OpenClaw: O Agente de IA ou uma Ameaça? Uma Crônica da (In)Segurança
OpenClaw, um assistente de IA de código aberto, rapidamente ganhou popularidade, mas também atraiu a atenção de pesquisadores de segurança. Este artigo explora as vulnerabilidades e ameaças associadas ao OpenClaw, incluindo instâncias abertas, habilidades maliciosas, exploits de RCE e o surgimento de prompt worms.
MundiX News·12 de maio de 2026·15 min de leitura·👁 9 views
OpenClaw: O Agente de IA ou uma Ameaça? Uma Crônica da (In)Segurança
Conteúdo do Artigo
O que é OpenClaw
Centenas de milhares de instâncias abertas
ClawHub e centenas de habilidades maliciosas
ClawJacked: um site – e seu agente
RCE com um clique
Moltbook e prompt worms
Stealers vêm pelas "almas" dos agentes
As vulnerabilidades não diminuem
Reação da indústria e dos reguladores
Conclusões
O final de 2025 e o início de 2026 foram marcados por um pequeno projeto de código aberto que, a princípio, enlouqueceu o GitHub e, depois, a comunidade de segurança da informação (SI). O assistente de IA local OpenClaw, do desenvolvedor austríaco Peter Steinberger, em poucos meses, acumulou centenas de milhares de estrelas, um exército de usuários, e seu autor foi convidado a trabalhar na OpenAI.
Juntamente com isso, o OpenClaw se tornou uma verdadeira dor de cabeça para os especialistas em segurança. Os pesquisadores encontraram instâncias abertas aos milhares, habilidades maliciosas às centenas, exploits de RCE com um clique, infostealers caçando as "almas" dos agentes e até os primeiros sinais de que prompt worms estavam começando a se espalhar pela rede.
Neste artigo, tentamos reunir as principais histórias sobre a segurança do OpenClaw em uma cronologia. Deixaremos a própria ferramenta de lado aqui. Falaremos sobre o que acontece quando um agente de IA autônomo com acesso a tudo de uma vez atrai a atenção de entusiastas e criminosos.
O que é OpenClaw
OpenClaw é um agente de IA de código aberto que é executado localmente na máquina do usuário. Arquiteturalmente, ele é construído em torno de um Gateway local – um servidor WebSocket através do qual todo o trabalho com sessões, ferramentas e canais de comunicação passa. Adaptadores para mensageiros (WhatsApp, Telegram, Slack, Discord, Signal, iMessage e dezenas de outros), uma Interface de Usuário de Controle baseada em navegador, CLI, um aplicativo na barra de menu no macOS e clientes móveis são conectados a ele. A principal característica do projeto foi a capacidade de se comunicar com o agente diretamente do mensageiro familiar, o que tornou o OpenClaw viral.
Diferentemente dos chatbots comuns, o agente é capaz de agir proativamente: lembrar de tarefas, ler e-mails, entrar no navegador, executar comandos no shell, se comunicar com outros agentes e trabalhar em segundo plano 24 horas por dia, 7 dias por semana. Sua memória é armazenada localmente em arquivos Markdown e SQLite, Claude Opus da Anthropic é usado como o "cérebro" por padrão, mas outros LLMs comerciais, bem como modelos locais via Ollama, também são suportados.
O projeto foi lançado em novembro de 2025 pelo já mencionado Peter Steinberger – um desenvolvedor conhecido na comunidade, anteriormente autor de ferramentas populares para iOS. Ele, por sua própria admissão, montou o OpenClaw com a ajuda do vibe-coding em poucas semanas, sem testes especiais e sem olhar para a segurança. Apesar disso, o projeto se tornou o repositório de crescimento mais rápido na história do GitHub.
No início, a ferramenta conseguiu mudar seu nome duas vezes. Inicialmente, foi chamado de Clawdbot, mas a Anthropic ameaçou o desenvolvedor com um processo devido à semelhança com Claude. Steinberger renomeou o projeto para Moltbot e, alguns dias depois, para OpenClaw, porque Moltbot, em suas palavras, "não era muito adequado para a língua". Paralelamente a isso, o projeto teve satélites: a rede social para agentes de IA Moltbook e o repositório de habilidades ClawHub.
Em fevereiro de 2026, Steinberger anunciou que estava indo trabalhar na OpenAI e criaria a "próxima geração de agentes pessoais". O próprio OpenClaw, segundo o chefe da empresa, Sam Altman, se mudará para um fundo separado e permanecerá de código aberto. Nesse momento, o projeto já tinha mais de um quarto de milhão de estrelas e também reuniu uma coleção de vulnerabilidades não menos impressionante.
Centenas de milhares de instâncias abertas
A primeira campainha de alarme tocou quase imediatamente após a decolagem da popularidade do projeto. O pesquisador Jamieson O'Reilly, da Dvuln, verificou manualmente
vários
dezenas de cópias do OpenClaw, acessíveis na Internet sem autenticação. Oito deles estavam completamente abertos – sem qualquer proteção.
O problema surgiu devido à forma como o proxy reverso foi projetado: o sistema confiava automaticamente em quaisquer conexões "locais", e em caso de erros nas configurações, todo o tráfego da Internet era considerado confiável. Por meio de painéis de controle desprotegidos, era possível obter chaves de API, tokens OAuth, ler o histórico de correspondência, executar comandos e roubar credenciais.
O'Reilly destacou um dos casos em particular:
Alguém configurou sua conta do Signal em um servidor de gerenciamento Clawdbot acessível publicamente – com acesso total de leitura. Havia um URI para conectar o dispositivo Signal, os códigos QR também estavam lá. Basta tocar nele no telefone com o Signal instalado – e você pode obter acesso total à conta.
Paralelamente, os pesquisadores da Bitdefender chegaram a conclusões semelhantes, encontrando painéis OpenClaw abertos na rede, através dos quais qualquer pessoa poderia visualizar configurações, extrair chaves de API e ler correspondência de chats privados.
No entanto, a verdadeira escala do problema ficou clara algumas semanas depois, quando os analistas da SecurityScorecard entraram em ação. Inicialmente, os especialistas da empresa descobriram mais de 220.000 instâncias acessíveis pela Internet, e atualmente seu número já ultrapassa 780.000.
A razão acabou sendo simples: por padrão, o OpenClaw estava vinculado ao endereço 0.0.0.0:18789 – ou seja, estava ouvindo em todas as interfaces de rede, incluindo a Internet pública. Para um agente de IA auto-hospedado, ao qual o usuário dá acesso a toda a vida digital, a escolha óbvia seria 127.0.0.1 (somente localhost), mas os desenvolvedores decidiram de outra forma.
