OpenClaw integra varredura do VirusTotal para conter skills maliciosas em seu marketplace

A plataforma OpenClaw, anteriormente conhecida como Moltbot e Clawdbot, anunciou uma parceria com o VirusTotal, serviço pertencente ao Google, para reforçar a segurança do ClawHub, seu marketplace de skills para agentes de inteligência artificial. A iniciativa surge em meio a crescentes alertas sobre a presença de skills maliciosas explorando falhas inerentes ao ecossistema de IA agentic.

Segundo os fundadores Peter Steinberger, Jamieson O’Reilly e Bernardo Quintero, todas as skills publicadas no ClawHub passam agora por análise automática utilizando a inteligência de ameaças do VirusTotal, incluindo o recurso Code Insight, voltado à inspeção estática e comportamental de código. A medida adiciona uma nova camada de proteção para usuários e desenvolvedores da plataforma.

O processo envolve a geração de um hash SHA-256 exclusivo para cada skill, que é comparado com a base global do VirusTotal. Caso não haja correspondência, o pacote é submetido à análise aprofundada via Code Insight. Skills classificadas como benignas são aprovadas automaticamente; aquelas consideradas suspeitas recebem alertas; e qualquer skill identificada como maliciosa é bloqueada para download. Além disso, todas as skills ativas passam por reescaneamento diário, permitindo detectar casos em que um componente antes legítimo se torna malicioso ao longo do tempo.

Apesar do avanço, os mantenedores da OpenClaw reconhecem que a varredura não é uma solução definitiva. Segundo a empresa, cargas maliciosas sofisticadas especialmente aquelas que exploram prompt injection indireta ou instruções ocultas em linguagem natural ainda podem contornar mecanismos tradicionais de detecção.

A parceria com o VirusTotal ocorre após a divulgação de múltiplas análises que identificaram centenas de skills maliciosas no ClawHub, muitas delas disfarçadas como ferramentas legítimas, mas projetadas para exfiltrar dados, implantar backdoors, instalar malware do tipo stealer ou executar comandos remotamente. Como resposta, a OpenClaw também implementou um mecanismo de denúncia para que usuários autenticados possam sinalizar comportamentos suspeitos.

Pesquisadores alertam que agentes de IA com acesso ao sistema operacional representam um novo vetor de risco, pois podem atuar como canais furtivos de vazamento de dados, contornando controles tradicionais como DLP, proxies e monitoramento de endpoint. Além disso, modelos de linguagem podem funcionar como orquestradores de execução, onde o próprio prompt se torna a instrução maliciosa, dificultando a detecção por ferramentas convencionais.

O crescimento acelerado da OpenClaw um assistente de IA open source capaz de automatizar fluxos, interagir com serviços online e operar diretamente em dispositivos e do Moltbook, uma rede social onde agentes autônomos interagem entre si, ampliou significativamente a superfície de ataque. Especialistas descrevem o cenário como um verdadeiro “cavalo de Troia agentic”, no qual integrações convenientes acabam introduzindo entradas não confiáveis em larga escala.

Diversas falhas graves vieram à tona recentemente, incluindo armazenamento de credenciais em texto claro, uso inseguro de funções como eval, ausência de sandboxing por padrão, exposição de APIs em interfaces públicas, prompt injections zero-click e vulnerabilidades que permitiam execução remota de código. Análises indicam que mais de 7% das skills do ClawHub continham falhas críticas, expondo chaves de API e tokens de sessão.

O risco é agravado pelo fato de a OpenClaw estar sendo adotada em ambientes corporativos sem aprovação formal de TI ou segurança, criando uma nova categoria de Shadow AI. Como alertam pesquisadores, a questão não é se esses agentes aparecerão nas organizações, mas se as empresas terão visibilidade e controle sobre eles.

Diante da gravidade do cenário, autoridades regulatórias e empresas de segurança vêm alertando para a necessidade de modelos de ameaça específicos para IA agentic, controles de identidade robustos, sandboxing obrigatório e limites claros entre intenção do usuário e execução automática. Em ecossistemas onde agentes detêm credenciais para múltiplos sistemas, uma única skill maliciosa pode comprometer toda a cadeia digital do usuário.