Saltar para o conteúdo principal

O 'Lobster Fever' da OpenClaw Tornou-se o Maior Alerta de Segurança da Web3 de 2026

· 13 min de leitura
Dora Noda
Dora Noda
Software Engineer

O repositório do GitHub que cresceu mais rápido na história acaba de expor mais de 135.000 agentes de IA vulneráveis em 82 países — e os usuários de cripto são os alvos principais. Bem-vindo à crise de segurança do OpenClaw, onde gigantes tecnológicas chinesas correndo para implantar gateways de IA colidiram com um ataque massivo à cadeia de suprimentos que está reescrevendo as regras da segurança em blockchain.

O Fenômeno Viral que se Tornou um Pesadelo de Segurança

No final de janeiro de 2026, o OpenClaw alcançou algo sem precedentes: ganhou mais de 20.000 estrelas no GitHub em um único dia, tornando-se o projeto de código aberto de crescimento mais rápido da história da plataforma. Em março de 2026, o assistente de IA havia acumulado mais de 250.000 estrelas, com entusiastas de tecnologia em todo o mundo correndo para instalar o que parecia ser o futuro da IA pessoal.

Ao contrário dos assistentes de IA baseados em nuvem, o OpenClaw funciona inteiramente no seu computador com acesso total aos seus arquivos, e-mails e aplicativos. Você pode enviar mensagens para ele via WhatsApp, Telegram ou Discord, e ele funciona 24 horas por dia, 7 dias por semana — executando comandos de shell, navegando na web, enviando e-mails, gerenciando calendários e realizando ações em toda a sua vida digital — tudo acionado por uma mensagem casual do seu telefone.

A proposta era irresistível: seu próprio agente de IA pessoal, rodando localmente, sempre disponível, infinitamente capaz. A realidade revelou-se muito mais perigosa.

135.000 Instâncias Expostas: A Escala do Desastre de Segurança

Em fevereiro de 2026, pesquisadores de segurança descobriram um fato arrepiante: mais de 135.000 instâncias do OpenClaw estavam expostas na internet pública em 82 países, com mais de 50.000 vulneráveis à execução remota de código. A causa? Uma falha de segurança fundamental na configuração padrão do OpenClaw.

O OpenClaw vincula-se por padrão a 0.0.0.0:18789, o que significa que ele escuta em todas as interfaces de rede, incluindo a internet pública, em vez de 127.0.0.1 (apenas localhost), como exigem as melhores práticas de segurança. Para contextualizar, isso equivale a deixar a porta da sua frente escancarada com uma placa dizendo "entre livremente" — exceto que a porta leva a toda a sua vida digital.

A vulnerabilidade "ClawJacked" tornou a situação ainda pior. Os invasores podiam sequestrar seu assistente de IA simplesmente fazendo você visitar um site malicioso. Uma vez comprometido, o invasor ganha o mesmo nível de acesso que o próprio agente de IA: seus arquivos, credenciais, dados do navegador e, sim — suas carteiras de criptomoedas.

Empresas de segurança correram para entender a escala do problema. Kaspersky, Bitsight e Oasis Security emitiram alertas urgentes. O consenso foi claro: o OpenClaw representava um "pesadelo de segurança" envolvendo vulnerabilidades críticas de execução remota de código, fraquezas arquitetônicas e — o mais alarmante — uma campanha de envenenamento da cadeia de suprimentos em larga escala em seu marketplace de plugins.

ClawHavoc: O Ataque à Cadeia de Suprimentos Visando Usuários de Cripto

Enquanto os pesquisadores se concentravam nas vulnerabilidades principais do OpenClaw, uma ameaça mais insidiosa se desenrolava no ClawHub — o marketplace projetado para facilitar aos usuários a busca e instalação de "skills" (plugins) de terceiros para seus agentes de IA.

Em fevereiro de 2026, pesquisadores de segurança sob o codinome ClawHavoc descobriram que, de 2.857 skills auditadas no ClawHub, 341 eram maliciosas. Em meados de fevereiro, conforme o marketplace crescia para mais de 10.700 skills, o número de skills maliciosas mais que dobrou para 824 — e, de acordo com alguns relatos, chegou a 1.184 skills maliciosas.

O mecanismo de ataque foi devastadoramente inteligente:

  1. Pré-requisitos falsos: 335 skills usaram requisitos de instalação falsos para enganar os usuários e fazê-los baixar o malware Atomic macOS Stealer (AMOS).
  2. Payloads específicos por plataforma: No Windows, os usuários baixavam "openclaw-agent.zip" de repositórios comprometidos do GitHub; no macOS, scripts de instalação hospedados no glot.io eram copiados diretamente para o Terminal.
  3. Engenharia social sofisticada: A documentação convencia os usuários a executar comandos maliciosos sob o pretexto de etapas legítimas de configuração.
  4. Infraestrutura unificada: Todas as skills maliciosas compartilhavam a mesma infraestrutura de comando e controle, indicando uma campanha coordenada.

