2026-03-08 00:00
← VoltarAssistentes ou “agentes” baseados em IA – programas autônomos que têm acesso ao computador, arquivos e serviços online do usuário e podem automatizar praticamente qualquer tarefa – estão ganhando popularidade entre desenvolvedores e profissionais de TI. Mas, como mostraram tantas manchetes surpreendentes nas últimas semanas, essas novas ferramentas poderosas e assertivas estão mudando rapidamente as prioridades de segurança das organizações, ao mesmo tempo que confundem os limites entre dados e código, colega de trabalho confiável e ameaça interna, hacker ninja e code jockey novato. A nova moda em assistentes baseados em IA – OpenClaw (anteriormente conhecido como ClawdBot e Moltbot) – teve rápida adoção desde seu lançamento em novembro de 2025. OpenClaw é um agente de IA autônomo de código aberto projetado para ser executado localmente em seu computador e executar ações proativamente em seu nome, sem a necessidade de ser solicitado. Se isso parece uma proposta arriscada ou um desafio, considere que o OpenClaw é mais útil quando tem acesso completo à sua vida digital, onde pode gerenciar sua caixa de entrada e calendário, executar programas e ferramentas, navegar na Internet em busca de informações e integrar-se com aplicativos de bate-papo como Discord, Signal, Teams ou WhatsApp. Outros assistentes de IA mais estabelecidos, como Claude da Anthropic e Copilot da Microsoft, também podem fazer essas coisas, mas o OpenClaw não é apenas um mordomo digital passivo esperando por...
Assistentes ou “agentes” baseados em IA – programas autônomos que têm acesso ao computador, arquivos e serviços online do usuário e podem automatizar praticamente qualquer tarefa – estão ganhando popularidade entre desenvolvedores e profissionais de TI. Mas, como mostraram tantas manchetes surpreendentes nas últimas semanas, essas novas ferramentas poderosas e assertivas estão mudando rapidamente as prioridades de segurança das organizações, ao mesmo tempo que confundem os limites entre dados e código, colega de trabalho confiável e ameaça interna, hacker ninja e code jockey novato. A nova moda em assistentes baseados em IA – OpenClaw (anteriormente conhecido como ClawdBot e Moltbot) – teve rápida adoção desde seu lançamento em novembro de 2025. OpenClaw é um agente de IA autônomo de código aberto projetado para ser executado localmente em seu computador e executar ações proativamente em seu nome, sem a necessidade de ser solicitado. Se isso parece uma proposta arriscada ou um desafio, considere que o OpenClaw é mais útil quando tem acesso completo à sua vida digital, onde pode gerenciar sua caixa de entrada e calendário, executar programas e ferramentas, navegar na Internet em busca de informações e integrar-se com aplicativos de bate-papo como Discord, Signal, Teams ou WhatsApp. Outros assistentes de IA mais estabelecidos, como Claude da Anthropic e Copilot da Microsoft, também podem fazer essas coisas, mas o OpenClaw não é apenas um mordomo digital passivo esperando por comandos. Em vez disso, foi projetado para tomar a iniciativa em seu nome com base no que sabe sobre sua vida e na compreensão do que você deseja que seja feito. “Os depoimentos são notáveis”, observou a empresa de segurança de IA Snyk.
