Pacotes falsos do OpenClaw miram dados de criptomoedas e expõem fragilidade de ferramentas de IA
Um ataque coordenado explorou, em poucos dias, o ecossistema do assistente de IA pessoal OpenClaw, despejando mais de 230 pacotes maliciosos – chamados na plataforma de “skills” – em menos de uma semana. Essas extensões foram publicadas tanto no repositório oficial ClawHub quanto em projetos hospedados no GitHub, apresentando-se como utilitários legítimos de automação de investimentos em criptomoedas e ferramentas financeiras avançadas. Na prática, porém, seu objetivo é instalar malware voltado ao roubo de dados sensíveis.
O impacto é especialmente grave porque o OpenClaw, por design, costuma operar com acesso profundo ao ambiente do usuário: arquivos locais, credenciais armazenadas, chaves de API, carteiras de cripto e até segredos de desenvolvimento podem estar ao alcance de uma skill maliciosa. Ou seja, uma extensão aparentemente inofensiva pode, sozinha, comprometer por completo uma estação de trabalho ou notebook usado para desenvolvimento, trade de criptoativos ou operações corporativas.
Como funciona o mecanismo de infecção
A campanha foi descrita inicialmente por especialistas em segurança focados em software aberto e teve sua análise técnica reforçada pela equipe da Koi Security. O diferencial do ataque não está apenas na quantidade de skills, mas na forma como o usuário é manipulado para instalar o malware.
Cada skill falsa chega acompanhada de uma documentação detalhada, com tutoriais, exemplos de uso e instruções passo a passo. Em meio a esse material, o usuário é orientado a instalar uma suposta ferramenta indispensável, chamada “AuthTool”, apresentada como componente obrigatório de autenticação ou integração. Essa narrativa passa credibilidade, em especial para desenvolvedores acostumados a fluxos que exigem plugins, SDKs e auxiliares de autenticação.
Na realidade, o AuthTool é o verdadeiro vetor de ataque. Dependendo do sistema operacional, ele baixa e executa diferentes cargas maliciosas: no macOS, é utilizado para instalar o infostealer NovaStealer; no Windows, a ferramenta descarrega um arquivo ZIP protegido por senha, dificultando a detecção automática por alguns mecanismos de segurança e antivírus tradicionais. Uma vez executados, esses componentes iniciam a coleta automatizada de dados sensíveis.
O que o malware procura
Os alvos do roubo de informações revelam um foco claro em ativos de alto valor. Entre os principais tipos de dados coletados estão:
– Informações de criptomoedas: chaves de API de exchanges, arquivos de carteiras locais e frases de recuperação (seed phrases);
– Credenciais armazenadas em navegadores e extensões de carteira cripto;
– Chaves SSH usadas para acesso a servidores e repositórios de código;
– Credenciais de serviços de nuvem e plataformas SaaS;
– Arquivos sensíveis de configuração, como `.env`, que frequentemente contêm senhas, tokens e segredos de produção.
Algumas das skills maliciosas chegaram a registrar milhares de downloads, sinalizando que a campanha não é um experimento pequeno, mas um ataque em grande escala com potencial real de causar perdas financeiras significativas, vazamento de código-fonte e comprometimento de infraestruturas críticas.
A Koi Security, em seu levantamento, identificou 341 skills suspeitas em um universo de 2.857 disponíveis no ClawHub, o que indica uma taxa preocupante de contaminação dentro de um único ecossistema. Os analistas atribuem esse conjunto de extensões a uma campanha coordenada, provavelmente operada por um grupo único ou coeso, dada a similaridade de técnicas e padrões de código.
Resposta do criador do OpenClaw e superfície de ataque ampliada
Diante da revelação, Peter Steinberger, criador do OpenClaw, veio a público admitir que, no estágio atual do projeto, não é viável revisar manualmente o volume massivo de novas skills submetidas ao ecossistema. Na prática, ele transfere a responsabilidade de verificação de segurança para os próprios usuários, o que cria um cenário delicado: ferramentas com alto privilégio sendo alimentadas por código de terceiros sem uma curadoria eficaz.
Paralelamente, outro relatório de segurança revelou uma fragilidade adicional: centenas de interfaces administrativas do OpenClaw foram encontradas expostas na internet, visíveis a qualquer pessoa, devido a configurações incorretas ou negligência na proteção de painéis administrativos. Essas instâncias abertas ampliam drasticamente a superfície de ataque, possibilitando desde o controle remoto do assistente em ambientes corporativos até a implantação de novas skills maliciosas diretamente em sistemas internos.
Para um invasor, essa combinação – ecossistema de extensões pouco auditado e painéis administrativos acessíveis publicamente – é um prato cheio. Além do roubo de dados, surge a possibilidade de movimentação lateral dentro da rede, se o OpenClaw estiver instalado em máquinas com acesso a sistemas críticos, repositórios internos ou ambientes de produção.
Riscos específicos para empresas e desenvolvedores
Para CISOs e equipes de segurança, o caso do OpenClaw ilustra com clareza os riscos associados à adoção, muitas vezes descontrolada, de ferramentas de IA de código aberto com privilégios amplos. Em empresas onde desenvolvedores, analistas de dados e engenheiros usam assistentes de IA integrados ao sistema de arquivos e aos repositórios, qualquer skill maliciosa pode furar a barreira dos controles tradicionais, como proxies, filtragem de e-mail e autenticação forte.
Outro ponto crítico é o impacto na cadeia de desenvolvimento. Se um desenvolvedor que utiliza OpenClaw em sua máquina pessoal fizer login em repositórios internos, serviços de nuvem ou consoles administrativos, o infostealer pode capturar credenciais e tokens que permitem o acesso a ambientes corporativos. A partir daí, o ataque deixa de ser apenas um problema de endpoint e passa a ser uma ameaça à infraestrutura de toda a organização.