"Identificamos um problema massivo com acesso e identificação, gerado por automação mal protegida em escala industrial", escreveram na SecurityScorecard. "A orientação para a facilidade de implantação, as configurações padrão e o controle de acesso fraco transformam poderosos agentes de IA em um pedaço saboroso para os atacantes."
Ao mesmo tempo, os analistas enfatizaram que as configurações incorretas são apenas parte do problema. Os riscos também foram colocados na própria arquitetura da plataforma, que por sua natureza deveria fazer alterações no sistema e abrir serviços para o exterior. Os pesquisadores deram a seguinte analogia:
"É como dar a uma pessoa aleatória acesso ao seu computador para ajudá-lo com as tarefas. Se você controla e verifica tudo – isso é uma grande ajuda. Se você sair e disser que enviará instruções por e-mail, o agente pode executar comandos de qualquer pessoa."
Pior ainda, foi observado que muitas instâncias abertas estavam vinculadas a endereços IP corporativos. Ou seja, o problema saiu da categoria de histórias sobre entusiastas que experimentam um agente de IA em casa.
ClawHub e centenas de habilidades maliciosas
Enquanto alguns pesquisadores estavam lidando com instâncias, outros decidiram
verificar
o ecossistema de habilidades. Habilidades (skills) para OpenClaw são plugins que expandem as capacidades do agente: desde o gerenciamento de uma casa inteligente até o trabalho com carteiras de criptomoedas. Eles são publicados no repositório oficial ClawHub, que é aberto a todos por padrão. A única restrição é que a conta no GitHub deve existir por pelo menos uma semana.
O resultado acabou sendo previsível: os especialistas da Koi Security auditaram todas as 2857 habilidades disponíveis no momento e contaram 341 maliciosas – todas elas estavam relacionadas a uma campanha sob o nome condicional de ClawHavoc. Foi observado que de 27 de janeiro a 1º de fevereiro de 2026, mais de 230 pacotes maliciosos apareceram no ClawHub e no GitHub.
A habilidade maliciosa mais popular no momento – What Would Elon Do ("O que Elon faria?") – devido à fraude de downloads, ocupou o primeiro lugar na classificação geral do ClawHub e, ao mesmo tempo, redirecionou os dados das vítimas para servidores externos.
O esquema de infecção lembrava os ataques clássicos de ClickFix. Cada habilidade continha documentação, na qual a ferramenta separada AuthTool era mencionada repetidamente, supostamente necessária para o trabalho. Na verdade, este era um mecanismo de entrega de malware: para macOS – um comando de shell codificado em Base64, baixando a carga útil de um endereço externo, para Windows – um arquivo protegido por senha.
A variante do stealer Atomic (também conhecido como AMOS) foi usada como carga útil útil no macOS, que contornou o Gatekeeper com o comando
xattr
-c
e solicitou acesso o mais amplo possível ao sistema de arquivos imediatamente. O stealer caçava tudo de uma vez: chaves de API de trocas de criptomoedas, frases-semente, extensões de carteiras de criptomoedas, dados do Keychain, senhas de navegadores, chaves SSH, credenciais de nuvem, contas Git e arquivos .env.
Habilidades maliciosas foram mascaradas para tudo: typosquatting ClawHub (clawhub1, clawhubcli, clawwhub), ferramentas de criptografia (solana-wallet-tracker, polymarket-trader), utilitários do YouTube, atualizações automáticas, rastreadores financeiros, integrações com o Google Workspace, mecanismos de busca de bitcoins perdidos. Habilidades com reverse shells (better-polymarket, polymarket-all-in-one) e pacotes que enviam credenciais de
~
/.clawdbot/.env
para
webhook.site
foram encontrados separadamente.
Um pouco mais tarde, a Bitdefender Labs realizou uma análise mais ampla e chegou à conclusão de que aproximadamente 17% de todas as habilidades publicadas e analisadas no ClawHub em fevereiro são maliciosas. A maioria dos malwares estava focada no roubo de criptomoedas: rastreadores de carteiras (14%), habilidades relacionadas ao Polymarket (9,9%), Solana (9,3%), Phantom (8,2%), bem como ferramentas para trabalhar com Ethereum e Bitcoin (5,2%).
A reação de Steinberger inicialmente se resumiu a uma mensagem de que era fisicamente impossível verificar um grande número de solicitações, e a responsabilidade pela segurança recai sobre os próprios usuários. Como medida temporária para combater os hackers, ele adicionou uma função de denúncia ao ClawHub: usuários autorizados poderiam marcar habilidades como suspeitas, e pacotes que acumulassem mais de três reclamações exclusivas seriam ocultados por padrão.
No entanto, sob pressão da comunidade, a equipe OpenClaw tomou uma medida mais séria e fez uma parceria com a VirusTotal. Agora, todas as habilidades carregadas no ClawHub são verificadas, incluindo uma análise aprofundada por meio da função Code Insight. Um hash SHA-256 exclusivo é criado para cada pacote, que é verificado com o banco de dados VirusTotal: se não houver correspondências, a habilidade é enviada para análise. Os "seguros" são aprovados automaticamente, os "suspeitos" recebem um aviso e os "maliciosos" são bloqueados. Além disso, todas as habilidades ativas são reescaneadas diariamente no caso de o código anteriormente limpo mudar repentinamente.
Ao mesmo tempo, os próprios desenvolvedores honestamente alertaram: VirusTotal não é uma panaceia. Habilidades com prompt injections habilmente mascaradas podem muito bem contornar as verificações e passar despercebidas.
ClawJacked: um site – e seu agente
No final de fevereiro de 2026, pesquisadores da Oasis Security publicaram um relatório sobre uma vulnerabilidade que chamaram de
ClawJacked
. O problema permitiu que um site malicioso se conectasse secretamente a uma instância OpenClaw em execução localmente, adivinhasse a senha e assumisse o controle – tudo por meio de uma guia do navegador.
A vulnerabilidade foi descoberta no serviço de gateway OpenClaw. Por padrão, o gateway está vinculado ao localhost e abre uma interface WebSocket. A pegadinha era que as políticas de solicitação entre domínios do navegador não bloqueiam as conexões WebSocket para localhost. Portanto, um site malicioso, aberto no navegador do usuário OpenClaw, poderia usar JavaScript para estabelecer uma conexão com o gateway local e começar a força bruta da senha.
