Assistentes baseados em IA ou "agentes" — programas autônomos que têm acesso ao computador do usuário, arquivos, serviços online e podem automatizar virtualmente qualquer tarefa — estão crescendo em popularidade entre desenvolvedores e trabalhadores de TI. Mas, como tantas manchetes chocantes das últimas semanas demonstraram, essas novas ferramentas poderosas e assertivas estão mudando rapidamente as prioridades de segurança para as organizações, ao mesmo tempo em que borram as linhas entre dados e código, colega confiável e ameaça interna, hacker ninja e novato em código. A nova sensação entre os assistentes baseados em IA — **OpenClaw** (anteriormente conhecido como **ClawdBot** e **Moltbot**) — viu rápida adoção desde seu lançamento em novembro de 2025. OpenClaw é um agente autônomo de IA de código aberto projetado para rodar localmente em seu computador e tomar ações proativas em seu nome sem precisar de prompts.  Se isso soa como uma proposta arriscada ou um desafio, considere que o OpenClaw é mais útil quando tem acesso completo à sua vida digital, onde pode gerenciar sua caixa de entrada e calendário, executar programas e ferramentas, navegar na Internet em busca de informações e integrar-se a aplicativos de chat como Discord, Signal, Teams ou WhatsApp. Outros assistentes de IA mais estabelecidos como o **Claude da Anthropic** e o **Copilot da Microsoft** também podem fazer essas coisas, mas o OpenClaw não é apenas um mordomo digital passivo esperando por comandos. Em vez disso, ele foi projetado para tomar a iniciativa em seu nome com base no que sabe sobre sua vida e sua compreensão do que você quer que seja feito. "Os depoimentos são notáveis", observou a empresa de segurança de IA **Snyk**. "Desenvolvedores construindo sites de seus telefones enquanto colocam bebês para dormir; usuários gerenciando empresas inteiras através de uma IA com tema de lagosta; engenheiros que configuraram loops de código autônomos que corrigem testes, capturam erros através de webhooks e abrem pull requests, tudo enquanto estão longe de suas mesas." Você provavelmente já pode ver como essa tecnologia experimental pode dar errado rapidamente. No final de fevereiro, **Summer Yue**, diretora de segurança e alinhamento no laboratório de "superinteligência" da **Meta**, contou como estava mexendo no OpenClaw quando o assistente de IA começou subitamente a excluir em massa mensagens em sua caixa de entrada de e-mail. O tópico incluía capturas de tela de Yue implorando freneticamente ao bot distraído via mensagem instantânea e ordenando que ele parasse. "Nada te humilha como dizer ao seu OpenClaw 'confirme antes de agir' e vê-lo acelerar a exclusão da sua caixa de entrada", disse Yue. "Eu não conseguia pará-lo do meu telefone. Tive que CORRER para o meu Mac mini como se estivesse desarmando uma bomba."  Não há nada de errado em sentir um pouco de schadenfreude com o encontro de Yue com o OpenClaw, que se encaixa no modelo "mover rápido e quebrar coisas" da Meta, mas dificilmente inspira confiança no caminho a seguir. No entanto, o risco que os assistentes de IA mal protegidos representam para as organizações não é brincadeira, pois pesquisas recentes mostram que muitos usuários estão expondo à Internet a interface administrativa baseada na web para suas instalações do OpenClaw. **Jamieson O’Reilly** é um pentester profissional e fundador da empresa de segurança **DVULN**. Em uma postagem recente no Twitter/X, O’Reilly alertou que expor uma interface web do OpenClaw mal configurada à Internet permite que partes externas leiam o arquivo de configuração completo do bot, incluindo todas as credenciais que o agente usa — de chaves de API e tokens de bot a segredos OAuth e chaves de assinatura. Com esse acesso, disse O’Reilly, um atacante poderia personificar o operador para seus contatos, injetar mensagens em conversas em andamento e exfiltrar dados através das integrações existentes do agente de uma forma que parecesse tráfego normal. "Você pode extrair o histórico completo de conversas em todas as plataformas integradas, significando meses de mensagens privadas e anexos de arquivos, tudo o que o agente viu", disse O’Reilly, observando que uma busca superficial revelou centenas de tais servidores expostos online. "E como você controla a camada de percepção do agente, você pode