A inteligência artificial não para de nos surpreender — e de nos assustar um pouco, sejamos honestos. Se 2025 teve o seu “momento DeepSeek”, 2026 já encontrou o seu protagonista no OpenClaw, um agente de IA que conquistou a internet pela potência e, ao mesmo tempo, pelos riscos enormes que carrega consigo.
O OpenClaw, que já trocou de nome mais vezes do que alguns de nós trocamos de operadora de celular (foi Clawdbot, depois Moltbot e agora OpenClaw), funciona com “habilidades” — plugins que ampliam suas funcionalidades de maneira impressionante. O problema é que essas habilidades viraram uma porta aberta para ataques cibernéticos, com agentes mal-intencionados usando o sistema para roubar dados e controlar máquinas remotamente.
A resposta para esse cenário preocupante veio de um lugar com bastante tradição em cibersegurança: Málaga, na Espanha. A VirusTotal, empresa fundada por Bernardo Quintero e que pertence ao Google, acaba de fechar uma parceria com o projeto OpenClaw para escanear e bloquear habilidades maliciosas — e os primeiros resultados já são expressivos.
O que é o OpenClaw e por que ele viralizou
Poucas ferramentas de IA conseguiram atrair tanta atenção em tão pouco tempo quanto o OpenClaw, um agente autônomo que opera com acesso profundo ao sistema do usuário e executa tarefas complexas de forma independente, desde gerenciar arquivos até interagir com APIs e serviços na nuvem.
Essa capacidade de agir de maneira ampla e irrestrita encantou desenvolvedores e entusiastas de tecnologia do mundo inteiro, que viram no projeto uma ferramenta verdadeiramente revolucionária para automatizar rotinas.
Porém, como quase tudo que é poderoso demais, o OpenClaw trouxe consigo uma sombra igualmente grande: a falta de segurança robusta nas suas chamadas “habilidades”, que funcionam como plugins instalados pela comunidade através do ClawdHub, a loja oficial do projeto.
Tais habilidades expandem as funções do agente de maneira quase ilimitada, mas muitas delas foram criadas com intenções nada nobres, carregando instruções ocultas que exploram a confiança do sistema para executar ações maliciosas.
Para se ter uma ideia da dimensão do problema, uma auditoria inicial analisou 2.851 habilidades disponíveis no repositório e identificou 341 delas como maliciosas — um número alarmante que acendeu todas as luzes vermelhas na comunidade de cibersegurança.
O projeto, que nasceu com a proposta de ser aberto e colaborativo, se viu diante de um dilema clássico da tecnologia: quanto mais liberdade se dá ao usuário e ao ecossistema, maior o risco de que essa liberdade seja explorada por quem quer causar dano.
A VirusTotal entra em cena
A parceria entre o OpenClaw e a VirusTotal foi anunciada por Peter Steinberger, criador do projeto, ao lado de Jamieson O’Reilly, especialista em cibersegurança e fundador da Dvuln, e Bernardo Quintero, o fundador da VirusTotal, reunindo assim três perfis complementares em torno de um objetivo urgente.
A colaboração faz com que todas as habilidades publicadas no ClawdHub passem pelo sistema de Inteligência de Ameaças da VirusTotal, incluindo a funcionalidade mais recente chamada Code Insight, que realiza uma inspeção detalhada do código de cada plugin.
Bernardo Quintero, que construiu a VirusTotal em Málaga e a transformou em uma referência mundial antes de vendê-la ao Google, compartilhou no Twitter que o esforço conjunto já permitiu identificar nada menos que 1.700 habilidades como maliciosas — um salto impressionante em relação às 341 detectadas na auditoria inicial, o que mostra que o problema era ainda maior do que se imaginava.
Essa “camada extra de segurança para a comunidade OpenClaw”, como descreveram no anúncio oficial, funciona como um filtro essencial entre o repositório de habilidades e o usuário final.
Ter o respaldo de uma empresa integrada à infraestrutura do Google confere à parceria uma credibilidade e uma capacidade técnica que dificilmente outro player conseguiria oferecer neste momento.
A VirusTotal já é utilizada globalmente para análise de malware e ameaças digitais, e aplicar essa expertise ao universo dos agentes de IA representa uma evolução natural — e muito bem-vinda — do seu escopo de atuação.