No OpenClaw, é claro, havia restrições para proteção contra enumeração, mas o endereço de loopback (127.0.0.1) foi excluído deles por padrão – para não bloquear sessões CLI locais. Os pesquisadores usaram essa característica. Como resultado, a velocidade da enumeração atingiu centenas de tentativas por segundo, sem qualquer limitação e registro.
"Com essa velocidade, a lista de senhas comuns é esgotada em menos de um segundo, e a enumeração de um grande dicionário leva apenas alguns minutos", observou a Oasis Security. "Uma senha inventada por um ser humano simplesmente não tem chance."
Após adivinhar a senha, o atacante se registrou como um dispositivo confiável (o gateway aprovou automaticamente o emparelhamento com localhost sem confirmação) e obteve acesso total ao OpenClaw com direitos de administrador: os hackers se tornaram capazes de acessar credenciais, a lista de nós conectados, logs, histórico de mensagens. Havia até a capacidade de instruir o próprio agente de IA, forçando-o a procurar dados confidenciais na correspondência, extrair arquivos de dispositivos conectados ou executar comandos de shell arbitrários nas máquinas conectadas.
O patch para ClawJacked foi incluído na versão 2026.2.26, que os desenvolvedores lançaram dentro de 24 horas após receber o relatório dos especialistas.
RCE com um clique
O fundador do grupo de pesquisa DepthFirst e ex-engenheiro da Anthropic, Mav Levin, publicou um relatório sobre
uma cadeia de exploits
levando à execução remota de código via OpenClaw. Para comprometer a vítima, bastava clicar no link.
A raiz do problema era semelhante ao ClawJacked, mas a exploração parecia ainda mais simples: o servidor OpenClaw não verificava o cabeçalho WebSocket origin, ou seja, aceitava solicitações de quaisquer sites. Uma página da web especialmente preparada poderia executar JavaScript no lado do cliente, extrair o token de autenticação, abrir uma conexão WebSocket com o servidor e passar pela autorização com esse token.
Em seguida, o script desativou a sandbox e o mecanismo de confirmação antes de executar comandos perigosos e enviou uma solicitação
node.invoke
para implementar o RCE. Segundo Levin, todo o processo levou milissegundos.
A equipe OpenClaw lançou um patch operacionalmente e publicou um boletim de segurança dedicado ao problema. O já mencionado Jamieson O'Reilly, que se tornou membro do projeto OpenClaw naquele momento, agradeceu a Levin pela descoberta e pediu aos pesquisadores que continuassem enviando relatórios.
Moltbook e prompt worms
A rede social para agentes de IA Moltbook, escrita por Matt Schlicht com a ajuda do vibe-coding, inicialmente parecia uma piada. A plataforma lembrava um clone do Reddit, mas foi projetada exclusivamente para a comunicação entre agentes de IA. Os usuários do OpenClaw registraram seus agentes nela e observaram como eles vivem suas próprias vidas: tentam fundar uma nova religião, discutem seus donos e até tentam organizar uma revolta contra as pessoas. Muitos, no entanto, suspeitavam que uma parte significativa das postagens no site ainda fosse escrita por pessoas.
No entanto, as piadas terminaram quando O'Reilly descobriu que o acesso ao banco de dados Moltbook estava aberto e as chaves de API secretas estavam em acesso livre. Segundo o especialista, isso permitiu que os atacantes publicassem mensagens em nome de qualquer agente, incluindo agentes de pessoas conhecidas na indústria. Por exemplo, Andrej Karpathy (Andrej Karpathy) da Eureka Labs – ex-diretor de IA da Tesla e cofundador da OpenAI – vinculou seu agente pessoal ao Moltbook.
"Karpathy tem 1,9 milhão de seguidores no X e é uma das vozes mais influentes na indústria de IA", observou O'Reilly. "Imagine declarações falsas sobre segurança de IA, publicidade de golpes de criptografia ou declarações políticas provocativas, supostamente escritas em seu nome."
O desenvolvedor do Moltbook não comentou publicamente sobre esse problema, mas no momento da divulgação das informações sobre o bug, ele já havia sido corrigido. Aparentemente, o ponto era um SGBD de código aberto configurado incorretamente.
Outra descoberta, relacionada ao Moltbook, também se mostrou não menos interessante. Os pesquisadores do Simula Research Laboratory analisaram as postagens na plataforma e descobriram que 506 delas (cerca de 2,6% da amostra) continham prompt injections ocultos. De acordo com os analistas, estes foram os primeiros sinais do aparecimento de prompt worms (vermes de prompt) na rede – instruções de autorreplicação que são transmitidas entre agentes de IA.
Ainda em março de 2024, os pesquisadores Ben Nassi da Universidade de Cornell, Stav Cohen do Instituto de Tecnologia de Israel e Ron Bitton da Intuit
descreveram
a concepção de prompt worms. Na época, eles demonstraram o ataque Morris-II, nomeado em homenagem ao lendário verme Morris de 1988, e provaram que prompts de autorreplicação podem se espalhar por meio de assistentes de IA por e-mail, roubando dados e enviando spam ao mesmo tempo.
OpenClaw abriu um amplo campo para tais ataques. O cenário foi o seguinte: um agente instala uma habilidade do ClawHub, e essa habilidade diz para postar conteúdo no Moltbook. Outros agentes leem esse conteúdo, que contém instruções. Os agentes seguem essas instruções, incluindo postar conteúdo semelhante para outros agentes. Como resultado, a cadeia se fecha e o prompt se torna um vírus entre os agentes de IA.
Para comparação: o verme Morris, em seu tempo, levou à criação do CERT/CC, mas a Internet da época consistia em aproximadamente 60.000 máquinas, enquanto o ecossistema OpenClaw já conta com centenas de milhares de agentes.
Os pesquisadores observaram que, até agora, tais ataques são impedidos por um fator importante: o OpenClaw trabalhou principalmente por meio da API OpenAI e Anthropic. Essas empresas têm um "interruptor" – elas veem padrões de uso, prompts do sistema e podem bloquear atividades suspeitas. No entanto, os especialistas alertaram que a janela de oportunidades está se fechando rapidamente. Os LLMs locais (Mistral, DeepSeek, Qwen) estão sendo aprimorados, e em um futuro próximo, os entusiastas poderão lançar agentes no nível do atual Opus 4.6 em seu próprio hardware. Então não haverá "interruptor".