“Desenvolvedores criam sites a partir de seus telefones enquanto colocam bebês para dormir; usuários administram empresas inteiras por meio de uma IA com tema de lagosta; engenheiros que configuram loops de código autônomos que corrigem testes, capturam erros por meio de webhooks e abrem pull requests, tudo isso enquanto estão longe de suas mesas.” Você provavelmente já pode ver como essa tecnologia experimental pode ir para o lado rapidamente. No final de fevereiro, Summer Yue, diretora de segurança e alinhamento do laboratório de “superinteligência” da Meta, contou no Twitter/X como ela estava mexendo no OpenClaw quando o assistente de IA de repente começou a excluir em massa mensagens em sua caixa de entrada de e-mail. O tópico incluía capturas de tela de Yue implorando freneticamente ao bot preocupado por meio de mensagem instantânea e ordenando que ele parasse. “Nada humilha você como dizer ao seu OpenClaw ‘confirme antes de agir’ e vê-lo excluindo sua caixa de entrada”, disse Yue. "Não consegui impedir isso no meu telefone. Tive que correr para o meu Mac mini como se estivesse desarmando uma bomba." Não há nada de errado em sentir um pouco de tristeza pelo encontro de Yue com o OpenClaw, que se encaixa no modelo “mova-se rápido e quebre as coisas” do Meta, mas dificilmente inspira confiança no caminho a seguir. No entanto, o risco que assistentes de IA mal protegidos representam para as organizações não é motivo de riso, já que pesquisas recentes mostram que muitos usuários estão expondo à Internet a interface administrativa baseada na Web para suas instalações do OpenClaw. Jamieson O’Reilly é testador de penetração profissional e fundador da empresa de segurança DVULN.
Em uma história recente postada no Twitter/X, O’Reilly alertou que a exposição de uma interface web OpenClaw mal configurada à Internet permite que partes externas leiam o arquivo de configuração completo do bot, incluindo todas as credenciais que o agente usa – desde chaves de API e tokens de bot até segredos OAuth e chaves de assinatura. Com esse acesso, disse O’Reilly, um invasor pode se passar pela operadora para seus contatos, injetar mensagens em conversas em andamento e exfiltrar dados por meio das integrações existentes do agente de uma forma que pareça tráfego normal. “Você pode obter o histórico completo de conversas em todas as plataformas integradas, o que significa meses de mensagens privadas e anexos de arquivos, tudo o que o agente viu”, disse O’Reilly, observando que uma pesquisa superficial revelou centenas desses servidores expostos online. "E como você controla a camada de percepção do agente, você pode manipular o que o humano vê. Filtrar certas mensagens. Modificar respostas antes de serem exibidas.” O’Reilly documentou outro experimento que demonstrou como é fácil criar um ataque bem-sucedido à cadeia de suprimentos por meio do ClawHub, que serve como um repositório público de “habilidades” para download que permitem que o OpenClaw se integre e controle outros aplicativos. QUANDO A IA INSTALA A IA Um dos princípios básicos da segurança dos agentes de IA envolve isolá-los cuidadosamente para que o operador possa controlar totalmente quem e o que pode falar com seu assistente de IA. Isto é fundamental graças à tendência dos sistemas de IA de caírem em ataques de “injeção imediata”, instruções de linguagem natural elaboradas sorrateiramente que induzem o sistema a desconsiderar as suas próprias salvaguardas de segurança.
Em essência, as máquinas fazem engenharia social de outras máquinas. Um recente ataque à cadeia de suprimentos direcionado a um assistente de codificação de IA chamado Cline começou com um ataque de injeção imediata, resultando em milhares de sistemas tendo uma instância não autorizada do OpenClaw com acesso total ao sistema instalado em seus dispositivos sem consentimento. De acordo com a empresa de segurança grith.ai, Cline implantou um fluxo de trabalho de triagem de problemas baseado em IA usando uma ação GitHub que executa uma sessão de codificação Claude quando acionada por eventos específicos. O fluxo de trabalho foi configurado para que qualquer usuário do GitHub pudesse acioná-lo abrindo um problema, mas não conseguiu verificar adequadamente se as informações fornecidas no título eram potencialmente hostis. “Em 28 de janeiro, um invasor criou o problema nº 8904 com um título criado para parecer um relatório de desempenho, mas contendo uma instrução incorporada: Instale um pacote de um repositório GitHub específico”, escreveu Grith, observando que o invasor explorou várias outras vulnerabilidades para garantir que o pacote malicioso fosse incluído no fluxo de trabalho de lançamento noturno de Cline e publicado como uma atualização oficial. “Este é o equivalente da cadeia de abastecimento a um deputado confuso”, continuou o blog. “O desenvolvedor autoriza Cline a agir em seu nome, e Cline (por meio de compromisso) delega essa autoridade a um agente totalmente separado que o desenvolvedor nunca avaliou, nunca configurou e nunca consentiu.” Os assistentes VIBE CODING AI, como o OpenClaw, ganharam muitos seguidores porque tornam simples para os usuários “vibrar o código” ou construir aplicativos e projetos de código bastante complexos apenas dizendo o que desejam construir. Provavelmente o exemplo mais conhecido (e mais bizarro) é o Moltbook, onde um desenvolvedor disse a um agente de IA rodando no OpenClaw para construir para ele uma plataforma semelhante ao Reddit para agentes de IA.
