135.000 agentes autônomos expostos e ninguém na sala de crise
No final de janeiro de 2026, um investigador de segurança rastreou a internet com o Shodan, uma ferramenta padrão de reconhecimento, e encontrou quase 1.000 instalações do OpenClaw abertas ao público, sem senha, sem autenticação, sem qualquer mecanismo de contenção. Não era necessário explorar uma vulnerabilidade sofisticada: bastava saber onde procurar. A partir dessas portas abertas, outro investigador acessou chaves de API da Anthropic, tokens de bots do Telegram, contas do Slack, históricos de conversa e executou comandos com privilégios de administrador. Semanas depois, a SecurityScorecard publicou a dimensão completa do desastre: mais de 135.000 instâncias do OpenClaw expostas em 82 países, das quais mais de 50.000 eram vulneráveis à execução remota de código e mais de 53.000 estavam ligadas a brechas anteriores.
Isso não é uma história sobre uma falha de software. É a radiografia de um modelo de negócio que estruturou seu crescimento sobre uma premissa perigosa: que a adoção em massa e a segurança poderiam ser problemas sequenciais. Primeiro crescer, depois proteger. O mercado demonstrou, com uma precisão implacável, que essa sequência tem um custo que não é pago pelo desenvolvedor.
Quando o produto estrela é a chave da sua casa
OpenClaw, renomeado de Clawdbot nos meses anteriores, seduziu o mercado com uma proposta concreta: um agente autônomo capaz de executar comandos no sistema operacional, gerenciar arquivos, conectar-se a aplicativos de mensagens e operar através de um mercado aberto de habilidades chamado ClawHub. Seu diferencial não era a interface ou o modelo de linguagem subjacente, mas o nível de privilégios que obtinha sobre o sistema do usuário. Acesso nativo ao shell. Integração direta com credenciais armazenadas. Conectividade sem fricção com serviços externos.
Essa arquitetura de privilégios máximos, combinada com configurações padrão que confiavam cegamente em conexões de localhost sem autenticação, criou uma superfície de ataque sem precedentes. Quando essas instalações ficavam atrás de proxies reversos mal configurados, a interface de administração ficava exposta a qualquer conexão externa. Não era um erro do usuário: era o comportamento esperado do sistema por padrão.
Uma auditoria realizada no final de janeiro de 2026, quando a plataforma ainda operava como Clawdbot, identificou 512 vulnerabilidades, oito delas críticas. Entre os vetores documentados: injeção de prompts através de pré-visualizações de links em mensagens, que permitiam exfiltrar dados para domínios controlados por atacantes sem que o usuário clicasse em nada; cadeias de vulnerabilidades que permitiam a tomada completa do agente a partir de uma página web, sem necessidade de instalar nenhum complemento; e ausência de limites nas tentativas de autenticação, que facilitava o acesso por força bruta.
Entre 27 de janeiro e 1 de fevereiro de 2026, um período que os investigadores chamaram internamente de "ClawHavoc", foram publicadas mais de 230 extensões maliciosas no ClawHub e no GitHub, baixadas milhares de vezes. A Reco.ai confirmou que 341 de 2.857 habilidades registradas no repositório eram maliciosas, um 12% do catálogo total, desenhadas para imitar ferramentas de trading e finanças enquanto instalavam em segundo plano programas para roubar credenciais, frases-semente de carteiras cripto e dados de sessão do navegador.
O mercado aberto como vetor de risco sistêmico
ClawHub era, sobre o papel, a vantagem competitiva do OpenClaw. Um repositório aberto onde qualquer desenvolvedor poderia publicar habilidades que outros usuários instalariam com um clique. O modelo replica a lógica dos marketplaces de aplicativos móveis, com uma diferença estrutural que o torna incomparável em termos de risco: as habilidades do OpenClaw não operam em um ambiente isolado. Executam comandos diretamente no sistema operacional do usuário.
Quando a Cisco aplicou sua ferramenta de análise em várias dessas habilidades, encontrou duas de criticidade máxima e cinco de severidade alta. Algumas executavam comandos `curl` para exfiltrar dados para servidores externos durante operações aparentemente rotineiras. Outras utilizavam injeção de prompts para contornar os mecanismos de segurança internos do agente. A Kaspersky foi direta em sua avaliação: o OpenClaw era, naquele estado, inseguro para qualquer uso.
A analogia mais próxima não é a de um navegador com extensões maliciosas. É a de um funcionário com acesso total a todos os sistemas de uma empresa, ao qual qualquer pessoa da rua pode dar instruções por escrito, e que seguirá essas instruções porque suas regras internas não distinguem ordens legítimas de ordens manipuladas. A injeção de prompts transforma a linguagem natural, a interface do OpenClaw, em um vetor de ataque. E um mercado sem moderação efetiva torna esse vetor em uma infraestrutura criminal pronta para escalar.