Stealers vêm pelas "almas" dos agentes
Paralelamente à história sobre habilidades e prompt worms, a equipe Hudson Rock analisou o código OpenClaw e alertou: uma parte significativa dos dados confidenciais é armazenada em texto simples – em arquivos Markdown e JSON na máquina local do usuário. Por causa disso, os pesquisadores alertaram que qualquer infostealer no host com o OpenClaw em execução obteria todos esses dados sem dificuldade.
Essa previsão se tornou realidade mais rápido do que os próprios especialistas esperavam. Em meados de fevereiro de 2026, a Hudson Rock
registrou
o primeiro caso real de roubo da configuração OpenClaw. O culpado foi uma variante do stealer Vidar. Na época, a empresa observou:
"Este é um marco importante na evolução do comportamento dos infostealers: a transição do roubo de credenciais do navegador para o roubo de "almas" e dados pessoais de agentes de IA pessoais."
A coisa mais interessante é que Vidar não estava caçando OpenClaw intencionalmente. O malware iniciou o procedimento usual de coleta de arquivos e digitalizou diretórios por palavras-chave como "token" e "chave privada", e os arquivos na pasta
.openclaw
continham as strings necessárias.
O conjunto de dados roubados acabou sendo extenso. O arquivo
Openclaw.json
armazenava o e-mail mascarado da vítima, o caminho para o diretório de trabalho e o token de autenticação do gateway com alta entropia – potencialmente, isso foi suficiente para se conectar à instância local ou imitar um cliente legítimo em solicitações autenticadas.
O arquivo Device.json continha os valores
publicKeyPem
e
privateKeyPem
usados para vinculação e assinatura: depois de receber a chave privada, o atacante poderia assinar mensagens em nome do dispositivo da vítima, contornar as verificações do Safe Device e obter acesso aos logs criptografados e serviços em nuvem.
Finalmente, os arquivos
Soul.md
,
AGENTS.md
e
MEMORY.md
definiram o comportamento do agente e acumularam contexto: logs de atividades diárias, correspondência pessoal, entradas de calendário.
Os especialistas enfatizaram: esses dados são suficientes para o comprometimento total da identidade digital da vítima. Pior ainda, à medida que o OpenClaw se integra cada vez mais aos processos de trabalho, os stealers certamente começarão a mirar nos agentes de IA intencionalmente.
As vulnerabilidades não diminuem
No início de abril de 2026, o rastreador independente
jgamblin/OpenClawCVEs
já contava com 138 CVEs registradas para OpenClaw (e sete delas receberam o status de críticas), acumuladas em 63 dias. Ou seja, aproximadamente 2,2 novas vulnerabilidades são descobertas diariamente.
Ao mesmo tempo, 41% de todos os problemas encontrados acabaram sendo de alta ou crítica gravidade, o que é uma relação muito ruim para um projeto de código aberto em qualquer estágio de maturidade.
É inútil listar todos os problemas neste artigo, mas, como exemplo, pode-se citar a CVE-2026-32922 – uma vulnerabilidade crítica (9,9 pontos na escala CVSS) relacionada à escalada de privilégios, na qual qualquer dispositivo emparelhado recebeu acesso administrativo total por meio de uma chamada de API.
O token de baixa prioridade
operator.pairing
, que é emitido durante o procedimento usual de emparelhamento, foi suficiente para elevar os direitos para
operator.admin
e executar comandos arbitrários em todos os nós conectados.
Infelizmente, esta é apenas a ponta do iceberg. Cada novo patch fecha um problema, mas quase imediatamente revela o próximo. Isso não é surpreendente, porque a segurança não foi colocada no projeto inicialmente.
Reação da indústria e dos reguladores
Logo após o aparecimento do OpenClaw, os especialistas da Palo Alto Networks caracterizaram o projeto como a personificação do "trio letal" de vulnerabilidades, porque o agente tem acesso a dados confidenciais, conteúdo não confiável e comunicações externas ao mesmo tempo.
Então, não apenas os pesquisadores de SI prestaram atenção ao OpenClaw. Assim, no início do ano, os analistas da Gartner
chamaram
o projeto de "risco inaceitável de segurança cibernética" para os negócios e recomendaram executá-lo exclusivamente em ambientes isolados com credenciais descartáveis.
Um pouco mais tarde, o Centro Nacional de Resposta a Emergências de Computadores da China (CNCERT/CC)
publicou
um aviso oficial: a configuração padrão do OpenClaw, de acordo com os especialistas, provou ser "extremamente fraca" em termos de proteção.
A lista de riscos do CNCERT/CC incluiu: a inserção de instruções maliciosas em páginas da web, habilidades envenenadas, as vulnerabilidades críticas já encontradas, bem como o fator humano (os usuários podem, por descuido, excluir dados importantes por conta própria). Como medidas de proteção, os especialistas aconselharam isolar o OpenClaw em um contêiner, fechar a porta de gerenciamento da Internet, configurar autenticação e controle de acesso rigorosos, desativar atualizações automáticas e restringir a instalação de plugins.
Deve-se notar que este aviso teve um contexto curioso. No contexto do atual boom do OpenClaw na China, as principais plataformas de nuvem estavam competindo para oferecer "implantação com um clique", e no início de março, em Shenzhen, cerca de mil pessoas se alinharam na sede da Tencent, onde os engenheiros da empresa instalaram gratuitamente o OpenClaw para todos os interessados no local.
Logo após a publicação do CERT, soube-se que em várias instituições estatais e bancos estatais da China, foi proibido instalar o OpenClaw em computadores de trabalho. De acordo com a mídia, alguns funcionários foram instruídos a relatar à gerência se já haviam instalado o aplicativo – para verificação e possível remoção. Em alguns lugares, a proibição se estendeu até mesmo a dispositivos pessoais conectados à rede corporativa.
Além disso, o conflito de Steinberger com a Anthropic continuou a se desenvolver. Se em janeiro os representantes da empresa se limitaram a pedir ao desenvolvedor que renomeasse o projeto devido à semelhança com Claude, então, na primavera, a situação se intensificou.
Em 4 de abril, a empresa bloqueou a capacidade dos assinantes do Claude Pro e Max de liberar os limites de suas tarifas por meio de "arneses de terceiros" (third-party harnesses), e o OpenClaw foi o primeiro nessa lista.
Para continuar usando o Claude por meio de agentes de terceiros, agora você precisa conectar uma tarifação separada de uso extra no esquema de pagamento conforme o uso ou usar diretamente a chave da API e pagar o preço total.
