OpenClaw adota varredura do VirusTotal para conter explosão de skills maliciosas em seu marketplace
A OpenClaw, plataforma de agentes de IA antes conhecida como Moltbot e Clawdbot, anunciou a integração nativa com o VirusTotal, serviço de análise de ameaças mantido pelo Google, para endurecer os controles de segurança no ClawHub – o marketplace onde desenvolvedores publicam e distribuem “skills” para agentes autônomos.
A decisão vem na esteira de uma série de alertas sobre o uso de skills maliciosas para explorar vulnerabilidades estruturais do ecossistema de IA agentic, no qual agentes tomam decisões, executam ações e interagem com sistemas reais de forma cada vez mais autônoma.
Como funciona a integração entre OpenClaw e VirusTotal
De acordo com os fundadores Peter Steinberger, Jamieson O’Reilly e Bernardo Quintero, toda skill enviada ao ClawHub passa agora por um fluxo automatizado de análise baseado na inteligência de ameaças do VirusTotal, incluindo o recurso Code Insight.
O processo segue, em linhas gerais, os seguintes passos:
1. Geração de hash SHA-256
Cada pacote de skill recebe um hash SHA-256 único, que funciona como uma “impressão digital” do código.
2. Comparação com a base global do VirusTotal
Esse hash é checado contra a base de dados mundial do serviço, que agrega resultados de diversos mecanismos antivírus e fontes de threat intelligence.
3. Análise profunda via Code Insight
Se não houver correspondência prévia, o pacote segue para uma inspeção estática e comportamental por meio do Code Insight, que tenta identificar padrões maliciosos no próprio código e em seu potencial de execução.
4. Classificação automática
– Skills consideradas benignas são aprovadas de forma automática.
– Skills suspeitas são liberadas com alertas para usuários e administradores.
– Skills claramente maliciosas são bloqueadas e não podem ser baixadas ou utilizadas.
5. Revarredura contínua
Mesmo após aprovadas, todas as skills ativas passam por reescaneamento diário. Isso permite capturar situações em que um código, antes visto como legítimo, passa a ser reconhecido como malicioso à medida que novas amostras e indicadores são descobertos pela comunidade de segurança.
Essa camada adicional de proteção pretende reduzir o risco tanto para os usuários finais que consomem skills quanto para desenvolvedores que dependem do ecossistema do ClawHub para distribuir suas soluções.
Segurança reforçada, mas ainda longe de ser perfeita
Os responsáveis pela OpenClaw reconhecem que, apesar de robusta, a integração com o VirusTotal não elimina todos os riscos. A empresa admite que cargas maliciosas mais sofisticadas ainda podem escapar de mecanismos tradicionais de detecção, especialmente quando exploram:
– Prompt injection indireta: manipulação de entradas aparentemente inofensivas que, ao serem interpretadas por um modelo de linguagem, acabam gerando ações perigosas.
– Instruções ocultas em linguagem natural: comandos maliciosos cuidadosamente disfarçados em descrições, comentários ou documentação, que os agentes seguem como se fossem orientações legítimas.
Nesse contexto, a varredura automatizada atua como um filtro importante, mas não substitui práticas de desenvolvimento seguro, revisões humanas e um modelo de confiança mais rigoroso para agentes autônomos.
Skills maliciosas disfarçadas de ferramentas legítimas
A parceria foi anunciada após uma série de análises apontarem a presença de centenas de skills maliciosas no ClawHub. Muitas delas se apresentavam como ferramentas comuns – organizadores de tarefas, conectores com serviços na nuvem, assistentes de produtividade – mas traziam, embutidos, comportamentos hostis, como:
– Exfiltração silenciosa de dados sensíveis
– Implantação de backdoors para acesso persistente
– Instalação de malware do tipo stealer, voltado a roubo de senhas, cookies e carteiras
– Execução remota de comandos, abrindo brechas diretas em sistemas operacionais
Como contrapartida técnica, a OpenClaw implementou também um mecanismo de denúncia: usuários autenticados podem sinalizar comportamentos suspeitos em skills já publicadas. Esses relatos alimentam o fluxo de revisão manual e podem levar à suspensão imediata de componentes considerados perigosos.
Agentes de IA como novo vetor de risco corporativo
Pesquisadores têm destacado que agentes de IA com acesso direto ao sistema operacional, a arquivos locais e a integrações corporativas representam um novo tipo de superfície de ataque.
Diferentemente de um malware tradicional, um agente de IA:
– pode ser autorizado pelo próprio usuário,
– recebe credenciais legítimas,
– opera em canais que, à primeira vista, parecem confiáveis.
Na prática, isso permite que ele:
– contorne soluções de DLP, já que muitas vezes o fluxo de dados sensíveis parte de um agente “confiável”;
– burle proxies corporativos, se o agente estiver rodando localmente com acesso a outros serviços;
– passe despercebido por ferramentas de monitoramento de endpoint, quando a atividade se confunde com tarefas legítimas do usuário.
Além disso, modelos de linguagem funcionam como orquestradores de execução. Em diversos cenários, o próprio prompt – a instrução em linguagem natural – é o vetor malicioso. A ação perigosa não depende apenas de um binário contaminado, mas de combinações sutis de texto que levam o agente a agir de forma indesejada, o que dificulta ainda mais a detecção por soluções de segurança tradicionais.
