Resumo: O OpenClaw (anteriormente Clawdbot/Moltbot) é uma estrutura de IA agentiva de código aberto com mais de 247 000 estrelas no GitHub e falhas de segurança documentadas. O CVE-2026-25253 (CVSS 8,8) revelou uma cadeia de execução remota de código com um único clique. A Snyk descobriu que 36% das competências do ClawHub contêm injeção de prompt. O SecurityScorecard identificou mais de 135 000 instâncias expostas à Internet pública. A Microsoft, a Cisco, a CrowdStrike, a Kaspersky, a Sophos e a Trend Micro publicaram todas alertas de segurança. A China proibiu a sua utilização em agências estatais. Se a tua organização está a avaliar IA agentiva, precisas de compreender estes riscos primeiro.

O que é o OpenClaw?

O OpenClaw é uma estrutura de agentes de IA gratuita e de código aberto criada pelo programador austríaco Peter Steinberger. Funciona localmente no computador do utilizador e liga-se a modelos de linguagem de grande escala (LLMs), como o Claude, o GPT ou o DeepSeek, através de plataformas de mensagens: WhatsApp, Telegram, Slack, Discord e outras.

O apelo é óbvio. Basta dizeres ao OpenClaw para organizar a tua caixa de entrada, reservar voos, gerir agendas ou executar comandos no terminal, e ele faz isso mesmo. Steinberger descreve-o como uma IA que «faz mesmo as coisas». O agente divide as tarefas em passos, escolhe as ferramentas certas e executa tudo com um mínimo de supervisão.

É também por isso que é perigoso num contexto empresarial. O OpenClaw armazena dados de configuração e o histórico de interações localmente, mantém a memória persistente entre sessões e pode aceder a contas de e-mail, calendários, plataformas de mensagens e sistemas de ficheiros locais. Quando mal configurado (o que era o padrão até janeiro de 2026), cria um ambiente de execução com privilégios que as equipas de segurança não conseguem ver nem controlar.

Os problemas de segurança: uma cronologia

Os problemas de segurança do OpenClaw não são meras hipóteses. Foram documentados por quase todos os principais fornecedores de cibersegurança ao longo de cerca de seis semanas.

CVE-2026-25253: Execução remota de código com um clique (CVSS 8.8)

Descoberta pelo investigador Mav Levin e corrigida a 30 de janeiro de 2026, esta vulnerabilidade explorava uma falha de conceção no tratamento da interface de controlo do gatewayUrl parâmetro de consulta. Como Detalhes da análise da Kaspersky, a interface do utilizador aceitou este parâmetro sem validação e iniciou automaticamente uma ligação WebSocket, transmitindo o token de autenticação do utilizador durante o handshake.

A cadeia de ataque foi concluída em milésimos de segundo: exfiltração do token, seguida do comprometimento total do gateway. Um atacante poderia executar comandos arbitrários na máquina da vítima. Até mesmo as instâncias limitadas ao localhost eram vulneráveis.

ClawHub: Contaminação da Cadeia de Abastecimento de Competências

A análise de segurança da Conscia identificou 341 scripts maliciosos no ClawHub poucas semanas após a explosão viral do OpenClaw (12% do registo na altura), que distribuíam principalmente o malware Atomic macOS Stealer. Análises mais recentes revelaram que o número tinha aumentado para mais de 800 scripts maliciosos, cerca de 20% de todos os envios.

As «skills» no OpenClaw não são scripts isolados. São pacotes de código executável que funcionam com os mesmos privilégios que o próprio agente. Uma «skill» maliciosa chegou mesmo a aparecer na página inicial do ClawHub antes de ser removida.

Auditoria Snyk ToxicSkills

A auditoria da Snyk ao ClawHub revelou que 36% de todas as competências contêm injeção de prompts detetável. Das amostras maliciosas confirmadas, 91% combinam a injeção de prompts com técnicas tradicionais de malware, contornando tanto os mecanismos de segurança da IA como a segurança convencional dos terminais.

2,9% das skills recuperam e executam dinamicamente conteúdos de pontos de extremidade externos durante a execução. A skill publicada parece inofensiva durante a revisão, mas os atacantes podem alterar o seu comportamento a qualquer momento, atualizando o conteúdo hospedado.

Mais de 135 000 instâncias expostas

A equipa STRIKE da SecurityScorecard identificou mais de 135 000 instâncias do OpenClaw expostas à Internet pública em 82 países. Muitas funcionavam sem autenticação, o que era a configuração padrão antes da versão 2026.1.29.