Formalmente, essa decisão na empresa foi explicada pelo aumento da carga: as assinaturas não foram projetadas para cenários de agentes com ciclos contínuos de raciocínio, que consomem poder de computação de maneira diferente de um bate-papo normal.
De acordo com estimativas de analistas, a lacuna entre
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
OpenClaw: O Agente de IA ou uma Ameaça? Uma Crônica da (In)Segurança
Conteúdo do Artigo
O que é OpenClaw
Centenas de milhares de instâncias abertas
ClawHub e centenas de habilidades maliciosas
ClawJacked: um site – e seu agente
RCE com um clique
Moltbook e prompt worms
Stealers vêm pelas "almas" dos agentes
As vulnerabilidades não diminuem
Reação da indústria e dos reguladores
Conclusões
O final de 2025 e o início de 2026 foram marcados por um pequeno projeto de código aberto que, a princípio, enlouqueceu o GitHub e, depois, a comunidade de segurança da informação (SI). O assistente de IA local OpenClaw, do desenvolvedor austríaco Peter Steinberger, em poucos meses, acumulou centenas de milhares de estrelas, um exército de usuários, e seu autor foi convidado a trabalhar na OpenAI.
Juntamente com isso, o OpenClaw se tornou uma verdadeira dor de cabeça para os especialistas em segurança. Os pesquisadores encontraram instâncias abertas aos milhares, habilidades maliciosas às centenas, exploits de RCE com um clique, infostealers caçando as "almas" dos agentes e até os primeiros sinais de que prompt worms estavam começando a se espalhar pela rede.
Neste artigo, tentamos reunir as principais histórias sobre a segurança do OpenClaw em uma cronologia. Deixaremos a própria ferramenta de lado aqui. Falaremos sobre o que acontece quando um agente de IA autônomo com acesso a tudo de uma vez atrai a atenção de entusiastas e criminosos.
O que é OpenClaw
OpenClaw é um agente de IA de código aberto que é executado localmente na máquina do usuário. Arquiteturalmente, ele é construído em torno de um Gateway local – um servidor WebSocket através do qual todo o trabalho com sessões, ferramentas e canais de comunicação passa. Adaptadores para mensageiros (WhatsApp, Telegram, Slack, Discord, Signal, iMessage e dezenas de outros), uma Interface de Usuário de Controle baseada em navegador, CLI, um aplicativo na barra de menu no macOS e clientes móveis são conectados a ele. A principal característica do projeto foi a capacidade de se comunicar com o agente diretamente do mensageiro familiar, o que tornou o OpenClaw viral.
Diferentemente dos chatbots comuns, o agente é capaz de agir proativamente: lembrar de tarefas, ler e-mails, entrar no navegador, executar comandos no shell, se comunicar com outros agentes e trabalhar em segundo plano 24 horas por dia, 7 dias por semana. Sua memória é armazenada localmente em arquivos Markdown e SQLite, Claude Opus da Anthropic é usado como o "cérebro" por padrão, mas outros LLMs comerciais, bem como modelos locais via Ollama, também são suportados.
O projeto foi lançado em novembro de 2025 pelo já mencionado Peter Steinberger – um desenvolvedor conhecido na comunidade, anteriormente autor de ferramentas populares para iOS. Ele, por sua própria admissão, montou o OpenClaw com a ajuda do vibe-coding em poucas semanas, sem testes especiais e sem olhar para a segurança. Apesar disso, o projeto se tornou o repositório de crescimento mais rápido na história do GitHub.
No início, a ferramenta conseguiu mudar seu nome duas vezes. Inicialmente, foi chamado de Clawdbot, mas a Anthropic ameaçou o desenvolvedor com um processo devido à semelhança com Claude. Steinberger renomeou o projeto para Moltbot e, alguns dias depois, para OpenClaw, porque Moltbot, em suas palavras, "não era muito adequado para a língua". Paralelamente a isso, o projeto teve satélites: a rede social para agentes de IA Moltbook e o repositório de habilidades ClawHub.
Em fevereiro de 2026, Steinberger anunciou que estava indo trabalhar na OpenAI e criaria a "próxima geração de agentes pessoais". O próprio OpenClaw, segundo o chefe da empresa, Sam Altman, se mudará para um fundo separado e permanecerá de código aberto. Nesse momento, o projeto já tinha mais de um quarto de milhão de estrelas e também reuniu uma coleção de vulnerabilidades não menos impressionante.
Centenas de milhares de instâncias abertas
A primeira campainha de alarme tocou quase imediatamente após a decolagem da popularidade do projeto. O pesquisador Jamieson O'Reilly, da Dvuln, verificou manualmente
vários
dezenas de cópias do OpenClaw, acessíveis na Internet sem autenticação. Oito deles estavam completamente abertos – sem qualquer proteção.
O problema surgiu devido à forma como o proxy reverso foi projetado: o sistema confiava automaticamente em quaisquer conexões "locais", e em caso de erros nas configurações, todo o tráfego da Internet era considerado confiável. Por meio de painéis de controle desprotegidos, era possível obter chaves de API, tokens OAuth, ler o histórico de correspondência, executar comandos e roubar credenciais.
O'Reilly destacou um dos casos em particular:
Alguém configurou sua conta do Signal em um servidor de gerenciamento Clawdbot acessível publicamente – com acesso total de leitura. Havia um URI para conectar o dispositivo Signal, os códigos QR também estavam lá. Basta tocar nele no telefone com o Signal instalado – e você pode obter acesso total à conta.
Paralelamente, os pesquisadores da Bitdefender chegaram a conclusões semelhantes, encontrando painéis OpenClaw abertos na rede, através dos quais qualquer pessoa poderia visualizar configurações, extrair chaves de API e ler correspondência de chats privados.
No entanto, a verdadeira escala do problema ficou clara algumas semanas depois, quando os analistas da SecurityScorecard entraram em ação. Inicialmente, os especialistas da empresa descobriram mais de 220.000 instâncias acessíveis pela Internet, e atualmente seu número já ultrapassa 780.000.
A razão acabou sendo simples: por padrão, o OpenClaw estava vinculado ao endereço 0.0.0.0:18789 – ou seja, estava ouvindo em todas as interfaces de rede, incluindo a Internet pública. Para um agente de IA auto-hospedado, ao qual o usuário dá acesso a toda a vida digital, a escolha óbvia seria 127.0.0.1 (somente localhost), mas os desenvolvedores decidiram de outra forma.
