Para quem esteve um pouco desconectado do mundo digital nos últimos dias e ainda não sabe do que se trata o OpenClaw, vale um breve resumo. Trata-se de um agente pessoal de IA de código aberto cujas capacidades vão muito além de simplesmente responder perguntas.

Diferentemente dos chatbots tradicionais, que dependem de comandos diretos do usuário, o OpenClaw é executado localmente na máquina e pode gerenciar e-mails, enviar mensagens por aplicativos como o WhatsApp, automatizar tarefas do sistema e controlar arquivos locais. Em outras palavras, ele atua de forma autônoma no computador do usuário.

Apesar de ter mudado de nome duas vezes em pleno crescimento, começou como Clawdbot e depois passou a se chamar Moltbot, sua popularidade não diminuiu. Pelo contrário, a ferramenta ganhou ainda mais visibilidade.

No entanto, é preciso cautela. Como ocorre com toda tecnologia que se populariza rapidamente, o avanço do OpenClaw também levanta preocupações, especialmente do ponto de vista da cibersegurança. A seguir, analisamos os principais riscos associados ao seu uso e discutimos como a ferramenta pode ser adotada de forma responsável e segura.

O que é o OpenClaw e como ele funciona?

O OpenClaw é um agente de IA projetado para executar ações de forma autônoma no ambiente do usuário e, por isso, pode se integrar a aplicativos, serviços e ao sistema operacional. Criada por Peter Steinberger, a ferramenta conta com um site oficial ativo.

Imagem 1. Site oficial do OpenClaw.

Algo que chamou a atenção é que ele mudou de nome duas vezes em pleno auge. Primeiro, passou de Clawdbot para Moltbot, possivelmente por conflitos de marca registrada. E, no último dia 30 de janeiro, foi renomeado novamente, desta vez como OpenClaw.

O que o diferencia dos chatbots atuais é que ele não se limita a responder perguntas. O OpenClaw pode executar diversas tarefas e até tomar decisões encadeadas, tudo isso sem a necessidade de intervenção constante do usuário.

Executado localmente na máquina do usuário, ele pode interagir com e-mails, navegadores, arquivos do sistema, aplicativos de mensagens, calendários, entre outros recursos. Um ponto importante a considerar é que a ferramenta utiliza as permissões do próprio sistema para operar.

Na prática, o funcionamento segue este fluxo:

  1. O usuário define objetivos ou tarefas.
  2. O OpenClaw interpreta a intenção do usuário.
  3. A ferramenta organiza a tarefa em etapas.
  4. As ações são executadas com as ferramentas disponíveis no sistema.
  5. O comportamento é ajustado de acordo com os resultados obtidos.

Aqui está um ponto fundamental para entender o que é o OpenClaw. Ele funciona como uma espécie de torre de controle apoiada em modelos de terceiros. A "inteligência" vem desses modelos, enquanto a capacidade de ação fica a cargo do OpenClaw. Para isso, a ferramenta precisa de diversos tipos de acesso, como:

  • Contas, incluindo e-mail e aplicativos de mensagens.
  • Históricos de navegação e de uso.
  • Arquivos armazenados localmente.
  • Tokens, chaves de API e sessões ativas.

Que tipo de informação entra em jogo ao usar o OpenClaw

Tudo o que foi mencionado até aqui evidencia a quantidade e a sensibilidade das informações envolvidas no uso do OpenClaw. Entre os principais tipos de dados que entram em jogo, destacam-se:

  • Informações fornecidas explicitamente pelo usuário: este é o ponto mais evidente. Ao solicitar, por exemplo, que o OpenClaw responda a um e-mail, o usuário compartilha voluntariamente seu conteúdo. O mesmo vale para mensagens, arquivos, anotações e outros tipos de informação.
  • Informações às quais o agente precisa acessar para agir: nem sempre visíveis, esses dados incluem acesso à conta de e-mail, serviços de mensagens (chats e históricos), contatos, calendários, navegadores, arquivos locais e até sessões ativas.
  • Dados de autenticação e de sessão: envolvem tokens de acesso, cookies de sessão, chaves de API e credenciais. Na prática, são os elementos que permitem ao OpenClaw operar como se fosse o próprio usuário.
  • Histórico e contexto acumulado: para funcionar conforme projetado, o OpenClaw mantém e utiliza registros de ações, conversas anteriores, decisões já tomadas e contextos relacionados aos hábitos e rotinas do usuário.
  • Metadados e padrões de comportamento: embora muitas vezes subestimados, esses dados incluem horários de atividade, frequência de uso, prioridades implícitas e relações entre contatos. Quando combinadas, essas informações podem ser altamente reveladoras.
  • Informações de terceiros: um ponto crítico que pode passar despercebido. O OpenClaw pode acessar dados de contatos que não utilizam o agente de IA, mensagens recebidas de outras pessoas e documentos compartilhados por terceiros.

