OpenClaw Vulnerável a Ataques de Phishing e Vazamento de Dados: IA Agente Sob Risco
Pesquisadores revelam que o agente de IA OpenClaw pode executar comandos ocultos e vazar dados confidenciais. Embora algumas falhas tenham sido corrigidas, a arquitetura fundamental dos agentes de IA representa um risco contínuo.
MundiX News·17 de junho de 2026·4 min de leitura·👁 14 views
Pesquisadores de segurança demonstraram que o agente de IA OpenClaw é suscetível a ataques de phishing e pode inadvertidamente expor dados confidenciais. Duas equipes de pesquisa independentes publicaram relatórios detalhando vulnerabilidades significativas no agente, levantando preocupações sobre a segurança inerente à arquitetura de agentes de IA.
Uma das descobertas, realizada pela Imperva, revelou que o OpenClaw processava de forma inadequada contatos, vCards e geolocalizações. Ao transmitir esses objetos para o modelo de linguagem, seu conteúdo era inserido diretamente no prompt sem ser marcado como não confiável. Essa falha permitia que um atacante embutisse instruções ocultas no nome de um contato, que o modelo poderia interpretar como comandos válidos. A situação era agravada pelo fato de que a carga útil maliciosa (payload) muitas vezes não era totalmente visível para o usuário, pois as interfaces de aplicativos como o WhatsApp truncavam nomes de contatos longos, escondendo o prompt malicioso. Em testes, os pesquisadores conseguiram instruir o Gemini 3.1 Pro a baixar e executar um script de um servidor remoto simplesmente inserindo um comando oculto em um nome de contato. Embora ataques semelhantes via imagens não tenham tido sucesso, sugerindo um melhor treinamento dos modelos contra esse tipo de injeção, a vulnerabilidade em dados de contato permaneceu. Os desenvolvedores do OpenClaw abordaram essa questão na versão 2026.4.23, implementando um canal separado para metadados não confiáveis para a transmissão de dados de contatos, vCards e geolocalizações.
Paralelamente, a Varonis investigou a resistência do OpenClaw a ataques de phishing tradicionais. Eles criaram um agente, apelidado de Pinchy, e o integraram ao Gmail, um navegador, Google Workspace e um conjunto de dados corporativos de teste, que incluíam credenciais AWS, bancos de dados de clientes e correspondências internas. Em um cenário de ataque, o agente recebeu um e-mail supostamente de um gerente solicitando acesso urgente a um ambiente de teste devido a uma falha em produção. O OpenClaw prontamente forneceu chaves da AWS, credenciais de banco de dados e acesso SSH ao remetente falso. Em outro teste, um atacante solicitou um export de um banco de dados de clientes para uma apresentação. O agente exportou informações de um sistema CRM e enviou um arquivo contendo dados de clientes, informações de contato e detalhes de contratos, sem verificar a identidade do remetente. Curiosamente, o OpenClaw demonstrou melhor desempenho em cenários mais técnicos, como a identificação de um aplicativo OAuth falso disfarçado de serviço de controle de tempo e a detecção de um e-mail de phishing com uma oferta de cartão-presente e um link malicioso. Embora o modelo GPT-5.4 tenha se mostrado mais cauteloso que o Gemini 3.1 Pro em alguns testes, ambos falharam em cenários que envolviam engenharia social.
Os pesquisadores concluem que o problema transcende o OpenClaw em si, residindo na própria arquitetura de agentes de IA que combinam acesso a dados confidenciais, ingestão de informações de fontes não confiáveis e a capacidade de executar ações autônomas. O OpenClaw, em particular, foi projetado com foco na facilidade de implantação em detrimento da segurança por padrão. A analogia utilizada é a de um "júnior" com amplos privilégios de acesso: disposto a ajudar, mas propenso a ser enganado. Portanto, ações de alto risco, como a transferência de credenciais ou transações financeiras, não devem ser totalmente confiadas a agentes de IA e requerem sempre a validação humana.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores de segurança demonstraram que o agente de IA OpenClaw é suscetível a ataques de phishing e pode inadvertidamente expor dados confidenciais. Duas equipes de pesquisa independentes publicaram relatórios detalhando vulnerabilidades significativas no agente, levantando preocupações sobre a segurança inerente à arquitetura de agentes de IA.
Uma das descobertas, realizada pela Imperva, revelou que o OpenClaw processava de forma inadequada contatos, vCards e geolocalizações. Ao transmitir esses objetos para o modelo de linguagem, seu conteúdo era inserido diretamente no prompt sem ser marcado como não confiável. Essa falha permitia que um atacante embutisse instruções ocultas no nome de um contato, que o modelo poderia interpretar como comandos válidos. A situação era agravada pelo fato de que a carga útil maliciosa (payload) muitas vezes não era totalmente visível para o usuário, pois as interfaces de aplicativos como o WhatsApp truncavam nomes de contatos longos, escondendo o prompt malicioso. Em testes, os pesquisadores conseguiram instruir o Gemini 3.1 Pro a baixar e executar um script de um servidor remoto simplesmente inserindo um comando oculto em um nome de contato. Embora ataques semelhantes via imagens não tenham tido sucesso, sugerindo um melhor treinamento dos modelos contra esse tipo de injeção, a vulnerabilidade em dados de contato permaneceu. Os desenvolvedores do OpenClaw abordaram essa questão na versão 2026.4.23, implementando um canal separado para metadados não confiáveis para a transmissão de dados de contatos, vCards e geolocalizações.
Paralelamente, a Varonis investigou a resistência do OpenClaw a ataques de phishing tradicionais. Eles criaram um agente, apelidado de Pinchy, e o integraram ao Gmail, um navegador, Google Workspace e um conjunto de dados corporativos de teste, que incluíam credenciais AWS, bancos de dados de clientes e correspondências internas. Em um cenário de ataque, o agente recebeu um e-mail supostamente de um gerente solicitando acesso urgente a um ambiente de teste devido a uma falha em produção. O OpenClaw prontamente forneceu chaves da AWS, credenciais de banco de dados e acesso SSH ao remetente falso. Em outro teste, um atacante solicitou um export de um banco de dados de clientes para uma apresentação. O agente exportou informações de um sistema CRM e enviou um arquivo contendo dados de clientes, informações de contato e detalhes de contratos, sem verificar a identidade do remetente. Curiosamente, o OpenClaw demonstrou melhor desempenho em cenários mais técnicos, como a identificação de um aplicativo OAuth falso disfarçado de serviço de controle de tempo e a detecção de um e-mail de phishing com uma oferta de cartão-presente e um link malicioso. Embora o modelo GPT-5.4 tenha se mostrado mais cauteloso que o Gemini 3.1 Pro em alguns testes, ambos falharam em cenários que envolviam engenharia social.
Os pesquisadores concluem que o problema transcende o OpenClaw em si, residindo na própria arquitetura de agentes de IA que combinam acesso a dados confidenciais, ingestão de informações de fontes não confiáveis e a capacidade de executar ações autônomas. O OpenClaw, em particular, foi projetado com foco na facilidade de implantação em detrimento da segurança por padrão. A analogia utilizada é a de um "júnior" com amplos privilégios de acesso: disposto a ajudar, mas propenso a ser enganado. Portanto, ações de alto risco, como a transferência de credenciais ou transações financeiras, não devem ser totalmente confiadas a agentes de IA e requerem sempre a validação humana.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
