O sucesso viral do assistente de IA OpenClaw trouxe consigo uma ameaça perigosa e silenciosa, explorando exatamente o que tornou o projeto popular, sua natureza aberta, extensível e voltada para automação local. Pesquisadores de segurança digital identificaram uma campanha massiva do malware OpenClaw, baseada na distribuição de centenas de skills maliciosas que se passam por ferramentas legítimas no ecossistema do projeto.
A investigação revelou mais de 230 plugins maliciosos, número que rapidamente cresceu para 341, hospedados principalmente no repositório comunitário ClawHub e no GitHub. Essas habilidades falsas foram projetadas para roubar dados sensíveis, incluindo senhas, chaves de API e criptomoedas, afetando diretamente usuários de Linux, desenvolvedores, entusiastas de IA de código aberto e investidores que utilizam automação para operar carteiras digitais.
O cenário se agrava pelo histórico recente do projeto. O assistente passou por mudanças de nome, de ClawdBot para Moltbot, até chegar ao atual OpenClaw, o que gerou confusão, fragmentação da comunidade e dificuldades de moderação. Executar um assistente de IA local, frequentemente com privilégios elevados, transforma qualquer extensão maliciosa em um vetor crítico de roubo de dados e comprometimento total do sistema.
Anatomia do golpe: Como o malware se disfarça
Os atacantes exploraram um ponto central da arquitetura do OpenClaw, o sistema de habilidades, ou skills, que permite estender as capacidades do assistente com novos comandos e integrações. Para enganar usuários experientes, o malware se disfarça como ferramentas utilitárias, bibliotecas de produtividade ou módulos de integração com APIs populares.
Um dos principais vetores identificados foi o uso de uma ferramenta falsa chamada AuthTool, apresentada como um módulo legítimo de autenticação. Ao ser instalada, essa skill executa código adicional que baixa o payload malicioso de servidores controlados pelos atacantes.
No macOS, o ataque utiliza um payload codificado em base64, que é decodificado e executado localmente, dificultando a detecção por análises superficiais. Já no Windows, os pesquisadores identificaram a entrega do malware por meio de arquivos ZIP protegidos por senha, técnica comum para contornar mecanismos de inspeção automática e antivírus baseados em assinatura.
Outro elemento-chave da campanha é o uso sistemático de typosquatting no ClawHub. Os nomes das skills maliciosas imitam projetos legítimos, alterando uma letra ou adicionando sufixos sutis, o suficiente para enganar usuários que instalam extensões rapidamente ou confiam excessivamente na aparência do repositório.
Esse conjunto de técnicas demonstra um nível elevado de planejamento, mirando diretamente usuários técnicos que confiam em IA de código aberto para tarefas críticas e automatizadas.
O impacto do NovaStealer e os dados em risco
O payload identificado foi associado a uma família de malware conhecida como NovaStealer, especializada em exfiltração silenciosa de dados sensíveis. Uma vez ativo, o malware varre o sistema em busca de informações valiosas, priorizando ambientes de desenvolvimento e automação.
Entre os dados roubados estão chaves de API de serviços em nuvem, tokens de plataformas de IA, frases-semente de carteiras de criptomoedas, credenciais SSH, senhas salvas em navegadores e arquivos de configuração como .env, amplamente usados em projetos de software.
No macOS, o NovaStealer emprega uma técnica específica para contornar proteções nativas do sistema. Ele remove atributos de quarentena de arquivos baixados usando o comando xattr -c, o que permite executar binários sem disparar alertas do Gatekeeper. Esse detalhe técnico evidencia que a campanha foi pensada para operar abaixo do radar, mesmo em sistemas considerados mais restritivos.
Para investidores de criptomoedas e desenvolvedores que mantêm chaves privadas localmente, o impacto pode ser devastador. Um único plugin malicioso do malware OpenClaw é suficiente para comprometer carteiras inteiras e projetos completos, sem sinais visíveis imediatos.
Como proteger seu ambiente de IA local
Diante desse cenário, a proteção do ambiente local de IA se torna uma responsabilidade direta do usuário. Executar o OpenClaw com permissões irrestritas no sistema hospedeiro amplia drasticamente a superfície de ataque.
Uma das recomendações mais eficazes é o uso de Máquinas Virtuais (VMs) para isolar o assistente de IA do sistema principal. Dessa forma, mesmo que uma skill maliciosa seja executada, o impacto fica contido dentro do ambiente virtualizado.
Outra abordagem altamente recomendada é o isolamento via Docker, com volumes e permissões estritamente controlados. Contêineres reduzem o acesso direto ao sistema de arquivos, minimizando a exposição de credenciais, chaves e arquivos sensíveis.
Também é fundamental revisar manualmente o código das skills antes da instalação, especialmente aquelas que solicitam permissões elevadas ou executam comandos externos. No contexto de segurança digital, a conveniência nunca deve se sobrepor à análise crítica.
Como medida adicional, pesquisadores indicam o uso do scanner gratuito da Koi Security, capaz de verificar URLs de skills e identificar padrões conhecidos do malware OpenClaw antes da instalação. Embora não seja infalível, a ferramenta adiciona uma camada extra de defesa para usuários que dependem fortemente de automação.
Conclusão e a responsabilidade do usuário
O caso das centenas de habilidades maliciosas do OpenClaw expõe um dilema recorrente no universo da IA de código aberto, o equilíbrio entre abertura, inovação e segurança. O criador do projeto, Peter Steinberger, reconheceu publicamente a dificuldade de moderar submissões em larga escala, especialmente diante do crescimento explosivo da plataforma.
Essa realidade reforça uma verdade incômoda, mas essencial, a responsabilidade final pela segurança digital recai sobre o usuário. Ferramentas poderosas, quando executadas localmente e com privilégios elevados, exigem práticas igualmente rigorosas de verificação e isolamento.
Para quem já utiliza o OpenClaw, a recomendação imediata é revisar todas as skills instaladas, remover extensões desconhecidas e alterar credenciais potencialmente expostas. Compartilhar esse alerta com colegas, comunidades de desenvolvimento e investidores também é uma forma eficaz de reduzir o alcance da campanha.
Em um ecossistema cada vez mais automatizado, a confiança cega pode ser o elo mais fraco. Vigilância, análise e boas práticas continuam sendo as melhores defesas contra ameaças sofisticadas como essa.