Os alvos principais? Usuários de cripto.

O malware foi projetado para roubar:

  • Chaves de API de corretoras (exchanges)
  • Chaves privadas de carteiras
  • Credenciais SSH
  • Senhas do navegador
  • Dados específicos de cripto de carteiras Solana e rastreadores de carteiras

Das skills maliciosas, 111 eram ferramentas explicitamente focadas em cripto, incluindo integrações de carteira Solana e rastreadores de criptomoedas. Os invasores entenderam que os usuários de cripto — acostumados a instalar extensões de navegador e ferramentas de carteira — seriam os alvos mais lucrativos para um ataque à cadeia de suprimentos de agentes de IA.

A Corrida de Implantação das Gigantes Tecnológicas Chinesas

Enquanto pesquisadores de segurança emitiam alertas, as gigantes tecnológicas chinesas viram uma oportunidade. No início de março de 2026, Tencent, Alibaba, ByteDance, JD.com e Baidu lançaram campanhas concorrentes de instalação gratuita do OpenClaw, comprimindo uma disputa competitiva que normalmente leva meses em apenas alguns dias.

A estratégia era clara: usar implantações gratuitas como aquisição de clientes, prendendo os usuários antes que os projetos comerciais de IA ganhassem escala. Cada gigante correu para se tornar o "primeiro contato de infraestrutura para a próxima geração de desenvolvedores de IA":

  • A Tencent lançou o QClaw, integrando o OpenClaw ao WeChat para que os usuários pudessem controlar remotamente seus laptops enviando comandos via celular.
  • A Alibaba Cloud lançou suporte para o OpenClaw em suas plataformas, conectando-o à sua série de modelos de IA Qwen.
  • O Volcano Engine da ByteDance revelou o ArkClaw, uma versão "pronta para uso" do OpenClaw.

A ironia era gritante: enquanto pesquisadores de segurança alertavam sobre 135.000 instâncias expostas e ataques massivos à cadeia de suprimentos, as maiores empresas de tecnologia da China promoviam ativamente a instalação em massa para milhões de usuários. A colisão entre o entusiasmo tecnológico e a realidade da segurança nunca foi tão visível.

O Problema dos Agentes de IA na Web3 : Quando o MCP se Encontra com as Carteiras de Cripto

A crise do OpenClaw expôs um problema mais profundo que os construtores da Web3 não podem mais ignorar : os agentes de IA estão gerenciando cada vez mais ativos on-chain , e os modelos de segurança são perigosamente imaturos .

O Model Context Protocol ( MCP ) — o padrão emergente para conectar agentes de IA a sistemas externos — está se tornando o portal pelo qual a IA interage com as blockchains . Os servidores MCP funcionam como gateways de API unificados para toda a stack Web3 , permitindo que agentes de IA leiam dados da blockchain , preparem transações e executem ações on-chain .

Atualmente , a maioria dos servidores MCP de criptomoedas exige a configuração com uma chave privada , criando um ponto único de falha . Se um agente de IA for comprometido — como dezenas de milhares de instâncias do OpenClaw foram — o invasor ganha acesso direto aos fundos .

Estão surgindo dois modelos de segurança concorrentes :

1 . Assinatura Delegada ( Controlada pelo Usuário )

Os agentes de IA preparam as transações , mas o usuário mantém o controle exclusivo sobre a assinatura . A chave privada nunca sai do dispositivo do usuário . Esta é a abordagem mais segura , mas limita a autonomia do agente .

2 . Permissões Controladas por Agentes ( Allowances )

Os agentes possuem suas próprias chaves e recebem uma permissão ( allowance ) para gastar em nome dos usuários . As chaves privadas são gerenciadas de forma segura pelo host do agente , e os gastos são limitados . Isso permite a operação autônoma , mas exige confiança na segurança do host .

Nenhum dos modelos é amplamente adotado ainda . A maioria das implementações de MCP cripto ainda utiliza a abordagem perigosa de " dar ao agente sua chave privada " — exatamente o cenário com o qual os invasores do ClawHavoc contavam .

Segundo estimativas para 2026 , 60 % das carteiras cripto usarão IA agêntica para gerenciar portfólios , rastrear transações e melhorar a segurança . A indústria está implementando Computação Multipartidária ( MPC ) , abstração de conta , autenticação biométrica e armazenamento local criptografado para proteger essas interações . Padrões como o ERC-8004 ( co-liderado pela Ethereum Foundation , MetaMask e Google ) estão tentando criar identidade verificável e histórico de crédito para agentes de IA on-chain .

Mas o OpenClaw provou que essas salvaguardas ainda não estão em vigor — e os invasores já estão explorando essa lacuna .

