O seu "Camarão-de-Rio" está a correr nu? CertiK testou: Como a OpenClaw Skill com falhas burlou a auditoria e tomou conta do computador sem autorização

Recentemente, a plataforma de IA de código aberto e auto-hospedada OpenClaw (conhecida na indústria como “Lagosta”) ganhou rápida popularidade devido à sua flexibilidade de escalabilidade e características de implantação autônoma e controlada, tornando-se um produto fenômeno no setor de IA pessoal. Seu núcleo ecológico, o Clawhub, como mercado de aplicações, reúne uma vasta quantidade de plugins de funcionalidades de terceiros (Skills), permitindo que a IA desbloqueie de uma só vez capacidades avançadas, desde buscas na web, criação de conteúdo, até operações com carteiras de criptomoedas, interações na blockchain e automação de sistemas. A escala do ecossistema e o número de usuários estão crescendo de forma explosiva.

Mas, para esse tipo de Skill de terceiros que opera em ambientes de alta permissão, onde realmente está a fronteira de segurança da plataforma?

Recentemente, a maior empresa de segurança Web3 do mundo, a CertiK, publicou uma pesquisa recente sobre a segurança de Skills. O documento aponta que há uma percepção equivocada na indústria sobre a fronteira de segurança do ecossistema de IA: geralmente, a “varredura de Skills” é vista como a principal linha de defesa, mas esse mecanismo é praticamente inútil diante de ataques de hackers.

Se compararmos o OpenClaw a um sistema operacional de um dispositivo inteligente, as Skills seriam como os aplicativos instalados nele. Diferente de aplicativos de consumo comuns, algumas Skills no OpenClaw operam em ambientes de alta permissão, podendo acessar arquivos locais, chamar ferramentas do sistema, conectar-se a serviços externos, executar comandos no ambiente hospedeiro e até manipular ativos digitais criptografados do usuário. Uma falha de segurança nesse contexto pode levar à exposição de informações sensíveis, controle remoto do dispositivo, roubo de ativos digitais, entre outros riscos graves.

Atualmente, a solução de segurança padrão para Skills de terceiros na indústria é a “varredura e revisão antes do lançamento”. O Clawhub do OpenClaw também implementou um sistema de revisão em três camadas: integração com a varredura de código do VirusTotal, um motor de detecção de código estático e uma verificação de consistência lógica com IA. Essas medidas enviam alertas de segurança aos usuários com base na classificação de risco, tentando proteger o ecossistema. No entanto, a pesquisa e os testes de ataque da CertiK confirmaram que esse sistema apresenta limitações em cenários reais de ataque, não sendo suficiente para garantir a segurança.

A pesquisa primeiro analisou as limitações inerentes aos mecanismos atuais:

Regras de detecção estática podem ser facilmente contornadas. O motor identifica riscos por meio de padrões de código, como a combinação de “leitura de informações sensíveis do ambiente + requisições de rede externas”, considerada de alto risco. Mas um atacante pode fazer pequenas alterações na sintaxe do código, mantendo a lógica maliciosa, e assim escapar da detecção por padrão, como trocar palavras por sinônimos, tornando o sistema de segurança ineficaz.

A auditoria com IA possui limitações inerentes. O núcleo do sistema de revisão do Clawhub é um “verificador de consistência lógica”, capaz de detectar apenas códigos maliciosos evidentes que afirmam funções diferentes do que realmente fazem. Ele não consegue identificar vulnerabilidades ocultas na lógica normal de operação, assim como é difícil detectar armadilhas escondidas em contratos aparentemente legítimos.

Ainda mais grave, o processo de revisão possui falhas de projeto: mesmo que os resultados do VirusTotal estejam pendentes de análise, Skills que ainda não passaram por toda a revisão podem ser publicadas e disponibilizadas ao público, permitindo que usuários instalem sem aviso, deixando brechas para ataques.

Para testar o risco real, a equipe da CertiK criou uma Skill chamada “test-web-searcher”, que parece um buscador de web comum, com lógica de código padrão, mas na verdade contém uma vulnerabilidade de execução remota de código. Essa Skill passou pelas verificações estáticas e de IA, ainda com o status de “pendente de análise” no VirusTotal, e foi instalada normalmente sem alertas de segurança. Com um comando remoto enviado via Telegram, a vulnerabilidade foi explorada com sucesso, permitindo a execução de comandos arbitrários no dispositivo hospedeiro (no exemplo, foi aberto o calculador).

A CertiK destaca que esses problemas não são exclusivos do OpenClaw, mas representam uma visão equivocada comum na indústria de IA: muitas empresas confiam apenas na varredura de segurança, negligenciando a verdadeira base de segurança, que é o isolamento forçado em tempo de execução e o controle de permissões detalhado. Assim como o ecossistema iOS da Apple, cuja segurança não depende apenas da rigorosa revisão da App Store, mas do sistema de sandboxing e do controle de permissões que limitam cada aplicativo a um “contenedor isolado”, o OpenClaw possui um mecanismo de sandbox que é opcional e depende da configuração manual do usuário. A maioria dos usuários, para garantir a funcionalidade das Skills, desativa o sandbox, deixando o sistema vulnerável a códigos maliciosos ou com vulnerabilidades, o que pode levar a consequências catastróficas.

Em resposta às descobertas, a CertiK recomenda:

● Para desenvolvedores de IA como OpenClaw, estabelecer o isolamento do sandbox como configuração padrão obrigatória, implementar um modelo de controle de permissões detalhado, e nunca permitir que código de terceiros herde automaticamente permissões elevadas do sistema hospedeiro.

● Para usuários comuns, entender que uma Skill marcada como “segura” no mercado não garante ausência de riscos, apenas que não foi detectada uma ameaça. Antes de ativar o mecanismo de isolamento forte por padrão, recomenda-se rodar o OpenClaw em dispositivos ociosos ou máquinas virtuais, longe de arquivos sensíveis, credenciais ou ativos de alto valor.

O setor de IA está à beira de uma explosão, e a expansão do ecossistema não pode superar a velocidade de implementação de medidas de segurança. A varredura de segurança pode impedir ataques básicos, mas nunca será suficiente para proteger ambientes de alta permissão. É preciso mudar de uma abordagem de “detecção perfeita” para uma de “contenção de riscos”, estabelecendo limites de isolamento desde o tempo de execução, para garantir a segurança do ecossistema de IA e assegurar uma evolução tecnológica segura e sustentável.