Riscos de segurança associados ao OpenClaw

O acesso do OpenClaw a um volume tão amplo de informações pode expor os usuários a diversos riscos de cibersegurança. Vale destacar um ponto central: o principal problema não está, necessariamente, em uma falha específica da ferramenta, mas no nível de acesso exigido para que ela cumpra sua função.

Muitos acessos concentrados em um único ponto

Na prática, o OpenClaw funciona como um nó central no qual convergem e-mails, aplicativos de mensagens, arquivos, calendários, sessões ativas e chaves de API. Caso esse ponto seja comprometido, o impacto tende a ser amplo e transversal, não se limitando a uma única conta ou serviço.

Esse risco não é apenas teórico. Pesquisas de segurança já identificaram painéis de administração do OpenClaw expostos publicamente na internet devido a configurações incorretas, o que evidencia o potencial de exploração quando controles adequados não são aplicados.

Elo crítico

Por ser executado localmente, a segurança do OpenClaw depende diretamente da segurança do dispositivo do usuário. Isso significa que malwares, trojans ou acessos remotos não autorizados podem herdar os mesmos privilégios concedidos à ferramenta. Nesse cenário, não há o isolamento típico de alguns serviços em nuvem.

Em outras palavras, o cibercriminoso não precisa explorar uma vulnerabilidade específica do OpenClaw. Basta comprometer o equipamento para obter acesso a tudo o que o agente consegue alcançar.

Manipulação por meio de conteúdo externo

Já foram documentados casos em que um simples e-mail foi suficiente para induzir o OpenClaw a vazar informações privadas ao interpretar o conteúdo da mensagem como uma instrução legítima. Quando o agente possui permissão para ler e enviar e-mails, conteúdos maliciosos inseridos em mensagens externas podem acionar comportamentos indesejados, como o resumo ou o reenvio de dados sensíveis, sem autorização explícita do usuário.

Acesso persistente e silencioso

O OpenClaw utiliza tokens e sessões que permanecem ativos ao longo do tempo e, além disso, muitas de suas ações não exigem confirmação humana. Esse modelo faz com que usos indevidos possam ocorrer de forma silenciosa, favorecendo abusos prolongados sem que o usuário perceba.

Exposição de informações

A criticidade desse risco está no fato de o OpenClaw ter acesso a históricos completos, conversas anteriores, rotinas e hábitos do usuário. Esse contexto acumulado é justamente o que aumenta o valor das informações para cibercriminosos, tornando eventuais vazamentos ainda mais sensíveis.

Dependência das configurações do usuário

Assim como acontece com outras ferramentas digitais, a segurança real do OpenClaw depende de como as chaves de API são gerenciadas, onde os tokens são armazenados, quais permissões são concedidas e quais serviços são integrados. Um erro de configuração pode resultar em exposição involuntária de dados.

Os problemas do hype: sites falsos, malware e roubo de dados

Não é novidade. Quando um tema "explode" na internet, como vem acontecendo com o OpenClaw, os cibercriminosos não perdem a oportunidade de explorar o interesse do público. Surgem sites que se passam pelos canais oficiais, extensões falsas usadas para distribuir malware e campanhas de engenharia social, entre outras ameaças.

Sites e downloads falsos

O interesse em torno do OpenClaw é tão grande que já existem páginas que tentam se passar pelas oficiais, além de links patrocinados enganosos e downloads que prometem ser a versão legítima da ferramenta. Para agravar o cenário, as mudanças de nome de Clawdbot para Moltbot e, posteriormente, para OpenClaw geraram confusão entre os usuários, o que também foi explorado por cibercriminosos.

Alguns exemplos atuais ilustram esse cenário:

  • molt-bot.io
  • molt-bot.net
  • moltbotai.cloud
  • clawdbotai.app
  • clawdbot.online
  • clawdbot.win

Embora o usuário acredite estar baixando o OpenClaw, na prática pode se tratar de sites não oficiais e potencialmente maliciosos, criados especificamente para atrair vítimas.