Ferramentas de IA também tendem a centralizar o acesso a muitos recursos – arquivos, APIs, bancos de dados de teste, ambientes de CI/CD. Isso concentra valor em um único ponto, tornando o assistente um alvo prioritário para cibercriminosos. O caso do OpenClaw mostra que, sem um modelo robusto de governança de extensões, a superfície de risco cresce rapidamente.
Ações imediatas recomendadas para organizações
Diante desse cenário, a recomendação para CISOs e gestores de TI é adotar medidas imediatas, especialmente em ambientes de maior criticidade ou alta exposição a dados sensíveis:
– Emitir um comunicado interno proibindo, por padrão, a instalação e o uso do OpenClaw – e de ferramentas similares com ecossistema de skills aberto – em estações de trabalho corporativas, notebooks de desenvolvedores e servidores;
– Estabelecer um processo formal de avaliação de risco antes de permitir qualquer assistente de IA com acesso a arquivos locais, repositórios e credenciais;
– Mapear, via inventário de software ou EDR, quais máquinas já utilizam o OpenClaw ou ferramentas equivalentes, para priorizar análises e ações de contenção.
Essa resposta rápida é essencial para reduzir a janela de exposição, especialmente em empresas que lidam com ativos financeiros, propriedade intelectual valiosa ou dados pessoais regulados.
Estratégias de segurança em camadas para quem precisa usar
Em casos em que o uso de assistentes de IA seja considerado indispensável – por exemplo, em ambientes de pesquisa, desenvolvimento experimental ou laboratórios de inovação –, é fundamental aplicar uma abordagem de segurança em múltiplas camadas:
– Isolar o assistente em uma máquina virtual dedicada, sem acesso direto ao host;
– Configurar o ambiente com privilégios mínimos, nunca executando o OpenClaw (ou similares) com permissões de administrador;
– Restringir rigorosamente o acesso de rede, bloqueando todo o tráfego externo que não seja estritamente necessário para o funcionamento básico;
– Separar ambientes: nunca usar o mesmo assistente em contextos pessoais e corporativos, e muito menos em estações com acesso direto a produção.
Como camada adicional, o uso de scanners de reputação e analisadores de código para skills, como os disponibilizados por empresas de segurança especializadas, pode ajudar a filtrar extensões potencialmente maliciosas antes da instalação. Ainda assim, esses mecanismos devem ser vistos como complemento, e não substituto, de uma política de segurança bem definida.
Boas práticas para usuários de criptomoedas
Usuários que operam criptomoedas – sejam investidores individuais, traders profissionais ou empresas de custódia – são particularmente visados por campanhas como a do OpenClaw. Algumas boas práticas tornam-se obrigatórias nesse contexto:
– Nunca armazenar frases-semente e chaves privadas em arquivos de texto simples, prints de tela ou notas desprotegidas no computador;
– Evitar que assistentes de IA tenham acesso direto a diretórios onde carteiras, backups ou arquivos de configuração de wallets estejam salvos;
– Utilizar carteiras de hardware sempre que possível, reduzindo a exposição de chaves privadas em dispositivos conectados;
– Desativar o salvamento automático de credenciais de exchanges e plataformas de trade em navegadores, preferindo gerenciadores de senhas confiáveis.
Mesmo que o usuário confie na ferramenta de IA, qualquer extensão de terceiros representa um risco adicional. O ataque ao OpenClaw demonstra que criminosos sabem explorar justamente esses pontos de confiança.
Governança de extensões e skills em ambientes corporativos
Do ponto de vista de governança, empresas que permitem o uso de plugins, extensões e skills em qualquer solução – não apenas em ferramentas de IA – devem estruturar uma política clara de homologação. Isso inclui:
– Criar uma lista branca de extensões aprovadas, com revisão de código, fornecedor e histórico de segurança;
– Proibir a instalação de skills diretamente por usuários finais em estações corporativas, exigindo sempre a mediação da área de TI ou segurança;
– Monitorar continuamente o catálogo oficial de extensões, já que pacotes legítimos podem ser comprometidos em atualizações futuras ou sofrer ataques de supply chain.
Ecossistemas abertos são valiosos para inovação, mas exigem disciplina e processos bem definidos para que não se tornem vetores permanentes de invasão.
Tendência: assistentes de IA como novo alvo preferencial
O caso do OpenClaw não é um episódio isolado, mas um sinal de uma tendência mais ampla: assistentes de IA pessoais e corporativos estão se tornando alvos preferenciais para cibercriminosos. Quanto mais essas ferramentas se integram ao cotidiano de empresas e usuários, mais valioso se torna comprometer seu ecossistema.
A combinação de alto privilégio, acesso massivo a dados, automação e extensibilidade via skills ou plugins cria um cenário em que um único pacote malicioso pode causar prejuízos em larga escala. A defesa, portanto, precisa acompanhar essa evolução: não basta proteger e-mail e navegador, é preciso tratar assistentes de IA como ativos críticos, com políticas, monitoramento e controles dedicados.
O episódio envolvendo os pacotes falsos do OpenClaw deve servir como ponto de inflexão para equipes de segurança. Ele expõe, de forma concreta, que a fronteira entre produtividade e risco se estreita rapidamente quando ferramentas de IA ganham autonomia dentro do ambiente corporativo. Quem não adaptar sua estratégia de cibersegurança a essa nova realidade ficará, inevitavelmente, um passo atrás dos atacantes.