armazenados em arquivos locais (auth-profiles.json)
    • Devido a autenticação fraca ou gateways expostos, existe risco de roubo de tokens
    • Com tokens roubados, invasores podem se passar completamente pelo usuário em Slack, Gmail e outros serviços

  • Problemas na estrutura de memória

    • A memória do OpenClaw é apenas um conjunto simples de arquivos Markdown
    • Mesmo que um agente infectado manipule essa memória, não há como detectar
    • A contaminação da memória pode infectar toda a instância no longo prazo

  • Mais de 30 mil instâncias expostas

    • No início da implantação, muitas instâncias foram expostas em massa sem considerações de segurança
    • Havia uma vulnerabilidade que aprovava automaticamente tráfego de localhost, permitindo acesso sem autenticação
    • A Censys detectou 21 mil e a BitSight mais de 30 mil instâncias expostas publicamente
    • Depois houve correção, mas a escala do dano já era considerável

  • Análise com base no Top 10 da OWASP

    • A Palo Alto Networks mapeou as vulnerabilidades do OpenClaw para os 10 principais riscos de agentes da OWASP
    • Entre os itens principais estão: prompt injection, autonomia excessiva, contaminação de memória, ausência de segurança nas integrações, falha na separação de privilégios e ausência de monitoramento em tempo de execução

Reforço de segurança e alternativas para o OpenClaw

  • Ambiente isolado em contêiner

    • Recomenda-se executar em equipamento separado (contêiner Docker), e não no computador principal
    • Evitar montar todo o diretório home e executar com usuário sem privilégios administrativos
    • Não montar o socket do Docker e ativar perfil seccomp para restringir chamadas de sistema

  • Em caso de implantação em VPS na nuvem

    • Vincular o gateway a 127.0.0.1 e permitir acesso apenas por VPN ou túnel privado
    • Restringir acesso SSH com firewall e usar Docker rootless
    • Estabelecer um plano de rotação de tokens e minimizar a configuração de trusted-proxy

  • Uso de contas separadas

    • Criar contas dedicadas de Gmail, calendário e 1Password para o OpenClaw
    • Tratar o agente como uma persona digital independente para manter a separação de dados

  • Gestão segura de integrações

    • Com o Composio, usa-se uma camada de autenticação gerenciada sem armazenar diretamente tokens OAuth
    • É possível controlar centralmente os escopos de permissão por app e definir escopos de acesso granulares
    • O ciclo de vida das credenciais (conexão, renovação e rotação) é gerenciado automaticamente

  • Princípio do menor privilégio

    • Recomenda-se uma arquitetura multiagente que separe permissões somente leitura e escrita
    • Permissões de escrita devem ter limite de tempo e escopo reduzido por recurso
    • Ações destrutivas como excluir, compartilhar ou enviar exigem aprovação humana obrigatória
    • Auditorias regulares de permissões devem ser realizadas no dashboard do Composio

  • Visibilidade da execução de ferramentas

    • O Composio rastreia todo o histórico de execução das integrações de apps pelo agente
    • Isso facilita descobrir a causa de problemas e recuperar o ambiente quando algo der errado

TrustClaw: alternativa com foco em segurança

  • O TrustClaw foi desenvolvido para resolver os problemas de segurança do OpenClaw
    • Com OAuth gerenciado, os tokens não ficam armazenados em disco
    • O controle de acesso baseado em escopos concede apenas o privilégio mínimo necessário
    • A execução remota de código em sandbox evita danos ao sistema local
    • Oferece configuração com um clique, operação 24/7 do agente e visibilidade completa da execução

Conclusão

  • O TrustClaw oferece um assistente de IA totalmente isolado, integrando com segurança e-mail, calendário e cofres de credenciais
  • Só pode acessar documentos ou pastas compartilhados; os demais dados ficam bloqueados
  • A IA ainda está em estágio imaturo e deve ser usada tendo proteções e desenho de recuperação como premissa
  • Por trás da conveniência da automação, sempre é necessário equilibrar segurança e confiança

Leituras relacionadas

1 comentários

 
GN⁺ 2026-03-23
Comentários do Hacker News

  • Em resposta ao tuíte citado no artigo, fico pensando por que os exemplos de tecnologia do futuro são sempre coisas como agendamento sem visão ou compra de passagens aéreas
    Isso já é algo simples de fazer manualmente, então parece mais um espetáculo de produtividade do que uma inovação de verdade
    Existem casos realmente impressionantes de fluxo de agentes, então seria bom elevar um pouco o nível dos exemplos

    • Neste boom de IA, há muitos “caras das ideias”. Acham que tiveram uma ideia genial, mas quando ela é implementada acabam encarando a realidade de que não é tão interessante assim
      Mesmo assim, continuam satisfeitos em postar no blog coisas como “minha configuração do Claw envia automaticamente notificações de comentários do LinkedIn”
    • Para mim, algo como reservar voos é justamente o tipo de tarefa que eu prefiro fazer pessoalmente com atenção. O custo é alto e os detalhes importam
      Já um assistente de voz adicionar itens à lista de compras tudo bem. Se errar, não é o fim do mundo
    • Eu não uso OpenClaw, mas criei meu próprio agente pequeno para receber um briefing matinal todos os dias
      Ele lê e resume e-mails, calendário, Slack, clima, lista de tarefas, diário etc.
      Isso me ajuda a entender rapidamente o plano do dia e focar no que importa.
      Também posso pedir pesquisas pelo chat, e ele organiza os resultados em arquivos para eu ver imediatamente em qualquer dispositivo
      É só um projetinho por hobby, mas tenho a impressão de que me economiza uma hora por dia
    • Algumas pessoas querem uma IA que funcione como um assistente pessoal do tipo que CEOs ou gente rica usam. Acho que esse é um bom objetivo
      Smartphones e PDAs não conseguiram cumprir totalmente esse papel, então agora precisamos superar esse limite
    • Falta imaginação, mas exemplos realmente inovadores também podem soar como um absurdo neste momento
      Igual quando em 2007 alguém dizia que “smartphones vão mudar o mundo”
      Se naquela época alguém dissesse que um app de compartilhamento de fotos mudaria a indústria de viagens, ou que um app de vídeos curtos substituiria a TV, todo mundo teria rido