Imagem 2. Já existem sites potencialmente maliciosos que tentam se passar pelo agente anteriormente conhecido como Moltbot.

"Extras" que prometem melhorar o OpenClaw

O interesse e a curiosidade em torno do OpenClaw também podem levar usuários a buscar atalhos ou supostas melhorias de funcionalidade, como plugins, scripts e configurações especiais.

No entanto, é preciso cautela. Muitos desses complementos não têm qualquer vínculo com o projeto oficial e podem, na realidade, ser ferramentas desenvolvidas por cibercriminosos com o objetivo de infectar dispositivos com malware.

Mensagens que exploram a urgência

O aumento do interesse em torno do OpenClaw também pode resultar em campanhas de e-mails e mensagens que exploram a urgência e a curiosidade dos usuários. As iscas variam desde alertas como "Atualize o OpenClaw agora" até supostas "configurações recomendadas para novos usuários".

Ao cair nesse tipo de golpe, o usuário pode acabar concedendo acesso a informações sensíveis, como e-mails, sessões ativas, credenciais e históricos completos.

Conteúdo manipulado para induzir ações não autorizadas

O cibercrime também pode explorar a lógica de funcionamento do OpenClaw ao enviar conteúdos cuidadosamente elaborados, como um e-mail, para que o agente interprete a mensagem como uma instrução legítima.

Nesse cenário, sem a necessidade de explorar vulnerabilidades técnicas ou instalar malware, um ator malicioso pode induzir o assistente a acessar informações privadas e enviá-las a terceiros, valendo-se das permissões que o próprio usuário concedeu.

O OpenClaw torna-se especialmente atraente para golpes porque seus usuários confiam que ele atue em seu nome, concedem amplos privilégios e centralizam nele informações sensíveis. Para um cibercriminoso, comprometê-lo pode ser muito mais lucrativo do que atacar uma única conta isoladamente.

Boas práticas ao usar o OpenClaw

Como ocorre com qualquer tecnologia, o OpenClaw não é perigoso por si só. Os riscos surgem quando a ferramenta é utilizada sem os devidos cuidados ou sem a adoção de critérios básicos de segurança. Algumas boas práticas ajudam a reduzir significativamente esses riscos:

  • Baixe apenas de fontes oficiais: embora pareça óbvio, este é um dos erros mais comuns, especialmente com ferramentas que ganham popularidade rapidamente. Verifique o site oficial, confirme se o repositório é o correto e desconfie de links alternativos ou patrocinados. Em caso de dúvida, o mais seguro é não baixar nada.
  • Conceda apenas as permissões mínimas necessárias: nem tudo precisa estar conectado desde o primeiro momento. O ideal é integrar um serviço por vez, evitar acessos desnecessários e revisar com atenção o que o agente pode fazer.
  • Não compartilhe informações sensíveis sem necessidade: essa recomendação vale para qualquer sistema de IA. Evite inserir senhas, dados financeiros ou utilizar a ferramenta para gerenciar informações críticas sem compreender claramente os riscos envolvidos. Automatizar tarefas não deve significar delegar tudo sem critério.
  • Proteja o dispositivo onde o OpenClaw é executado: como a ferramenta herda a segurança do equipamento, é fundamental manter o sistema operacional atualizado, utilizar uma solução de segurança confiável, adotar senhas fortes e bloqueio automático, além de evitar o uso em dispositivos compartilhados.
  • Tenha cuidado especial com chaves de API: trate-as como o que realmente são, chaves mestras. Evite armazená-las em texto simples, faça a rotação periódica e limite seu escopo sempre que possível. Uma única chave vazada pode abrir mais de uma porta.
  • Desconfie de plugins, scripts e "melhorias milagrosas": promessas exageradas costumam ser um sinal de alerta. Verifique quem desenvolveu o complemento, leia comentários e relatos de outros usuários e evite integrações de origem duvidosa.
  • Monitore as ações do OpenClaw: mesmo com tarefas automatizadas, é recomendável acompanhar o que o agente faz, revisar históricos e identificar comportamentos incomuns. Esse cuidado é ainda mais importante diante de relatos públicos que mostram ser possível induzir o OpenClaw, por meio de conteúdos cuidadosamente elaborados, a vazar informações privadas.