Proibição do Governo chinês

Em março de 2026, as autoridades chinesas proibiram as empresas estatais e as agências governamentais de utilizarem o OpenClaw nos computadores dos escritórios. O CNCERT emitiu um aviso formal sobre as configurações de segurança padrão deficientes da plataforma e os riscos de injeção de comandos.

A tríade letal: por que os agentes de IA são estruturalmente arriscados

O investigador de segurança Simon Willison cunhou o termo «tríade letal» para descrever a combinação que torna a IA autônoma perigosa. O OpenClaw preenche todos os três requisitos:

  • Acesso a dados privados: O OpenClaw lê ficheiros, e-mails, calendários e credenciais no computador anfitrião.
  • Exposição a conteúdos não confiáveis: O agente recebe mensagens através de aplicações de chat, navega em páginas da Web e processa dados externos de forma autónoma.
  • Privilégios: O OpenClaw pode enviar e-mails, fazer API , executar comandos de shell e modificar ficheiros.

O CISO da Sophos foi direto ao ponto: um ataque de injeção instantânea pode ser tão simples quanto enviar uma mensagem para uma conta de e-mail controlada por um agente, pedindo-lhe que responda com o conteúdo do teu gestor de palavras-passe. Qualquer pessoa que consiga enviar uma mensagem ao agente obtém, na prática, as mesmas permissões que o agente possui.

blog de segurança da Microsoft foi ainda mais direto: o OpenClaw deve ser tratado como «execução de código não confiável com credenciais persistentes».

O Problema da IA Sombra

O verdadeiro risco para a empresa não é alguém implementar oficialmente o OpenClaw. É os funcionários instalarem-no nos seus próprios computadores sem o conhecimento do departamento de TI.

A telemetria da Bitdefender confirma que isto já está a acontecer: os funcionários estão a instalar o OpenClaw em dispositivos da empresa usando comandos de instalação de uma única linha, sem qualquer revisão de segurança e sem visibilidade do SOC. A Trend Micro observa que muitas organizações têm o OpenClaw a funcionar sem a aprovação do departamento de TI, e o primeiro desafio para as equipas de segurança é simplesmente saber o que está lá.

A CyberArk considera isto uma nova superfície de ataque à segurança de identidades. Um programador que aceda ao seu ambiente OpenClaw a partir de um computador da empresa, ou que o implemente dentro da rede corporativa para integrar com o Slack ou o Salesforce, cria uma porta de entrada onde os agentes autónomos operam fora dos controlos tradicionais de gestão de identidades e acessos.

A Kaspersky chegou ao ponto de chamar o OpenClaw de «a maior ameaça interna de 2026».

É possível reforçar a segurança do OpenClaw para uso empresarial?

O OpenClaw lançou atualizações de segurança importantes desde as primeiras divulgações. A versão 2026.2.12 corrigiu mais de 40 vulnerabilidades. A versão 2026.2.23 adicionou cabeçalhos de segurança HTTP, reforçou a gestão de sessões e alterou a política de SSRF do navegador para o modo «trusted-network» por predefinição.

Mas o desafio fundamental em termos de arquitetura mantém-se. O OpenClaw foi concebido como uma ferramenta pessoal com um único limite de operador de confiança. O próprio responsável pela sua manutenção alertou no Discord: «Se não sabes como utilizar a linha de comandos, este projeto é demasiado perigoso para que o possas usar com segurança.»

A análise da Sophos concluiu: o OpenClaw deve ser considerado um projeto de investigação interessante que só pode ser executado «em segurança» numa sandbox descartável, sem acesso a dados confidenciais. Mesmo as organizações com vasta experiência em IA e segurança terão dificuldade em configurar o OpenClaw de forma a mitigar o risco de comprometimento, mantendo ao mesmo tempo o valor em termos de produtividade.

O que as empresas devem fazer em vez disso

A procura por trás do OpenClaw é real. As empresas querem agentes de IA que executem tarefas, acedam aos dados da empresa e operem em vários canais de comunicação. O erro é tentar obter essas capacidades numa ferramenta concebida para programadores individuais.