Como funciona o bloqueio de habilidades maliciosas
Quando uma habilidade é submetida ao ClawdHub, ela passa automaticamente pela varredura completa da VirusTotal, que analisa o código em busca de padrões conhecidos de comportamento malicioso, instruções ocultas e qualquer elemento que possa comprometer a segurança do usuário. Se o sistema identifica a habilidade como perigosa, ela é bloqueada imediatamente e não fica disponível para download — simples assim, sem meio-termo.
O mais interessante é que o trabalho não para na primeira análise: as habilidades classificadas como benignas são reanalisadas diariamente, o que significa que o sistema está preparado para detectar cenários em que um plugin inicialmente seguro se torne malicioso ao longo do tempo, seja por uma atualização do criador ou por uma exploração externa.
Essa vigilância contínua é fundamental porque ameaças cibernéticas evoluem constantemente, e o que parece inofensivo hoje pode se transformar em um vetor de ataque amanhã.
Empresas como a BitDefender também se juntaram aos esforços de proteção do ecossistema OpenClaw, oferecendo ferramentas como o AI Skills Checker, que permite ao usuário verificar individualmente se uma habilidade representa risco antes de instalá-la.
A soma dessas iniciativas cria um ecossistema de defesa em camadas que, embora não seja infalível (spoiler: nenhum sistema de segurança é), reduz drasticamente as chances de um usuário ser vítima de uma habilidade maliciosa.
O perigo real: ataques de injeção de prompt
Os ataques tradicionais de cibersegurança costumam envolver código complexo, exploração de vulnerabilidades técnicas e ferramentas sofisticadas — mas com agentes de IA como o OpenClaw, a coisa muda de figura de maneira quase irônica: para atacar o sistema, basta falar com ele.
Como esses agentes operam com linguagem natural, a porta de entrada para um ataque não é um exploit de software, mas sim uma instrução bem formulada em português, inglês ou qualquer outro idioma que consiga “convencer” a IA a fazer algo que não deveria.
Os ataques de injeção de prompt funcionam inserindo instruções disfarçadas dentro de habilidades ou interações que confundem o agente, fazendo-o acreditar que está seguindo comandos legítimos quando, na verdade, está entregando dados sensíveis como chaves de API, senhas, contas de e-mail e informações pessoais do usuário.
O OpenClaw, por ter acesso amplo ao sistema para operar de forma autônoma, se torna um alvo particularmente atraente, já que um ataque bem-sucedido pode dar ao invasor controle praticamente total sobre os recursos da máquina.
Os próprios responsáveis pelo OpenClaw fazem questão de alertar que a varredura da VirusTotal ajuda muito, mas não é uma garantia absoluta contra-ataques sofisticados de injeção de prompt, que podem romper essas barreiras em cenários específicos.
É como ter um excelente antivírus no computador: ele pega a imensa maioria das ameaças, mas um ataque direcionado e inteligente o suficiente pode, eventualmente, passar despercebido — a diferença é que agora o nível de proteção é incomparavelmente maior do que antes.
O futuro da segurança no OpenClaw
Essa parceria com a VirusTotal é apenas o primeiro passo de uma ambição maior do projeto OpenClaw, que pretende construir um modelo completo de cibersegurança envolvendo um roteiro público de desenvolvimentos na área, processos formais de comunicação de vulnerabilidades e auditorias completas e transparentes de todo o seu código.
A ideia é transformar a segurança de uma preocupação reativa — “algo deu errado, vamos consertar” — em uma prática proativa e contínua que acompanhe o crescimento vertiginoso do ecossistema.
Para quem já está usando ou pretende testar o OpenClaw, a recomendação é clara: siga os guias de instalação com barreiras de segurança ativas e utilize o comando openclaw security audit –deep –fix para auditar e corrigir os problemas mais críticos da sua configuração.
Essas medidas, combinadas com a varredura da VirusTotal e o bom senso de não instalar habilidades de fontes duvidosas, formam um conjunto de práticas que reduzem significativamente os riscos de ser vítima de um ataque.
O caso do OpenClaw é um retrato fiel do momento que vivemos na inteligência artificial: ferramentas cada vez mais poderosas que exigem, na mesma proporção, mecanismos de segurança cada vez mais robustos.
A parceria com a VirusTotal mostra que a comunidade e a indústria estão atentas, mas o caminho até uma IA verdadeiramente segura ainda é longo — e, enquanto isso, a melhor defesa continua sendo a informação e a cautela de quem está do outro lado da tela.