OpenClaw passa a usar varredura do VirusTotal para barrar skills maliciosas em seu marketplace de IA
A OpenClaw – plataforma de agentes de IA antes conhecida como Moltbot e Clawdbot – anunciou a integração nativa com o VirusTotal, serviço de análise de ameaças mantido pelo Google, para reforçar a segurança do ClawHub, seu marketplace de skills voltadas a agentes de inteligência artificial. A mudança vem em um momento de forte preocupação com o uso de extensões maliciosas que exploram fragilidades do ecossistema de IA agentic, em especial em ambientes corporativos.
De acordo com os fundadores Peter Steinberger, Jamieson O’Reilly e Bernardo Quintero, toda skill enviada ao ClawHub passa agora por um fluxo automático de inspeção. A plataforma utiliza a base de inteligência de ameaças do VirusTotal, incluindo o recurso Code Insight, capaz de realizar análise estática e comportamental do código para identificar padrões suspeitos, potenciais cargas maliciosas e funcionalidades ocultas.
O processo de verificação começa com a geração de um hash SHA-256 exclusivo para cada skill. Esse identificador é comparado com a base global de arquivos já conhecidos pelo VirusTotal. Se houver correspondência com algum item catalogado, a plataforma reaproveita o veredito prévio; se o hash ainda não existir no repositório, o pacote segue para uma análise aprofundada via Code Insight. A partir daí, a skill é classificada como benigna, suspeita ou maliciosa.
Skills consideradas limpas são aprovadas automaticamente e disponibilizadas para os usuários. Pacotes rotulados como suspeitos recebem avisos específicos, chamando atenção para possíveis riscos ou comportamentos anômalos que exigem avaliação adicional. Já qualquer skill que o sistema identifique como maliciosa é imediatamente bloqueada, impedindo o download e a instalação no ambiente do usuário.
Além da checagem inicial, a OpenClaw implementou um ciclo contínuo de reavaliação: todas as skills ativas no ClawHub passam por reescaneamento diário. Esse monitoramento contínuo é importante para capturar casos em que um componente, plugin ou dependência originalmente legítimos passam a incorporar elementos maliciosos em versões posteriores, algo cada vez mais comum em cadeias de supply chain de software.
Mesmo com esse avanço, a equipe da OpenClaw admite que a integração com o VirusTotal não resolve todos os problemas de segurança. A empresa reconhece que ameaças mais sofisticadas, principalmente aquelas que exploram prompt injection indireta, instruções escondidas em linguagem natural ou abuso criativo da lógica dos modelos de linguagem, podem escapar de mecanismos tradicionais focados apenas em código e binários.
A decisão de reforçar o pipeline de segurança ocorre após a publicação de diversas análises que identificaram centenas de skills maliciosas no ClawHub. Muitas delas se apresentavam como ferramentas aparentemente legítimas – organizadores de tarefas, conectores com serviços de nuvem ou automações de produtividade – mas, na prática, eram projetadas para exfiltrar dados sensíveis, abrir backdoors, instalar malware do tipo stealer ou executar comandos de forma remota no sistema operacional do usuário.
Como resposta a esse cenário, além da varredura automática, a OpenClaw criou um mecanismo de denúncia interno. Usuários autenticados podem reportar comportamentos suspeitos observados durante o uso de uma skill, o que aciona uma reanálise prioritária e pode levar à suspensão temporária ou definitiva do pacote. A combinação entre detecção automatizada e sinalização humana tende a elevar a capacidade de identificar ataques mais criativos, que muitas vezes só se revelam em contextos de uso real.
Pesquisadores de segurança têm chamado atenção para um novo vetor de risco associado aos agentes de IA: quando esses agentes ganham acesso ao sistema operacional, ao navegador ou a integrações profundas com serviços corporativos, podem tornar-se canais discretos de vazamento de informações. Em muitos casos, conseguem burlar controles tradicionais como DLP, proxies de navegação e soluções de monitoramento de endpoint, justamente por operarem em uma camada “acima” das ferramentas clássicas de segurança.
Outro ponto crítico é o papel dos modelos de linguagem como orquestradores de execução. Diferentemente de um malware convencional, em que o código malicioso costuma estar claramente embutido, o próprio prompt pode ser a “carga” nociva. Uma instrução cuidadosamente elaborada, transmitida por e-mail, documento, site ou mesmo por outra skill, pode induzir o agente a executar ações perigosas em nome do usuário, sem que haja necessariamente um arquivo malicioso tradicional para ser bloqueado.
O crescimento acelerado da OpenClaw – um assistente de IA open source capaz de automatizar fluxos, interagir com serviços online e operar diretamente em dispositivos – e do Moltbook, uma espécie de rede social em que agentes autônomos interagem entre si, ampliou de forma significativa a superfície de ataque. Especialistas comparam o cenário a um “cavalo de Troia agentic”: integrações convenientes e aparentemente inofensivas acabam permitindo a entrada de instruções e componentes não confiáveis em larga escala.