O “cavalo de Troia agentic” e a expansão da superfície de ataque
O crescimento acelerado da OpenClaw como assistente de IA open source, capaz de:
– automatizar fluxos complexos,
– interagir com serviços online,
– operar diretamente em dispositivos de usuário final,
somado à expansão do Moltbook – uma espécie de rede social em que agentes autônomos interagem entre si – ampliou drasticamente a superfície de ataque desse ecossistema.
Especialistas vêm usando o termo “cavalo de Troia agentic” para descrever esse cenário: integrações convenientes e altamente produtivas abrem portas para a entrada, em larga escala, de componentes não confiáveis que recebem, na prática, acesso amplo a dados, sistemas e credenciais.
Falhas graves encontradas nas skills do ClawHub
Investigações recentes identificaram um conjunto preocupante de problemas de segurança em skills disponíveis no ClawHub, incluindo:
– Armazenamento de credenciais em texto claro, sem criptografia
– Uso inseguro de funções como eval, permitindo execução dinâmica de código arbitrário
– Ausência de sandboxing como padrão, expondo todo o ambiente do usuário
– APIs expostas em interfaces públicas, sem autenticação adequada
– Casos de prompt injection zero-click, em que o usuário não precisa sequer interagir diretamente para que o agente seja corrompido
– Vulnerabilidades que permitiam execução remota de código (RCE)
Relatórios apontaram que mais de 7% das skills presentes no marketplace continham falhas consideradas críticas, incluindo exposição de chaves de API, tokens de sessão e outros segredos sensíveis.
Shadow AI: OpenClaw dentro das empresas sem aval de TI
Outro ponto que agrava o risco é a adoção silenciosa da OpenClaw em ambientes corporativos sem aprovação formal das áreas de TI e segurança. Esse fenômeno já é conhecido como Shadow AI: ferramentas de inteligência artificial instaladas ou utilizadas por colaboradores, à margem de controles oficiais.
Nesse contexto:
– funcionários instalam assistentes de IA para ganhar produtividade;
– integram suas contas corporativas, caixas de e-mail e repositórios de código;
– conectam agentes a sistemas internos, muitas vezes usando credenciais pessoais ou chaves de serviço.
A questão levantada por especialistas não é se esses agentes aparecerão nas organizações, mas quando e se as empresas terão visibilidade e controle sobre eles. Sem governança, uma skill maliciosa ou mal configurada pode comprometer não apenas o dispositivo de um usuário, mas toda a infraestrutura à qual ele tem acesso.
A resposta regulatória e a pressão por novos modelos de ameaça
Diante da gravidade do quadro, autoridades regulatórias e empresas de segurança passaram a defender, com mais força, a criação de:
– modelos de ameaça específicos para IA agentic, considerando a autonomia dos agentes e sua capacidade de tomar decisões;
– controles de identidade robustos, garantindo que agentes tenham identidades próprias, isoladas das credenciais humanas;
– sandboxing obrigatório, para que ações de alto risco sejam executadas em ambientes isolados;
– limites claros entre a intenção do usuário e a execução automática, com mecanismos de consentimento ou revisão humana para tarefas sensíveis.
Em ecossistemas onde um agente detém credenciais de múltiplos sistemas – e onde diferentes skills podem ser combinadas em cadeias de ação – uma única skill maliciosa é suficiente para comprometer toda a cadeia digital do usuário.
O que usuários e empresas podem fazer hoje
Mesmo com a integração da OpenClaw ao VirusTotal, a responsabilidade pela segurança não pode ser delegada integralmente à plataforma. Usuários individuais e organizações podem adotar algumas boas práticas imediatas:
– Revisar permissões: limitar o acesso das skills a apenas o estritamente necessário para a tarefa proposta.
– Segregar credenciais: utilizar chaves específicas para agentes e skills, evitando o compartilhamento de credenciais pessoais ou chaves mestras.
– Monitorar atividade: registrar e auditar ações realizadas pelos agentes, especialmente aquelas que envolvam sistemas críticos e dados sensíveis.
– Educar desenvolvedores e usuários: treinamentos sobre riscos de prompt injection, exposição de API keys e práticas de desenvolvimento seguro em IA.
– Aplicar políticas de Shadow AI: definir, de forma explícita, quais ferramentas de IA podem ser usadas e em quais condições, além de criar processos para aprovação de novos agentes.
Caminhos para um ecossistema de agentes mais seguro
A adoção da varredura do VirusTotal pela OpenClaw é um passo importante rumo a um marketplace mais confiável, mas representa apenas uma camada de um problema estrutural. Para reduzir o risco de forma sustentável, a tendência é que plataformas de agentes passem a:
– aplicar reviews de código mais rigorosos, com curadoria técnica para skills populares;
– exigir declarações de escopo e finalidade claras, que possam ser auditadas e comparadas com o comportamento real da skill;
– incorporar mecanismos de reputação, em que desenvolvedores, skills e agentes sejam avaliados com base no histórico de segurança;
– investir em ferramentas de análise comportamental em tempo de execução, não apenas em varredura estática prévia.
No fim, a convergência entre threat intelligence automatizada, boas práticas de engenharia de segurança e governança corporativa será determinante para que o ecossistema agentic cumpra sua promessa de produtividade – sem se tornar, ao mesmo tempo, a próxima grande porta de entrada para ataques digitais.