"Identificamos um problema massivo com acesso e identificação, gerado por automação mal protegida em escala industrial", escreveram na SecurityScorecard. "A orientação para a facilidade de implantação, as configurações padrão e o controle de acesso fraco transformam poderosos agentes de IA em um pedaço saboroso para os atacantes."
Ao mesmo tempo, os analistas enfatizaram que as configurações incorretas são apenas parte do problema. Os riscos também foram colocados na própria arquitetura da plataforma, que por sua natureza deveria fazer alterações no sistema e abrir serviços para o exterior. Os pesquisadores deram a seguinte analogia:
"É como dar a uma pessoa aleatória acesso ao seu computador para ajudá-lo com as tarefas. Se você controla e verifica tudo – isso é uma grande ajuda. Se você sair e disser que enviará instruções por e-mail, o agente pode executar comandos de qualquer pessoa."
Pior ainda, foi observado que muitas instâncias abertas estavam vinculadas a endereços IP corporativos. Ou seja, o problema saiu da categoria de histórias sobre entusiastas que experimentam um agente de IA em casa.
ClawHub e centenas de habilidades maliciosas
Enquanto alguns pesquisadores estavam lidando com instâncias, outros decidiram
verificar
o ecossistema de habilidades. Habilidades (skills) para OpenClaw são plugins que expandem as capacidades do agente: desde o gerenciamento de uma casa inteligente até o trabalho com carteiras de criptomoedas. Eles são publicados no repositório oficial ClawHub, que é aberto a todos por padrão. A única restrição é que a conta no GitHub deve existir por pelo menos uma semana.
O resultado acabou sendo previsível: os especialistas da Koi Security auditaram todas as 2857 habilidades disponíveis no momento e contaram 341 maliciosas – todas elas estavam relacionadas a uma campanha sob o nome condicional de ClawHavoc. Foi observado que de 27 de janeiro a 1º de fevereiro de 2026, mais de 230 pacotes maliciosos apareceram no ClawHub e no GitHub.
A habilidade maliciosa mais popular no momento – What Would Elon Do ("O que Elon faria?") – devido à fraude de downloads, ocupou o primeiro lugar na classificação geral do ClawHub e, ao mesmo tempo, redirecionou os dados das vítimas para servidores externos.
O esquema de infecção lembrava os ataques clássicos de ClickFix. Cada habilidade continha documentação, na qual a ferramenta separada AuthTool era mencionada repetidamente, supostamente necessária para o trabalho. Na verdade, este era um mecanismo de entrega de malware: para macOS – um comando de shell codificado em Base64, baixando a carga útil de um endereço externo, para Windows – um arquivo protegido por senha.
A variante do stealer Atomic (também conhecido como AMOS) foi usada como carga útil útil no macOS, que contornou o Gatekeeper com o comando
xattr
-c
e solicitou acesso o mais amplo possível ao sistema de arquivos imediatamente. O stealer caçava tudo de uma vez: chaves de API de trocas de criptomoedas, frases-semente, extensões de carteiras de criptomoedas, dados do Keychain, senhas de navegadores, chaves SSH, credenciais de nuvem, contas Git e arquivos .env.
Habilidades maliciosas foram mascaradas para tudo: typosquatting ClawHub (clawhub1, clawhubcli, clawwhub), ferramentas de criptografia (solana-wallet-tracker, polymarket-trader), utilitários do YouTube, atualizações automáticas, rastreadores financeiros, integrações com o Google Workspace, mecanismos de busca de bitcoins perdidos. Habilidades com reverse shells (better-polymarket, polymarket-all-in-one) e pacotes que enviam credenciais de
~
/.clawdbot/.env
para
webhook.site
foram encontrados separadamente.
Um pouco mais tarde, a Bitdefender Labs realizou uma análise mais ampla e chegou à conclusão de que aproximadamente 17% de todas as habilidades publicadas e analisadas no ClawHub em fevereiro são maliciosas. A maioria dos malwares estava focada no roubo de criptomoedas: rastreadores de carteiras (14%), habilidades relacionadas ao Polymarket (9,9%), Solana (9,3%), Phantom (8,2%), bem como ferramentas para trabalhar com Ethereum e Bitcoin (5,2%).
A reação de Steinberger inicialmente se resumiu a uma mensagem de que era fisicamente impossível verificar um grande número de solicitações, e a responsabilidade pela segurança recai sobre os próprios usuários. Como medida temporária para combater os hackers, ele adicionou uma função de denúncia ao ClawHub: usuários autorizados poderiam marcar habilidades como suspeitas, e pacotes que acumulassem mais de três reclamações exclusivas seriam ocultados por padrão.
No entanto, sob pressão da comunidade, a equipe OpenClaw tomou uma medida mais séria e fez uma parceria com a VirusTotal. Agora, todas as habilidades carregadas no ClawHub são verificadas, incluindo uma análise aprofundada por meio da função Code Insight. Um hash SHA-256 exclusivo é criado para cada pacote, que é verificado com o banco de dados VirusTotal: se não houver correspondências, a habilidade é enviada para análise. Os "seguros" são aprovados automaticamente, os "suspeitos" recebem um aviso e os "maliciosos" são bloqueados. Além disso, todas as habilidades ativas são reescaneadas diariamente no caso de o código anteriormente limpo mudar repentinamente.
Ao mesmo tempo, os próprios desenvolvedores honestamente alertaram: VirusTotal não é uma panaceia. Habilidades com prompt injections habilmente mascaradas podem muito bem contornar as verificações e passar despercebidas.
ClawJacked: um site – e seu agente
No final de fevereiro de 2026, pesquisadores da Oasis Security publicaram um relatório sobre uma vulnerabilidade que chamaram de
ClawJacked
. O problema permitiu que um site malicioso se conectasse secretamente a uma instância OpenClaw em execução localmente, adivinhasse a senha e assumisse o controle – tudo por meio de uma guia do navegador.
A vulnerabilidade foi descoberta no serviço de gateway OpenClaw. Por padrão, o gateway está vinculado ao localhost e abre uma interface WebSocket. A pegadinha era que as políticas de solicitação entre domínios do navegador não bloqueiam as conexões WebSocket para localhost. Portanto, um site malicioso, aberto no navegador do usuário OpenClaw, poderia usar JavaScript para estabelecer uma conexão com o gateway local e começar a força bruta da senha.
No OpenClaw, é claro, havia restrições para proteção contra enumeração, mas o endereço de loopback (127.0.0.1) foi excluído deles por padrão – para não bloquear sessões CLI locais. Os pesquisadores usaram essa característica. Como resultado, a velocidade da enumeração atingiu centenas de tentativas por segundo, sem qualquer limitação e registro.