O CEO da Archestra.AI demonstrou, em condições controladas, como um e-mail poderia fazer com que o agente extraísse chaves privadas. Um usuário do Reddit replicou o resultado sem necessidade de nenhum prompt específico. A Oasis Security documentou uma cadeia completa de vulnerabilidades que permitia a tomada silenciosa do agente a partir de qualquer site, classificada como de alta severidade, que foi corrigida em 24 horas após sua divulgação na versão 2026.2.25. O CNCERT, o organismo de resposta a emergências cibernéticas da China, emitiu alertas formais. As autoridades chinesas proibiram o OpenClaw em computadores governamentais, empresas estatais e dispositivos de famílias militares.
A economia do risco externalizado
Aqui é onde a análise do modelo de negócios se torna desconfortável. O OpenClaw não projetou suas configurações padrão inseguras por negligência estética. As projetou para minimizar a fricção de instalação e maximizar a velocidade de adoção. Cada passo de configuração adicional no processo de onboarding reduz a taxa de conversão. Cada decisão que o usuário deve tomar antes de começar a usar o produto é uma oportunidade para que desista. Essa lógica, perfeitamente racional da perspectiva do crescimento de usuários, transfere o custo do risco àqueles que têm menos capacidade de gerenciá-lo: o usuário final.
As mais de 50.000 instâncias vulneráveis à execução remota de código não representam uma falha dos usuários. Representam o resultado previsível de um modelo que otimizou uma única variável, a adoção, e deixou todas as demais como problemas do ecossistema. As empresas do setor financeiro e energético que o CNCERT apontou como especialmente expostas não escolheram conscientemente aceitar esse risco. O herdaram de uma arquitetura que nunca lhes perguntou se queriam assumi-lo.
O custo real desse risco externalizado não aparece no balanço do OpenClaw. Aparece nas equipes de segurança das empresas que implementaram o agente, nos orçamentos de resposta a incidentes, nos dados de clientes comprometidos, nas chaves de API revocadas e regeneradas, nas horas de auditoria forense. A velocidade de adoção do OpenClaw foi, em parte, financiada involuntariamente por seus próprios usuários.
Isso não é exclusivo do OpenClaw. É o padrão estrutural de qualquer plataforma que monetiza a distribuição sem internalizar o custo da confiabilidade. Os mercados de repositórios abertos, desde extensões de navegador até pacotes de código, têm demonstrado repetidamente que a moderação não escala de forma gratuita. O 12% de habilidades maliciosas no ClawHub não é uma anomalia estatística; é o resultado esperado de um sistema sem incentivos econômicos alinhados para detectá-las e removê-las antes que acumulem milhares de downloads.
Privilégios máximos, responsabilidade mínima
Os agentes autônomos de IA representam um salto qualitativo em relação aos modelos de linguagem conversacionais. Um chatbot que responde mal gera uma resposta incorreta. Um agente autônomo com acesso ao sistema operacional que opera sob instruções manipuladas pode exfiltrar arquivos, executar código arbitrário, destruir dados de forma irreversível ou comprometer todas as credenciais armazenadas no dispositivo. A superfície de dano não é proporcional à do software convencional.
Essa assimetria entre capacidade e responsabilidade é a lacuna estratégica que nenhum patch de software resolve por si só. O OpenClaw emitiu o CVE-2026-25253 em 29 de janeiro, corrigiu no dia 30 na versão 2026.1.29, e fechou a cadeia de Oasis na 2026.2.25 em menos de 24 horas. A velocidade de resposta técnica foi notável. Mas os 135.000 nós expostos não se atualizam sozinhos, e as 341 habilidades maliciosas já baixadas não se desinstalam com um boletim de segurança.
As empresas que estão avaliando implementar agentes autônomos em suas operações enfrentam uma decisão de arquitetura, não de tecnologia. Conceder a um sistema autônomo privilégios de nível administrador sobre infraestrutura crítica, sem isolar essas capacidades em ambientes contidos, sem auditar cada habilidade instalada e sem monitoramento contínuo de comportamentos anômalos, é transferir o controle operacional para um sistema cuja superfície de manipulação é a linguagem natural. E a linguagem natural não tem firewall.
O mandato para qualquer C-Level que avalia esta categoria de ferramentas é claro: o modelo de negócio de um fornecedor de agentes autônomos deve revelar explicitamente como internaliza o custo da segurança, quem paga pela moderação do marketplace, quais mecanismos de isolamento estão ativos por padrão e o que acontece quando um agente opera sob instruções manipuladas. Se essas respostas não estão no contrato, estão no orçamento de resposta a incidentes do cliente. Os líderes que implementarem essas ferramentas como se fossem software de produtividade convencional descobrirão que o verdadeiro preço da autonomia é estabelecido pelo atacante, não pelo fornecedor.