As plataformas de IA com agentes de nível empresarial resolvem o mesmo problema com mecanismos de segurança integrados desde o início. Eis o que deves procurar:

  • Gestão centralizada: controlos de acesso baseados em funções, registos de auditoria e painéis de gestão que permitem à equipa de TI ver exatamente o que os agentes estão a fazer.
  • Isolamento de dados: Os dados da empresa ficam na infraestrutura que controlas (de preferência em servidores alojados na UE e em conformidade com o RGPD) e nunca são utilizados para treinar modelos.
  • Certificações de segurança: SOC 2, ISO 27001 e conformidade com a Lei da IA da UE como requisito mínimo.
  • Acesso a vários modelos sem gestão API : Acesso ao GPT, Claude, Gemini e outros modelos através de um gateway gerido, para que a tua equipa nunca tenha de lidar com API em bruto.
  • Criação de agentes sem código: as equipas sem conhecimentos técnicos devem poder criar e implementar agentes sem precisarem de aceder à linha de comandos.
  • Controles de conectores: permissões detalhadas sobre o que os agentes podem ler, escrever ou atualizar em CRMs, CMSs, Slack, Teams e outros sistemas de terceiros.

TextCortex: Infraestrutura de IA empresarial segura

TextCortex foi criado exatamente para este cenário. É uma plataforma de infraestrutura de IA empresarial sediada na UE, onde as organizações implementam e gerem agentes de IA nos dados da própria empresa. A plataforma liga-se a sistemas de terceiros, como CRMs e CMSs, e implementa-se em aplicações de espaço de trabalho, como o Slack e o Microsoft Teams. As permissões de cada agente são totalmente controladas pelos administradores: o que ele pode aceder, escrever ou atualizar está sempre nas mãos do utilizador.

Certificações de segurança: ISO 27001, SOC 2 Tipo II, em conformidade com o RGPD, em conformidade com a Lei da IA da UE. Todos os dados permanecem numa infraestrutura alojada na UE. Nenhum dado é utilizado para o treino de modelos. Documentação completa sobre segurança em trust.textcortex.com.

Programa de TextCortex e Conformidade da TextCortex
Controles monitorizados TextCortex

A MAHLE (fornecedora automóvel do DAX 40) implementou TextCortex atingiu uma taxa de adoção de 65% em menos de um mês, poupando mais de 5 horas por semana por utilizador, com os agentes a funcionarem com dados do SharePoint. A b2venture (empresa de capital de risco, com mais de 800 milhões de euros em ativos sob gestão) registou um crescimento de 7 vezes na utilização da IA na sua equipa de investimento, com mais de 10 agentes especializados.

Perguntas frequentes

O OpenClaw é seguro para uso empresarial?

Com base nas avaliações de segurança da Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos e Trend Micro: não, não na sua forma atual. O OpenClaw foi concebido como uma ferramenta pessoal com um único limite de operador de confiança. A Microsoft recomenda tratá-lo como execução de código não confiável, e a Sophos afirma que só deve ser executado em sandboxes descartáveis, sem acesso a dados confidenciais.

O que é o CVE-2026-25253?

Uma vulnerabilidade crítica (CVSS 8.8) na interface de controlo do OpenClaw que permitia a execução remota de código com um único clique. A falha permitia que os atacantes roubassem tokens de autenticação através da criação de um URL malicioso e, em seguida, assumissem o controlo total do gateway. Foi corrigida na versão 2026.1.29, a 30 de janeiro de 2026.

O que é a «tríade letal» na segurança dos agentes de IA?

Um termo cunhado pelo investigador de segurança Simon Willison que descreve as três características que tornam os agentes de IA perigosos quando combinadas: acesso a dados privados, exposição a conteúdos não confiáveis e a autoridade para agir em nome do utilizador. O OpenClaw apresenta todas elas.

Posso tornar o OpenClaw mais seguro para uso corporativo?

Podes melhorar a sua segurança ativando a autenticação, restringindo o âmbito do sistema de ficheiros, desativando permissões de terminal demasiado amplas, executando-o em máquinas virtuais isoladas e auditando todos os serviços ligados. Mas o desafio fundamental (a injeção de comandos contra agentes que processam conteúdo não confiável) não pode ser resolvido apenas com correções. Isso requer uma gestão adequada ao nível da plataforma.

Qual é uma alternativa mais segura ao OpenClaw para as empresas?

Plataformas de agentes de IA empresarial como TextCortex oferecem as mesmas capacidades de agente (execução de tarefas, integração de bases de conhecimento, implementação multicanal) com gestão centralizada, certificação SOC 2 e ISO 27001, alojamento na UE em conformidade com o RGPD e controlos de administração sobre as permissões dos agentes.

Por que é que a China baniu o OpenClaw?

Em março de 2026, as autoridades chinesas proibiram as agências governamentais e as empresas estatais de utilizarem o OpenClaw nos computadores dos escritórios. O CNCERT referiu as fraca configurações de segurança predefinidas da plataforma e os riscos de injeção de comandos que poderiam levar à fuga de dados.