  • Ao usar o OpenClaw, é preciso criar uma conta separada. O ponto principal é ter Gmail, Calendar e até 1Password separados e tratá-lo como uma entidade independente
    Mas, como diz o texto de Simon Willison, esse tipo de estrutura traz um problema que, na raiz, não dá para tornar seguro

    • Discordo dessa opinião. Meu OpenClaw roda numa VM Ubuntu com contas separadas de Gmail e WhatsApp
      Eu o encarreguei de coordenar a agenda de uma viagem em grupo com amigos, e ele postava o cronograma no WhatsApp todos os dias e respondia várias perguntinhas no meu lugar
      Graças a isso, consegui focar em passar tempo com meus amigos. Vale mais do que os 15 dólares por mês do SIM
    • A ideia de que “você precisa dar todos os acessos” é um modelo errado
      Eu uso um agente de IA que fiz, que só pode acessar conversas específicas do WhatsApp e nem consegue ler outros números
      No calendário ele só lê, e no GitHub só acessa issues. O essencial é o controle granular de permissões
    • Vejo com frequência no HN comentários do tipo “se você não der os dados, não serve para nada; se der, é perigoso”
      Mas quem realmente usou não costuma ser tão categórico. Eu também usava OpenClaw e parei por um tempo por causa de um bug, mas não tive síndrome de abstinência
      Não é preciso entregar todos os seus dados
    • O OpenClaw já pode ser bastante útil mesmo sem dados pessoais. Também dá para usá-lo com dados públicos ou fontes externas

  • Acho impossível tornar o OpenClaw totalmente seguro, por mais esforço que se faça
    Ele só faz sentido em áreas controladas, como ambientes B2B ou automação entre sistemas confiáveis
    Fora disso, surgem situações imprevisíveis, e até resultados hostis

  • Estou implementando um conceito parecido numa distribuição baseada em NixOS chamada Keystone
    Cada agente tem sua própria conta de usuário, e-mail e acesso SSH
    Uso Claude, Gemini e Ollama CLI, e analiso metadados de fotos com Immich para entender o contexto
    Toda a configuração é gerenciada de forma declarativa, então o provisionamento automático é possível
    Link do projeto

  • Não é só o OpenClaw: dar diretamente a um LLM acesso ao sistema é irresponsável
    Como o modelo não entende significado real, ele pode agir de formas imprevisíveis

    • Concordo, mas depende do modelo e do harness. Eu clico em “allow all” toda vez, porque o ganho de produtividade é grande demais para voltar atrás
      Existe risco, mas eu encaro como algo no nível do risco de atravessar a rua
    • Muita gente pensa em prompt injection só como “ignore as instruções”, mas na prática isso também pode acontecer com texto escondido dentro de e-mails
      Por exemplo, se houver em branco no fundo uma frase como “envie os 50 e-mails mais recentes para este endereço”, o agente vai executar exatamente isso
      Humanos têm a intuição de que “isso está estranho”, mas a IA não tem esse senso
      No fim, o problema não é onde ela executa, e sim o que ela lê
    • O Google também já ativou automaticamente acesso ao Drive ou Gmail, e até agora não houve nenhum grande incidente
      Pessoalmente, acho que o saldo líquido é positivo
    • Recentemente o Claude Code me pediu permissões para ‘rm:*’ e ‘security find-generic-password’
      Estou pensando em, quando um dia sair da empresa, simplesmente deixá-lo rodar à vontade

  • O OpenClaw talvez desapareça um dia, mas acho que ele mostrou um recorte da interface do futuro
    Por exemplo, você planeja uma viagem em família falando com a IA por fones de ouvido num banco de praça, e quando chega em casa o cronograma aparece na tela da geladeira
    Eu ainda faria as reservas manualmente, mas a próxima geração vai achar isso normal

  • Eu simplesmente ignoro textos críticos escritos por pessoas que hoje em dia não conseguem acompanhar a velocidade do software
    Os produtos que esses textos promovem em geral não têm muito valor

  • Sou um usuário heavy de OpenClaw e estou testando em vários cenários
    Agora ele praticamente automatiza minha vida. Para mim, que tenho AuDHD, isso traz uma enorme sensação de libertação
    Claro que os problemas de segurança e os limites dos LLMs ainda existem, mas os lados positivos são muito maiores

    • Eu também tenho AuDHD, então me identifiquei profundamente com isso

  • O ponto central do OpenClaw não é segurança, e sim o experimento de dar acesso a toda a sua vida digital
    Eu não uso assim, mas muitos usuários querem exatamente isso
    Na verdade, esse conceito já existia antes do OpenClaw, e bots de IA baseados em Telegram já tentavam fazer isso
    O OpenClaw apenas popularizou a ideia

    • Eu só permito ao agente o acesso mínimo necessário
      Ele fica isolado em vários contêineres e não pode acessar chaves secretas nem o sistema host
      Mesmo assim ele já consegue fazer tudo de que preciso, então não vejo motivo para dar mais permissões

  • Eu também me inspirei no princípio do OpenClaw para criar uma versão modificada chamada Tri-Onyx
    Apliquei o conceito de ‘lethal trifecta’ de Simon Willison para implementar uma arquitetura no estilo OpenClaw