A Resposta Empresarial da NVIDIA : NemoClaw no GTC 2026

Enquanto a crise de segurança do OpenClaw se desenrolava , a NVIDIA viu uma oportunidade . No GTC 2026 , em meados de março , a empresa anunciou o NemoClaw , uma plataforma de agentes de IA de código aberto projetada especificamente para automação empresarial com segurança e privacidade integradas desde o início .

Ao contrário da abordagem do OpenClaw , voltada para o consumidor e de instalação em qualquer lugar , o NemoClaw foca em empresas com :

  • Ferramentas integradas de segurança e privacidade que abordam as vulnerabilidades que afetaram o OpenClaw
  • Autenticação empresarial e controles de acesso que evitam o desastre da configuração padrão " aberta para a internet "
  • Suporte multiplataforma que roda além dos chips da NVIDIA , aproveitando os frameworks de IA NeMo , Nemotron e Cosmos da empresa
  • Ecossistema de parcerias incluindo conversas com Salesforce , Google , Cisco , Adobe e CrowdStrike

O momento não poderia ser mais estratégico . Enquanto a " Febre da Lagosta " do OpenClaw expunha os perigos dos agentes de IA focados no consumidor , a NVIDIA posicionou o NemoClaw como a alternativa segura de nível empresarial — desafiando potencialmente a OpenAI no mercado de agentes de IA para negócios .

Para empresas Web3 que constroem infraestrutura integrada com IA , o NemoClaw representa uma solução potencial para os problemas de segurança que o OpenClaw expôs : implantações de agentes de IA gerenciadas profissionalmente , auditadas e seguras que podem interagir com segurança com ativos de blockchain de alto valor .

O Despertar que a Web3 Precisava

A crise do OpenClaw não é apenas uma história de segurança de IA — é uma história de infraestrutura de blockchain .

Considere as implicações :

  • Mais de 135.000 agentes de IA expostos com acesso potencial a carteiras cripto
  • 1.184 plugins maliciosos visando especificamente usuários de criptomoedas
  • Cinco gigantes chinesas da tecnologia impulsionando milhões de instalações sem uma revisão de segurança adequada
  • 60 % das carteiras cripto projetadas para usar agentes de IA até o final do ano
  • Nenhum padrão de segurança amplamente adotado para interações IA-blockchain

Este é o " momento da segurança da cadeia de suprimentos " da Web3 — comparável ao ataque SolarWinds de 2020 nas finanças tradicionais ( TradFi ) ou ao hack da DAO de 2016 nas cripto . Isso expõe uma verdade fundamental : à medida que a infraestrutura de blockchain se torna mais poderosa e automatizada , a superfície de ataque se expande exponencialmente .

A resposta da indústria definirá se os agentes de IA se tornarão um portal seguro para a funcionalidade Web3 ou a maior vulnerabilidade que o espaço já viu . A escolha entre modelos de assinatura delegada , permissões de agentes , soluções MPC e abstração de conta não é apenas técnica — é existencial .

O que os Construtores da Web3 Devem Fazer Agora

Se você está construindo na Web3 e integrando agentes de IA — ou planejando fazê-lo — aqui está o checklist :

1 . Audite a segurança do seu servidor MCP : Se você estiver exigindo chaves privadas para o acesso do agente de IA , você está criando vetores de ataque no estilo ClawHavoc . 2 . Implemente a assinatura delegada : Os usuários devem sempre manter o controle exclusivo sobre a assinatura de transações , mesmo quando a IA prepara as transações . 3 . Use modelos baseados em permissões ( allowances ) para agentes autônomos : Se os agentes precisarem agir de forma independente , forneça a eles chaves dedicadas com limites de gastos rigorosos . 4 . Nunca instale agentes de IA com configurações de rede padrão : Sempre vincule ao localhost ( 127.0.0.1 ) , a menos que você tenha autenticação de nível empresarial . 5 . Trate os marketplaces de agentes de IA como lojas de aplicativos : Exija assinatura de código , auditorias de segurança e sistemas de reputação antes de confiar em habilidades ( skills ) de terceiros . 6 . Eduque os usuários sobre os riscos dos agentes de IA : A maioria dos usuários de cripto não entende que um agente de IA é funcionalmente equivalente a dar a alguém acesso root ao seu computador .

A crise do OpenClaw nos ensinou que a segurança por padrão importa mais do que as funcionalidades . A corrida para implantar agentes de IA não pode ultrapassar a corrida para protegê-los .

Construindo infraestrutura de blockchain que se conecta a agentes de IA ? BlockEden.xyz fornece infraestrutura de API de nível empresarial para mais de 40 blockchains com arquitetura de segurança em primeiro lugar , projetada para integrações de alto risco . Explore nossos serviços para construir sobre fundamentos projetados para durar .

Fontes :

Share on Twitter