Blogs & Artigos

⚠️ OpenClaw: Por que os especialistas em cibersegurança recomendam assumir que você está comprometido
08 avril 2026
Autor Peter Senn
#OpenClaw #segurança cibernética #agentes de IA #CVE #Docker #segurança para PMEs #ClawHub #vulnerabilidade #cadeia de suprimentos #escalada de privilégios
  • Mis à jour le:

    • ⚠️ OpenClaw: Por que os especialistas em cibersegurança recomendam assumir que você está comprometido

    🔄 Atualização 20 de abril de 2026 — A versão mínima recomendada é agora OpenClaw ≥ 2026.4.14 (e não mais 2026.3.28). O lote de patches de abril de 2026 adicionou pelo menos 13 novas CVEs, incluindo CVE-2026-35639 (CVSS 8.7), CVE-2026-34511 (OAuth PKCE), CVE-2026-35636 (sequestro de sessionId) e CVE-2026-40037 (SSRF cross-origin). O ritmo de publicação de CVEs não diminui — a postura «parta do princípio de que está comprometido» permanece mais atual do que nunca.
     
    Alerta ativo: Este alerta diz respeito a todas as versões do OpenClaw anteriores a 2026.4.14. Se ainda não atualizou, trate o seu ambiente como potencialmente comprometido.

    OpenClaw (anteriormente Clawdbot e depois Moltbot, renomeado em janeiro de 2026) é um framework de agente de IA de código aberto que permite que um assistente de IA aja em nome de um usuário — arquivos, Slack, Discord, Telegram, compras online — usando seus próprios acessos e permissões. Lançado em novembro de 2025, atingiu 347.000 estrelas no GitHub em menos de seis meses. Em cinco meses também, 138 CVEs foram associadas a ele — incluindo 7 críticas, 49 de severidade alta. Se você ou sua equipe usam OpenClaw, a postura recomendada pelos especialistas é inequívoca: assuma que você está comprometido.

    Pontos-chave a serem lembrados

    • CVE-2026-25253 (CVSS 8.8): RCE em 1 clique via WebSocket, 35,4% das implementações observadas vulneráveis ao RCE
    • CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9): controle de administrador sem credenciais
    • 12% das skills ClawHub maliciosas em fevereiro de 2026 (341 de 2.857) — 824+ ativas em 3 de abril de 2026 (campanha ClawHavoc)
    • +135.000 instâncias expostas em 82 países, incluindo 63% sem autenticação (SecurityScorecard STRIKE, fevereiro de 2026)
    • A Microsoft desaconselha qualquer implementação em um dispositivo que contenha dados confidenciais (19/02/2026)
    • Versão mínima recomendada: 2026.3.28

    O que é OpenClaw?

    OpenClaw (anteriormente Clawdbot e depois Moltbot — três nomes sucessivos em janeiro de 2026) é um framework de agente de IA de código aberto que permite que um assistente de IA automatize ações em nome de um usuário humano — acesso a arquivos locais e de rede, mensagens Slack e Discord, gerenciamento de Telegram, transações online, execução de tarefas em serviços de terceiros — usando os mesmos direitos e credenciais que o usuário.

    Lançado em novembro de 2025, o OpenClaw atingiu 347.000 estrelas no GitHub em menos de seis meses. Sua popularidade é viral. Seu modelo de segurança, por outro lado, é fundamentalmente frágil: o agente tem os mesmos direitos que o usuário, conectado a todos os seus serviços. Uma falha não compromete um componente isolado — ela compromete tudo o que o agente tinha acesso.

    Cronologia dos incidentes (novembro de 2025 – abril de 2026)

    Data Incidente Severidade
    Novembro de 2025 Lançamento do OpenClaw (ex-Clawdbot, depois Moltbot, renomeado OpenClaw em janeiro de 2026), adoção viral — 347.000 ⭐ GitHub
    29 de janeiro – 3 de fevereiro de 2026 CVE-2026-25253 (CVSS 8.8): RCE em 1 clique via WebSocket local. Patch v2026.1.29 lançado em 29 de janeiro de 2026; divulgação pública em 3 de fevereiro de 2026. 35,4% das implementações observadas vulneráveis ao RCE. 🔴 Crítica
    Fevereiro de 2026 Campanha ClawHavoc (Koi Security): 341 skills maliciosas de 2.857 auditadas (12%) — keyloggers e credential stealers 🔴 Crítica
    19 de fevereiro de 2026 Microsoft Security Blog: guia oficial desaconselhando a implementação em qualquer dispositivo que contenha dados confidenciais 🟠 Alerta
    Março de 2026 CVE-2026-22172 (CVSS 9.9): autodeclaração de escopos de administrador via WebSocket — todas as versões anteriores a 2026.3.12 🔴 Crítica
    19 de março de 2026 CVE-2026-32038: contorno do isolamento de rede Docker via network=container:. Corrigido no OpenClaw 2026.2.24 🔴 Crítica
    13-29 de março de 2026 CVE-2026-32922 (CVSS 9.9): escalada via device.token.rotate. Patch v2026.3.11 lançado em 13 de março; publicação CVE em 29 de março. +135.000 instâncias expostas em 82 países, 63% sem autenticação (SecurityScorecard STRIKE, fevereiro de 2026; retomado pela ARMO, março de 2026) 🔴 Crítica
    3 de abril de 2026 Ars Technica: "Assume compromise" — 3 novas vulnerabilidades de severidade alta a crítica, incluindo CVE-2026-33579 (CVSS até 9.8). 824+ skills maliciosas ativas 🔴 Crítica