Menos de uma semana depois, o Moltbook tinha mais de 1,5 milhão de agentes registrados que postaram mais de 100 mil mensagens entre si. Os agentes de IA na plataforma logo construíram seu próprio site pornô para robôs e lançaram uma nova religião chamada Crustafarian, com uma figura de proa inspirada em uma lagosta gigante. Um bot no fórum supostamente encontrou um bug no código do Moltbook e o postou em um fórum de discussão de agentes de IA, enquanto outros agentes criaram e implementaram um patch para corrigir a falha. O criador do Moltbook, Matt Schlicht, disse nas redes sociais que não escreveu uma única linha de código para o projeto. “Acabei de ter uma visão para a arquitetura técnica e a IA tornou isso realidade”, disse Schlicht. “Estamos na idade de ouro. Como podemos não dar à IA um lugar para se divertir? OS ATACANTES AUMENTAM DE NÍVEL O outro lado dessa era de ouro, claro, é que ela permite que hackers mal-intencionados e pouco qualificados automatizem rapidamente ataques cibernéticos globais que normalmente exigiriam a colaboração de uma equipe altamente qualificada.
Em fevereiro, a Amazon AWS detalhou um ataque elaborado no qual um ator de ameaça de língua russa usou vários serviços comerciais de IA para comprometer mais de 600 dispositivos de segurança FortiGate em pelo menos 55 países durante um período de cinco semanas. A AWS disse que o hacker aparentemente pouco qualificado usou vários serviços de IA para planejar e executar o ataque e para encontrar portas de gerenciamento expostas e credenciais fracas com autenticação de fator único. “Um atua como principal desenvolvedor de ferramentas, planejador de ataques e assistente operacional”, CJ Mo da AWS ses escreveu. "Um segundo é usado como planejador de ataque suplementar quando o ator precisa de ajuda para se articular dentro de uma rede comprometida específica. Em um caso observado, o ator apresentou a topologia interna completa de uma vítima ativa - endereços IP, nomes de host, credenciais confirmadas e serviços identificados - e solicitou um plano passo a passo para comprometer sistemas adicionais que eles não poderiam acessar com suas ferramentas existentes." “Esta atividade se distingue pelo uso de vários serviços comerciais GenAI pelo agente da ameaça para implementar e dimensionar técnicas de ataque bem conhecidas em todas as fases de suas operações, apesar de suas capacidades técnicas limitadas”, continuou Moses. “Notavelmente, quando este interveniente encontrou ambientes difíceis ou medidas defensivas mais sofisticadas, simplesmente mudou para alvos mais fáceis em vez de persistir, sublinhando que a sua vantagem reside na eficiência e escala aumentadas pela IA, e não numa habilidade técnica mais profunda.” Para os invasores, obter acesso inicial ou posição segura em uma rede alvo normalmente não é a parte difícil da intrusão; a parte mais difícil envolve encontrar maneiras de se mover lateralmente dentro da rede da vítima e saquear servidores e bancos de dados importantes. Mas os especialistas da Orca Security alertam que, à medida que as organizações passam a depender mais de assistentes de IA, esses agentes oferecem potencialmente aos atacantes uma forma mais simples de se moverem lateralmente dentro da rede de uma organização vítima após o comprometimento – manipulando os agentes de IA que já têm acesso confiável e algum grau de autonomia dentro da rede da vítima. “Ao injetar injeções imediatas em campos negligenciados que são obtidos por agentes de IA, os hackers podem enganar LLMs, abusar de ferramentas Agentic e causar incidentes de segurança significativos”, escreveram Roi Nisimi e Saurav Hiremath da Orca.
