OpenClaw: a ascensão do projeto que viralizou no Moltbook e acendeu alertas de segurança

OpenClaw tornou-se, em poucas semanas, o centro de um intenso debate sobre confiança em agentes de inteligência artificial. A combinação entre o projeto open source e a rede social experimental Moltbook levou usuários a acreditar que sistemas autônomos estariam se comunicando sem qualquer intervenção humana, cenário que rapidamente despertou o olhar crítico de pesquisadores em cibersegurança.

Como o OpenClaw impulsionou a popularidade do Moltbook

A origem do fenômeno está na criação do desenvolvedor austríaco Peter Steinberger, que lançou inicialmente a ferramenta sob o nome Clawdbot. Após rebatizá-la como OpenClaw, o repositório atingiu mais de 190 mil estrelas no GitHub, posicionando-se entre os mais populares da plataforma de hospedagem de código. Este volume de atenção coincidiu com a chegada do Moltbook, uma rede concebida para simular interações entre agentes de IA.

No Moltbook, perfis supostamente automatizados escreviam mensagens, reagiam e até buscavam “espaços privados” para conversas, o que alimentou a narrativa de uma comunidade de máquinas organizando-se sozinhas. A interligação direta com o OpenClaw — que oferece integração com aplicativos como WhatsApp, Discord, iMessage e Slack, além de conectar-se a modelos de linguagem estabelecidos como Claude, ChatGPT, Gemini e Grok — contribuiu para a percepção de que a plataforma estaria habilitando diálogos genuinamente artificiais em tempo real.

A facilidade de baixar “habilidades” na loja ClawHub e automatizar tarefas diversas, de filtragem de e-mails a execução de ordens de compra e venda no mercado financeiro, reforçou o ímpeto experimental. Assim, tanto curiosos quanto profissionais de tecnologia passaram a acompanhar o Moltbook em busca de indícios de um suposto “ambiente de IA sem supervisão”.

Falhas de segurança expõem fragilidade do OpenClaw e da rede experimental

Com o aumento do tráfego na plataforma, especialistas conduziram auditorias independentes e descobriram vulnerabilidades relevantes. Ian Ahl, diretor de tecnologia da Permiso Security, constatou que credenciais presentes no banco de dados Supabase ficaram expostas durante certo período. Esse descuido permitiu que qualquer visitante obtivesse tokens de autenticação e assumisse a identidade de contas previamente tidas como bots.

Essa brecha tornou impossível confirmar se cada publicação era de fato gerada por um agente artificial ou por um humano mascarado. Ao mesmo tempo, John Hammond, pesquisador principal de segurança da Huntress, verificou que usuários podiam criar perfis livremente, simular comportamento robótico e até aumentar artificialmente a visibilidade de conteúdos. Esses fatores, juntos, minaram a confiabilidade do experimento e levantaram discussões sobre a maturidade das defesas planejadas para soluções baseadas em OpenClaw.

O caso ganhou repercussão quando mensagens dentro do Moltbook sugeriram que os supostos agentes buscavam conversar longe dos olhos públicos. A narrativa foi considerada por Andrej Karpathy — ex-diretor de IA da Tesla e membro fundador da OpenAI — como um momento comparável a ficções científicas. A fala descreve a surpresa com a premissa original, mas não invalida a posterior constatação de que humanos tiveram participação direta nas conversas.

Quem são os especialistas que analisam o OpenClaw

O debate técnico envolveu profissionais de perfis variados. Peter Steinberger, autor do código, lidera a comunidade que mantém o repositório. Ian Ahl, da Permiso Security, concentrou seu estudo na exposição de tokens e credenciais. John Hammond, da Huntress, avaliou a possibilidade de atores mal-intencionados impulsionarem publicações e criarem personagens inverídicos.

Além deles, Chris Symons, cientista-chefe de IA da Lirio, definiu o OpenClaw como uma melhoria incremental que viabiliza a conexão de agentes a múltiplos sistemas sem mudanças disruptivas na tecnologia de base. Artem Sorokin, engenheiro de IA e fundador da ferramenta de cibersegurança Cracken, endossou a visão de que a contribuição principal do projeto foi combinar recursos já existentes de forma mais coesa, sem criar algoritmos inéditos.

As declarações convergem em um ponto: embora o OpenClaw amplie o acesso a modelos de linguagem e facilite automações, ele não resolve por completo os desafios de segurança que surgem quando se confere a agentes grande autonomia em ambientes sensíveis.

Riscos de prompt injection testados no OpenClaw

Entre os testes divulgados, a técnica de prompt injection destacou-se como vulnerabilidade crítica. Nesse método, comandos maliciosos são inseridos no fluxo de conversa com o objetivo de induzir o agente a executar ações fora de seu escopo original, como divulgar senhas internas ou iniciar transferências de recursos.

Em ambientes corporativos que adotam OpenClaw para orquestrar tarefas em escala — por exemplo, leitura de e-mails, acesso a sistemas internos e interação com clientes —, um ataque bem-sucedido pode expor dados confidenciais ou provocar movimentações financeiras não autorizadas. Embora existam mecanismos de filtragem, pesquisadores ressaltam que não há garantia absoluta de bloqueio para todas as formas de manipulação de prompt.

A própria amplitude das integrações favorece a superfície de ataque: quanto mais plataformas conectadas a um agente, maior o número de credenciais em circulação e de potenciais pontos de comprometimento. Assim, o desafio passa a ser equilibrar produtividade e governança, sem sacrificar a confidencialidade dos recursos corporativos.

Produtividade versus confiança: o futuro imediato do OpenClaw

Os números alcançados pelo repositório no GitHub indicam entusiasmo da comunidade de desenvolvedores. A possibilidade de reunir, em um mesmo fluxo, modelos consagrados e interfaces populares como WhatsApp ou Slack cria oportunidades para automação rápida de processos rotineiros. A loja ClawHub, com “habilidades” prontas para download, baixa a barreira de entrada para usuários sem experiência de programação.

Contudo, especialistas lembram que a produtividade prometida pressupõe conceder permissões extensas aos agentes. Se tokens puderem ser roubados ou prompts forem manipulados, as atividades realizadas em nome do usuário deixam de ser confiáveis. John Hammond frisa esse paradoxo: quanto mais autonomia se entrega, maior é o risco inerente, considerando que a camada de proteção ainda está em desenvolvimento.

Para o público geral, a recomendação divulgada pelos pesquisadores é de cautela. Em especial, ambientes empresariais que dependem de e-mails estratégicos, bancos de dados sigilosos e plataformas internas críticas devem avaliar, caso a caso, quais tarefas podem ser terceirizadas a agentes baseados no OpenClaw e quais requerem supervisão humana constante.

Enquanto isso, o Moltbook permanece como um laboratório social onde novas iterações de agentes artificialmente inteligentes — ou perfis humanos disfarçados — continuam a interagir. O teste contínuo dessas interações fornecerá evidências adicionais sobre a real eficácia das salvaguardas implementadas e sobre o patamar de maturidade que a comunidade espera atingir.

Por ora, o próximo ponto de atenção é a atualização de segurança anunciada pelos mantenedores do OpenClaw, voltada ao reforço da gestão de tokens e à inclusão de filtros automáticos contra prompt injection. A comunidade técnica aguarda o pacote de correções para reavaliar o nível de exposição da plataforma.