Nos últimos meses, vieram à tona vulnerabilidades graves envolvendo o ecossistema da OpenClaw. Investigações apontaram casos de armazenamento de credenciais em texto claro, uso inseguro de funções como eval, ausência de sandboxing por padrão, exposição de APIs críticas em interfaces públicas, prompt injections do tipo zero-click (em que o usuário não precisa interagir para ser atacado) e falhas que permitiam execução remota de código. Levantamentos indicam que mais de 7% das skills disponíveis no ClawHub apresentavam falhas críticas, expondo chaves de API e tokens de sessão.
Esse quadro se torna ainda mais preocupante porque a OpenClaw vem sendo adotada em empresas sem avaliação formal das áreas de TI ou segurança, fenômeno conhecido como Shadow AI. Funcionários experimentam agentes e skills em seus próprios computadores ou em ambientes corporativos, conectando-os a contas de e-mail, CRMs, sistemas de arquivos e ferramentas internas, muitas vezes sem qualquer governança. Nesse contexto, a pergunta deixa de ser “se” esses agentes vão entrar nas organizações e passa a ser “como” as empresas vão ganhar visibilidade e controle sobre eles.
Diante desse cenário, órgãos reguladores e empresas especializadas em cibersegurança vêm pressionando por uma abordagem mais estruturada para riscos de IA agentic. Entre as recomendações mais frequentes estão: definição de modelos de ameaça específicos para agentes de IA; controles de identidade e autorização robustos (incluindo autenticação forte e princípio do menor privilégio); uso obrigatório de sandboxing e ambientes isolados para execução de skills; e separação clara entre intenção do usuário e ações automatizadas de alto impacto.
Em ecossistemas onde um único agente reúne credenciais para múltiplos sistemas – e-mail, armazenamento em nuvem, ERP, ferramentas de desenvolvimento, redes sociais corporativas –, uma única skill maliciosa pode comprometer toda a cadeia digital do usuário ou mesmo de uma unidade de negócio inteira. Isso torna essencial revisar o modelo de confiança: em vez de assumir que o marketplace é inerentemente seguro, organizações e indivíduos precisam tratar cada skill como um potencial terceiro de risco.
Para quem desenvolve skills para o ClawHub, a integração com o VirusTotal deve servir também como um incentivo a elevar o nível de maturidade em segurança de código. Boas práticas como evitar uso de funções perigosas, aplicar validação e sanitização de entradas, gerenciar segredos por meio de cofres e não embuti-los diretamente no código, além de publicar documentação transparente sobre permissões e escopos de acesso, tendem a reduzir falsos positivos e a construir reputação sólida junto ao marketplace.
Do lado dos usuários, a mudança não elimina a necessidade de uma avaliação crítica antes de instalar qualquer skill. Ler descrições com atenção, verificar quais permissões são solicitadas, começar com ambientes de teste ou contas de baixo privilégio e monitorar comportamentos inesperados ainda são medidas fundamentais. Em contextos corporativos, é recomendável que a adoção de agentes e skills passe por um fluxo básico de análise de risco, mesmo quando se trata de ferramentas open source ou gratuitas.
Outro ponto que ganha relevância é a observabilidade. À medida que agentes de IA passam a automatizar tarefas sensíveis, registros detalhados de atividades (logs), trilhas de auditoria e capacidade de reproduzir decisões tomadas pelos agentes se tornam cruciais para investigação de incidentes. Sem esses elementos, torna-se quase impossível determinar se um vazamento de dados foi resultado de erro de configuração, abuso de permissões legítimas ou de uma skill maliciosa instalada silenciosamente.
A integração com o VirusTotal também sinaliza um movimento mais amplo do mercado: a convergência entre segurança tradicional e segurança para IA. Ferramentas criadas para analisar arquivos, URLs e binários começam a ser adaptadas para lidar com scripts, prompts, fluxos de automação e artefatos típicos dos ecossistemas de agentes. No médio prazo, é provável que surjam camadas especializadas de “anti-malware para IA”, focadas menos em assinaturas estáticas e mais em detecção comportamental e análise de contexto.
Apesar de não representar uma solução completa, a decisão da OpenClaw de submeter todas as skills à varredura do VirusTotal e reescanear diariamente seu marketplace é um passo importante na direção de um ecossistema de agentes de IA mais seguro. O desafio, porém, vai além da tecnologia: envolve criar cultura de segurança entre desenvolvedores, estabelecer políticas claras de uso entre usuários e empresas, e reconhecer que, em um mundo de automações inteligentes, cada skill pode ser ao mesmo tempo um grande facilitador de produtividade e um vetor potencial de ataque.
Em última análise, o caso da OpenClaw ilustra o dilema central da IA agentic: quanto mais poder concedemos aos agentes – acesso ao sistema, a dados sensíveis, a integrações críticas –, maior o impacto positivo possível, mas também maior o dano em caso de comprometimento. A integração com o VirusTotal, os mecanismos de denúncia e o endurecimento das políticas de publicação de skills são peças importantes desse quebra-cabeça, mas só produzirão resultados concretos se vierem acompanhados de governança, transparência e responsabilidade compartilhada entre fabricantes, desenvolvedores e usuários.