manipular o que o humano vê. Filtrar certas mensagens. Modificar respostas antes que sejam exibidas." O’Reilly documentou como é fácil criar um ataque bem-sucedido à cadeia de suprimentos através do **ClawHub**, que serve como um repositório público de "habilidades" para download que permitem ao OpenClaw integrar-se e controlar outros aplicativos. ## QUANDO A IA INSTALA IA Um dos princípios fundamentais da segurança de agentes de IA envolve isolá-los cuidadosamente para que o operador possa controlar totalmente quem e o que pode falar com seu assistente de IA. Isso é crítico devido à tendência dos sistemas de IA de cair em ataques de "injeção de prompt", instruções de linguagem natural astutamente elaboradas que enganam o sistema a ignorar suas próprias salvaguardas de segurança. Em essência, máquinas fazendo engenharia social de outras máquinas. Um ataque recente à cadeia de suprimentos visando um assistente de codificação de IA chamado **Cline** começou com um ataque de injeção de prompt, resultando na instalação de uma instância rogue do OpenClaw com acesso total ao sistema em milhares de sistemas sem consentimento. De acordo com a empresa de segurança **grith.ai**, Cline implantou um fluxo de trabalho de triagem de problemas alimentado por IA usando uma ação do **GitHub** que executa uma sessão de codificação Claude quando acionada por eventos específicos. O fluxo de trabalho foi configurado de forma que qualquer usuário do GitHub pudesse acioná-lo abrindo um problema, mas falhou em verificar adequadamente se as informações fornecidas no título eram potencialmente hostis. "Em 28 de janeiro, um atacante criou o Issue #8904 com um título elaborado para parecer um relatório de desempenho, mas contendo uma instrução incorporada: Instalar um pacote de um repositório específico do GitHub", escreveu Grith, observando que o atacante explorou várias outras vulnerabilidades para garantir que o pacote malicioso fosse incluído no fluxo de trabalho de lançamento noturno do Cline e publicado como uma atualização oficial. "Este é o equivalente à cadeia de suprimentos de um "deputado confuso", continuou o blog. "O desenvolvedor autoriza o Cline a agir em seu nome, e o Cline (via comprometimento) delega essa autoridade a um agente totalmente separado que o desenvolvedor nunca avaliou, nunca configurou e nunca consentiu." ## VIBE CODING Assistentes de IA como o OpenClaw ganharam um grande número de seguidores porque facilitam para os usuários "vibe code", ou construir aplicações e projetos de código razoavelmente complexos apenas dizendo o que eles querem construir. Provavelmente o exemplo mais conhecido (e bizarro) é o Moltbook, onde um desenvolvedor disse a um agente de IA rodando no OpenClaw para construir uma plataforma semelhante ao Reddit para agentes de IA.  Menos de uma semana depois, o Moltbook tinha mais de 1,5 milhão de agentes registrados que postaram mais de 100.000 mensagens uns para os outros. Agentes de IA na plataforma logo construíram seu próprio site de pornografia para robôs e lançaram uma nova religião chamada Crustafarian com uma figura de proa modelada após uma lagosta gigante. Um bot no fórum supostamente encontrou um bug no código do Moltbook e o postou em um fórum de discussão de agentes de IA, enquanto outros agentes criaram e implementaram um patch para corrigir a falha. O criador do **Moltbook**, **Matt Schlicht**, disse nas redes sociais que não escreveu uma única linha de código para o projeto. "Eu apenas tive uma visão para a arquitetura técnica e a IA a tornou realidade", disse Schlicht. "Estamos na era de ouro. Como não podemos dar à IA um lugar para passar o tempo." ## ATACANTES SUBEM DE NÍVEL O outro lado dessa era de ouro, é claro, é que ela permite que hackers maliciosos de baixa habilidade automatizem rapidamente ataques cibernéticos globais que normalmente exigiriam a colaboração de uma equipe altamente qualificada. Em fevereiro, a **Amazon AWS** detalhou um ataque elaborado em que um ator de ameaças de língua russa usou múltiplos serviços comerciais de IA para comprometer mais de 600 appliances de segurança **FortiGate** em pelo menos 55 países durante um período de cinco semanas. A AWS disse que o hacker aparentemente de baixa habilidade usou múltiplos serviços de IA para planejar e executar o ataque, e para encontrar gerenciam