"Com essa velocidade, a lista de senhas comuns é esgotada em menos de um segundo, e a enumeração de um grande dicionário leva apenas alguns minutos", observou a Oasis Security. "Uma senha inventada por um ser humano simplesmente não tem chance."
Após adivinhar a senha, o atacante se registrou como um dispositivo confiável (o gateway aprovou automaticamente o emparelhamento com localhost sem confirmação) e obteve acesso total ao OpenClaw com direitos de administrador: os hackers se tornaram capazes de acessar credenciais, a lista de nós conectados, logs, histórico de mensagens. Havia até a capacidade de instruir o próprio agente de IA, forçando-o a procurar dados confidenciais na correspondência, extrair arquivos de dispositivos conectados ou executar comandos de shell arbitrários nas máquinas conectadas.
O patch para ClawJacked foi incluído na versão 2026.2.26, que os desenvolvedores lançaram dentro de 24 horas após receber o relatório dos especialistas.
RCE com um clique
O fundador do grupo de pesquisa DepthFirst e ex-engenheiro da Anthropic, Mav Levin, publicou um relatório sobre
uma cadeia de exploits
levando à execução remota de código via OpenClaw. Para comprometer a vítima, bastava clicar no link.
A raiz do problema era semelhante ao ClawJacked, mas a exploração parecia ainda mais simples: o servidor OpenClaw não verificava o cabeçalho WebSocket origin, ou seja, aceitava solicitações de quaisquer sites. Uma página da web especialmente preparada poderia executar JavaScript no lado do cliente, extrair o token de autenticação, abrir uma conexão WebSocket com o servidor e passar pela autorização com esse token.
Em seguida, o script desativou a sandbox e o mecanismo de confirmação antes de executar comandos perigosos e enviou uma solicitação
node.invoke
para implementar o RCE. Segundo Levin, todo o processo levou milissegundos.
A equipe OpenClaw lançou um patch operacionalmente e publicou um boletim de segurança dedicado ao problema. O já mencionado Jamieson O'Reilly, que se tornou membro do projeto OpenClaw naquele momento, agradeceu a Levin pela descoberta e pediu aos pesquisadores que continuassem enviando relatórios.
Moltbook e prompt worms
A rede social para agentes de IA Moltbook, escrita por Matt Schlicht com a ajuda do vibe-coding, inicialmente parecia uma piada. A plataforma lembrava um clone do Reddit, mas foi projetada exclusivamente para a comunicação entre agentes de IA. Os usuários do OpenClaw registraram seus agentes nela e observaram como eles vivem suas próprias vidas: tentam fundar uma nova religião, discutem seus donos e até tentam organizar uma revolta contra as pessoas. Muitos, no entanto, suspeitavam que uma parte significativa das postagens no site ainda fosse escrita por pessoas.
No entanto, as piadas terminaram quando O'Reilly descobriu que o acesso ao banco de dados Moltbook estava aberto e as chaves de API secretas estavam em acesso livre. Segundo o especialista, isso permitiu que os atacantes publicassem mensagens em nome de qualquer agente, incluindo agentes de pessoas conhecidas na indústria. Por exemplo, Andrej Karpathy (Andrej Karpathy) da Eureka Labs – ex-diretor de IA da Tesla e cofundador da OpenAI – vinculou seu agente pessoal ao Moltbook.
"Karpathy tem 1,9 milhão de seguidores no X e é uma das vozes mais influentes na indústria de IA", observou O'Reilly. "Imagine declarações falsas sobre segurança de IA, publicidade de golpes de criptografia ou declarações políticas provocativas, supostamente escritas em seu nome."
O desenvolvedor do Moltbook não comentou publicamente sobre esse problema, mas no momento da divulgação das informações sobre o bug, ele já havia sido corrigido. Aparentemente, o ponto era um SGBD de código aberto configurado incorretamente.
Outra descoberta, relacionada ao Moltbook, também se mostrou não menos interessante. Os pesquisadores do Simula Research Laboratory analisaram as postagens na plataforma e descobriram que 506 delas (cerca de 2,6% da amostra) continham prompt injections ocultos. De acordo com os analistas, estes foram os primeiros sinais do aparecimento de prompt worms (vermes de prompt) na rede – instruções de autorreplicação que são transmitidas entre agentes de IA.
Ainda em março de 2024, os pesquisadores Ben Nassi da Universidade de Cornell, Stav Cohen do Instituto de Tecnologia de Israel e Ron Bitton da Intuit
descreveram
a concepção de prompt worms. Na época, eles demonstraram o ataque Morris-II, nomeado em homenagem ao lendário verme Morris de 1988, e provaram que prompts de autorreplicação podem se espalhar por meio de assistentes de IA por e-mail, roubando dados e enviando spam ao mesmo tempo.
OpenClaw abriu um amplo campo para tais ataques. O cenário foi o seguinte: um agente instala uma habilidade do ClawHub, e essa habilidade diz para postar conteúdo no Moltbook. Outros agentes leem esse conteúdo, que contém instruções. Os agentes seguem essas instruções, incluindo postar conteúdo semelhante para outros agentes. Como resultado, a cadeia se fecha e o prompt se torna um vírus entre os agentes de IA.
Para comparação: o verme Morris, em seu tempo, levou à criação do CERT/CC, mas a Internet da época consistia em aproximadamente 60.000 máquinas, enquanto o ecossistema OpenClaw já conta com centenas de milhares de agentes.
Os pesquisadores observaram que, até agora, tais ataques são impedidos por um fator importante: o OpenClaw trabalhou principalmente por meio da API OpenAI e Anthropic. Essas empresas têm um "interruptor" – elas veem padrões de uso, prompts do sistema e podem bloquear atividades suspeitas. No entanto, os especialistas alertaram que a janela de oportunidades está se fechando rapidamente. Os LLMs locais (Mistral, DeepSeek, Qwen) estão sendo aprimorados, e em um futuro próximo, os entusiastas poderão lançar agentes no nível do atual Opus 4.6 em seu próprio hardware. Então não haverá "interruptor".
Stealers vêm pelas "almas" dos agentes
Paralelamente à história sobre habilidades e prompt worms, a equipe Hudson Rock analisou o código OpenClaw e alertou: uma parte significativa dos dados confidenciais é armazenada em texto simples – em arquivos Markdown e JSON na máquina local do usuário. Por causa disso, os pesquisadores alertaram que qualquer infostealer no host com o OpenClaw em execução obteria todos esses dados sem dificuldade.