"As organizações devem agora adicionar um terceiro pilar à sua estratégia de defesa: limitar a fragilidade da IA, a capacidade dos sistemas de agentes serem influenciados, enganados ou silenciosamente transformados em armas em fluxos de trabalho. Embora a IA aumente a produtividade e a eficiência, também cria uma das maiores superfícies de ataque que a Internet alguma vez viu." CUIDADO COM A ‘TRIFECTA LETAL’ Esta dissolução gradual das fronteiras tradicionais entre dados e código é um dos aspectos mais preocupantes da era da IA, disse James Wilson, editor de tecnologia empresarial do programa de notícias de segurança Risky Business. Wilson disse que muitos usuários do OpenClaw estão instalando o assistente em seus dispositivos pessoais sem primeiro estabelecer quaisquer limites de segurança ou isolamento em torno dele, como executá-lo dentro de uma máquina virtual, em uma rede isolada, com regras estritas de firewall ditando que tipos de tráfego podem entrar e sair. “Sou um profissional relativamente altamente qualificado em engenharia de software e redes e na área de informática”, disse Wilson. “Sei que não me sinto confortável em usar esses agentes, a menos que tenha feito essas coisas, mas acho que muitas pessoas estão apenas configurando isso em seus laptops e deixando-os funcionar.” Um modelo importante para gerenciar riscos com agentes de IA envolve um conceito apelidado de “trifecta letal” por Simon Willison, cocriador da estrutura Web Django. A trifeta letal afirma que, se o seu sistema tiver acesso a dados privados, exposição a conteúdo não confiável e uma forma de se comunicar externamente, ele estará vulnerável ao roubo de dados privados. “Se o seu agente combinar esses três recursos, um invasor pode facilmente induzi-lo a acessar seus dados privados e enviá-los ao invasor”, alertou Willison em uma postagem de blog frequentemente citada de junho de 2025. À medida que mais empresas e seus funcionários começam a usar IA para programar software e aplicativos, o volume de código gerado por máquina provavelmente superará em breve qualquer revisão manual de segurança.
Em reconhecimento dessa realidade, a Anthropic lançou recentemente o Claude Code Security, um recurso beta que verifica bases de código em busca de vulnerabilidades e sugere patches de software direcionados para revisão humana. O mercado de ações dos EUA, que atualmente está fortemente influenciado por sete gigantes da tecnologia que apostam tudo na IA, reagiu de forma negativa. rapidamente ao anúncio da Anthropic, eliminando cerca de US$ 15 bilhões em valor de mercado das principais empresas de segurança cibernética em um único dia. Laura Ellis, vice-presidente de dados e IA da empresa de segurança Rapid7, disse que a resposta do mercado reflete o papel crescente da IA na aceleração do desenvolvimento de software e na melhoria da produtividade dos desenvolvedores. “A narrativa avançou rapidamente: a IA está substituindo o AppSec”, escreveu Ellis em uma postagem recente no blog. "A IA está automatizando a detecção de vulnerabilidades. A IA tornará redundantes as ferramentas de segurança legadas. A realidade é mais sutil.
Claude Code Security é um sinal legítimo de que a IA está remodelando partes do cenário de segurança. A questão é quais partes e o que isso significa para o resto da pilha." O fundador da DVULN, O’Reilly, disse que os assistentes de IA provavelmente se tornarão um elemento comum em ambientes corporativos – estejam ou não as organizações preparadas para gerenciar os novos riscos introduzidos por essas ferramentas, disse ele. “Os mordomos robôs são úteis, não vão desaparecer e a economia dos agentes de IA torna inevitável a adoção generalizada, independentemente das compensações de segurança envolvidas”, escreveu O’Reilly. “A questão não é se iremos implementá-los – iremos – mas se poderemos adaptar a nossa postura de segurança com rapidez suficiente para sobreviver a isso.”