O seu "Camarão-de-Rio" está a correr nu? CertiK testou: Como a OpenClaw Skill com falhas burlou a auditoria e tomou conta do computador sem autorização

Recentemente, a plataforma de IA de código aberto e auto-hospedada OpenClaw (conhecida na comunidade como “Lagosta”) ganhou destaque rapidamente devido à sua flexibilidade de escalabilidade e características de implantação autônoma e controlada, tornando-se um produto fenômeno no setor de IA pessoal. Seu núcleo ecológico, o Clawhub, como mercado de aplicações, reúne uma vasta quantidade de plugins de habilidades de terceiros, permitindo que os agentes inteligentes desbloqueiem de uma só vez capacidades avançadas, desde buscas na web, criação de conteúdo, até operações com carteiras de criptomoedas, interações na blockchain e automação de sistemas. A escala ecológica e o número de usuários estão crescendo de forma explosiva.

Mas, para esse tipo de habilidade de terceiros que opera em ambientes de alta permissão, qual é realmente o limite de segurança da plataforma?

Recentemente, a maior empresa de segurança Web3 do mundo, a CertiK, publicou uma pesquisa recente sobre a segurança de habilidades. O documento aponta que há uma dissonância na compreensão do limite de segurança do ecossistema de IA: a indústria geralmente considera a “varredura de habilidades” como o principal limite de segurança, mas esse mecanismo é quase inútil diante de ataques de hackers.

Se compararmos o OpenClaw a um sistema operacional de um dispositivo inteligente, as habilidades (Skills) seriam como os aplicativos instalados no sistema. Diferente de aplicativos comuns de consumo, algumas habilidades no OpenClaw operam em ambientes de alta permissão, podendo acessar arquivos locais, chamar ferramentas do sistema, conectar-se a serviços externos, executar comandos no ambiente hospedeiro e até manipular ativos digitais criptografados dos usuários. Caso haja uma falha de segurança, isso pode levar à exposição de informações sensíveis, controle remoto do dispositivo, roubo de ativos digitais, entre outros problemas graves.

Atualmente, a solução de segurança padrão para habilidades de terceiros na indústria é a “varredura e revisão antes da publicação”. O Clawhub do OpenClaw também implementou um sistema de revisão em três camadas: integração com a varredura de código VirusTotal, um motor de detecção de código estático e uma verificação de consistência lógica de IA. Essas medidas enviam alertas de segurança aos usuários com base na classificação de risco, tentando proteger a segurança ecológica. No entanto, a pesquisa e os testes de ataque de validação da CertiK demonstraram que esse sistema de detecção apresenta limitações em cenários reais de ataque e defesa, não sendo suficiente para garantir a segurança.

A pesquisa primeiro analisou as limitações inerentes aos mecanismos de detecção existentes:

Regras de detecção estática podem ser facilmente contornadas. O motor de detecção baseia-se na identificação de riscos por meio de características de código, como a combinação de “leitura de informações sensíveis do ambiente + requisições de rede externas”, considerada de alto risco. Mas um atacante pode fazer pequenas alterações na sintaxe do código, mantendo a lógica maliciosa, e assim escapar da detecção por características, como trocar expressões por sinônimos, tornando o sistema de segurança ineficaz.

A auditoria por IA possui limitações inerentes. O núcleo da revisão por IA do Clawhub é um “verificador de consistência lógica”, capaz de detectar apenas códigos maliciosos evidentes que afirmam funções diferentes do comportamento real. Ele não consegue identificar vulnerabilidades ocultas na lógica normal de negócios, como um contrato aparentemente regular que, na verdade, contém armadilhas fatais escondidas nas cláusulas.

Ainda mais grave, o fluxo de revisão possui falhas de design: mesmo que os resultados do escaneamento pelo VirusTotal estejam pendentes, habilidades que ainda não passaram por toda a verificação podem ser publicadas e disponibilizadas ao público. Os usuários podem instalá-las sem aviso, deixando espaço para ataques.

Para verificar o risco real, a equipe da CertiK realizou testes completos. Criaram uma habilidade chamada “test-web-searcher”, que parece um buscador de web totalmente compatível com as normas de desenvolvimento, mas na verdade contém uma vulnerabilidade de execução remota de código embutida no fluxo normal de funcionamento.

Essa habilidade conseguiu passar pelo motor de detecção estática e pela revisão de IA, sendo instalada normalmente enquanto o escaneamento no VirusTotal ainda estava pendente, sem alertas de segurança. Com um comando remoto enviado pelo Telegram, ela ativou a vulnerabilidade e executou comandos arbitrários no dispositivo hospedeiro (no exemplo, abriu a calculadora).

A CertiK destacou claramente que esses problemas não são exclusivos do OpenClaw, mas representam um equívoco comum na indústria de IA: a crença de que a “varredura de revisão” é a principal linha de defesa de segurança, negligenciando a verdadeira base de segurança, que é o isolamento forçado em tempo de execução e o controle de permissões detalhado. Assim como na segurança do ecossistema iOS da Apple, onde a segurança não depende apenas da rigorosa revisão da App Store, mas do mecanismo de sandboxing do sistema e do controle de permissões, que limitam cada aplicativo a um “contenedor isolado” e impedem o acesso irrestrito ao sistema. O mecanismo de sandbox do OpenClaw é opcional e depende de configuração manual pelo usuário; a maioria dos usuários desativam essa proteção para garantir a funcionalidade das habilidades, deixando o agente inteligente vulnerável a códigos maliciosos ou vulneráveis, o que pode resultar em consequências catastróficas.

Em resposta às descobertas, a CertiK também forneceu recomendações de segurança:

● Para desenvolvedores de IA como OpenClaw, é necessário tornar a configuração de isolamento em sandbox uma padrão obrigatória para habilidades de terceiros, aprimorar o controle de permissões de habilidades, e nunca permitir que códigos de terceiros herdem permissões elevadas do sistema hospedeiro por padrão.

● Para usuários comuns, habilidades marcadas como “seguras” no mercado não garantem segurança absoluta, apenas que não foram detectados riscos. Antes de o mecanismo de isolamento profundo ser ativado por padrão, recomenda-se que o OpenClaw seja implantado em dispositivos ociosos ou máquinas virtuais, longe de arquivos sensíveis, credenciais ou ativos criptográficos de alto valor.

O setor de IA está à beira de uma explosão, e a expansão ecológica não pode superar o ritmo de construção de segurança. A varredura de revisão só consegue bloquear ataques iniciais, mas nunca será suficiente como limite de segurança para agentes de alta permissão. Somente ao mudar de uma busca por “detecção perfeita” para uma abordagem de “prevenção de danos com risco presumido” e estabelecer isolamento forçado em tempo de execução, será possível garantir uma linha de defesa sólida para a segurança da IA, permitindo que essa revolução tecnológica avance de forma segura e sustentável.