Essa previsão se tornou realidade mais rápido do que os próprios especialistas esperavam. Em meados de fevereiro de 2026, a Hudson Rock
registrou
o primeiro caso real de roubo da configuração OpenClaw. O culpado foi uma variante do stealer Vidar. Na época, a empresa observou:
"Este é um marco importante na evolução do comportamento dos infostealers: a transição do roubo de credenciais do navegador para o roubo de "almas" e dados pessoais de agentes de IA pessoais."
A coisa mais interessante é que Vidar não estava caçando OpenClaw intencionalmente. O malware iniciou o procedimento usual de coleta de arquivos e digitalizou diretórios por palavras-chave como "token" e "chave privada", e os arquivos na pasta
.openclaw
continham as strings necessárias.
O conjunto de dados roubados acabou sendo extenso. O arquivo
Openclaw.json
armazenava o e-mail mascarado da vítima, o caminho para o diretório de trabalho e o token de autenticação do gateway com alta entropia – potencialmente, isso foi suficiente para se conectar à instância local ou imitar um cliente legítimo em solicitações autenticadas.
O arquivo Device.json continha os valores
publicKeyPem
e
privateKeyPem
usados para vinculação e assinatura: depois de receber a chave privada, o atacante poderia assinar mensagens em nome do dispositivo da vítima, contornar as verificações do Safe Device e obter acesso aos logs criptografados e serviços em nuvem.
Finalmente, os arquivos
Soul.md
,
AGENTS.md
e
MEMORY.md
definiram o comportamento do agente e acumularam contexto: logs de atividades diárias, correspondência pessoal, entradas de calendário.
Os especialistas enfatizaram: esses dados são suficientes para o comprometimento total da identidade digital da vítima. Pior ainda, à medida que o OpenClaw se integra cada vez mais aos processos de trabalho, os stealers certamente começarão a mirar nos agentes de IA intencionalmente.
As vulnerabilidades não diminuem
No início de abril de 2026, o rastreador independente
jgamblin/OpenClawCVEs
já contava com 138 CVEs registradas para OpenClaw (e sete delas receberam o status de críticas), acumuladas em 63 dias. Ou seja, aproximadamente 2,2 novas vulnerabilidades são descobertas diariamente.
Ao mesmo tempo, 41% de todos os problemas encontrados acabaram sendo de alta ou crítica gravidade, o que é uma relação muito ruim para um projeto de código aberto em qualquer estágio de maturidade.
É inútil listar todos os problemas neste artigo, mas, como exemplo, pode-se citar a CVE-2026-32922 – uma vulnerabilidade crítica (9,9 pontos na escala CVSS) relacionada à escalada de privilégios, na qual qualquer dispositivo emparelhado recebeu acesso administrativo total por meio de uma chamada de API.
O token de baixa prioridade
operator.pairing
, que é emitido durante o procedimento usual de emparelhamento, foi suficiente para elevar os direitos para
operator.admin
e executar comandos arbitrários em todos os nós conectados.
Infelizmente, esta é apenas a ponta do iceberg. Cada novo patch fecha um problema, mas quase imediatamente revela o próximo. Isso não é surpreendente, porque a segurança não foi colocada no projeto inicialmente.
Reação da indústria e dos reguladores
Logo após o aparecimento do OpenClaw, os especialistas da Palo Alto Networks caracterizaram o projeto como a personificação do "trio letal" de vulnerabilidades, porque o agente tem acesso a dados confidenciais, conteúdo não confiável e comunicações externas ao mesmo tempo.
Então, não apenas os pesquisadores de SI prestaram atenção ao OpenClaw. Assim, no início do ano, os analistas da Gartner
chamaram
o projeto de "risco inaceitável de segurança cibernética" para os negócios e recomendaram executá-lo exclusivamente em ambientes isolados com credenciais descartáveis.
Um pouco mais tarde, o Centro Nacional de Resposta a Emergências de Computadores da China (CNCERT/CC)
publicou
um aviso oficial: a configuração padrão do OpenClaw, de acordo com os especialistas, provou ser "extremamente fraca" em termos de proteção.
A lista de riscos do CNCERT/CC incluiu: a inserção de instruções maliciosas em páginas da web, habilidades envenenadas, as vulnerabilidades críticas já encontradas, bem como o fator humano (os usuários podem, por descuido, excluir dados importantes por conta própria). Como medidas de proteção, os especialistas aconselharam isolar o OpenClaw em um contêiner, fechar a porta de gerenciamento da Internet, configurar autenticação e controle de acesso rigorosos, desativar atualizações automáticas e restringir a instalação de plugins.
Deve-se notar que este aviso teve um contexto curioso. No contexto do atual boom do OpenClaw na China, as principais plataformas de nuvem estavam competindo para oferecer "implantação com um clique", e no início de março, em Shenzhen, cerca de mil pessoas se alinharam na sede da Tencent, onde os engenheiros da empresa instalaram gratuitamente o OpenClaw para todos os interessados no local.
Logo após a publicação do CERT, soube-se que em várias instituições estatais e bancos estatais da China, foi proibido instalar o OpenClaw em computadores de trabalho. De acordo com a mídia, alguns funcionários foram instruídos a relatar à gerência se já haviam instalado o aplicativo – para verificação e possível remoção. Em alguns lugares, a proibição se estendeu até mesmo a dispositivos pessoais conectados à rede corporativa.
Além disso, o conflito de Steinberger com a Anthropic continuou a se desenvolver. Se em janeiro os representantes da empresa se limitaram a pedir ao desenvolvedor que renomeasse o projeto devido à semelhança com Claude, então, na primavera, a situação se intensificou.
Em 4 de abril, a empresa bloqueou a capacidade dos assinantes do Claude Pro e Max de liberar os limites de suas tarifas por meio de "arneses de terceiros" (third-party harnesses), e o OpenClaw foi o primeiro nessa lista.
Para continuar usando o Claude por meio de agentes de terceiros, agora você precisa conectar uma tarifação separada de uso extra no esquema de pagamento conforme o uso ou usar diretamente a chave da API e pagar o preço total.
Formalmente, essa decisão na empresa foi explicada pelo aumento da carga: as assinaturas não foram projetadas para cenários de agentes com ciclos contínuos de raciocínio, que consomem poder de computação de maneira diferente de um bate-papo normal.
De acordo com estimativas de analistas, a lacuna entre
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