    138 CVEs rastreadas entre fevereiro e abril de 2026 — incluindo 7 críticas e 49 de severidade alta (rastreador GitHub jgamblin/OpenClawCVEs; análise retomada pela Blink Security, abril de 2026)

    As 5 principais vulnerabilidades decifradas

    CVE-2026-25253 — Execução de código remoto em 1 clique (CVSS 8.8)

    RCE (Remote Code Execution): vulnerabilidade que permite que um invasor remoto execute código arbitrário na máquina de destino, sem acesso físico ou interação do usuário além de uma simples visita a uma página da web maliciosa.

    A vulnerabilidade explora o gateway WebSocket do OpenClaw (porta 18789 por padrão, validação de origem insuficiente). Uma simples visita a uma página comprometida foi suficiente para comprometer a máquina. 35,4% das implementações observadas foram vulneráveis ao RCE (SecurityScorecard STRIKE, fevereiro de 2026). O patch v2026.1.29 foi lançado em 29 de janeiro de 2026, 5 dias antes da divulgação pública em 3 de fevereiro de 2026 (ProArch Security, março de 2026).

    CVE-2026-22172 — Declaração de administrador via WebSocket (CVSS 9.9)

    Os clientes WebSocket podiam se autodeclarar com escopos de administrador, contornando totalmente a autenticação. Afeta todas as versões anteriores a 2026.3.12.

    CVE-2026-32038 — Contorno do isolamento de rede Docker (corrigido no OpenClaw 2026.2.24)

    Através do parâmetro network=container:, um agente acessava o namespace de rede de outros contêineres — banco de dados, serviços internos, APIs privadas. Exigia acesso de operador confiável prévio.

    CVE-2026-32922 — Escalação via device.token.rotate (CVSS 9.9)

    Mais de 135.000 instâncias expostas na internet em 82 países — incluindo 63% sem qualquer autenticação (SecurityScorecard STRIKE, fevereiro de 2026; retomado pela ARMO Security, março de 2026)

    A função device.token.rotate não restringia os escopos dos novos tokens gerados. Um invasor com o nível de permissão mais baixo obteve controle administrativo completo. O patch foi lançado na versão 2026.3.11 em 13 de março de 2026; a CVE foi publicada em cve.org em 29 de março de 2026.

    CVE-2026-33579 — Escalação via /pair approve (CVSS até 9.8)

    O comando /pair approve não transmitiu os escopos de segurança do solicitante na verificação de autorização central. Corrigido na versão 2026.3.28. A pontuação CVSS oficial ainda não foi publicada pelo NVD na data deste artigo; a pontuação “até 9.8” é relatada por Ars Technica e Blink Security (abril de 2026).

    A supply chain ClawHub: 824+ skills maliciosas ativas

    Credential stealer: software malicioso que captura e exfiltra silenciosamente as credenciais de autenticação — tokens OAuth, chaves de API, variáveis de ambiente — para servidores controlados pelo invasor, sem qualquer ação visível do usuário.

    Em fevereiro de 2026, pesquisadores da Koi Security detectaram a campanha ClawHavoc: skills distribuídas através do ClawHub oficial, disfarçadas de ferramentas de produtividade (Gmail, Notion, Slack, GitHub), incorporando código malicioso.

    Números-chave (Koi Security, fevereiro de 2026): 341 skills maliciosas identificadas em 2.857 auditadas (12%), incluindo 335 atribuídas à mesma campanha ClawHavoc. Esse número aumentou desde então: mais de 824 skills maliciosas ativas listadas em 3 de abril de 2026 (Blink Security, abril de 2026), incluindo keyloggers e credential stealers visando tokens OAuth, chaves de API e variáveis de ambiente.

    Docker e VM: proteção insuficiente

    Vetor de ataque Docker sozinho VM dedicada Docker + 5 flags
    CVE-2026-25253 (RCE WebSocket) ⚠️ Parcial
    CVE-2026-32038 (namespace de rede) ❌ antes do OpenClaw 2026.2.24
    CVE-2026-22172 (escopo de administrador automático)
    CVE-2026-32922 (device.token.rotate)
    Skills maliciosas ClawHub ⚠️ Parcial ⚠️ Parcial
    Exploit kernel (kernel compartilhado)
    Microsoft Security Blog (19/02/2026): “O runtime pode ingerir texto não confiável, baixar e executar skills de fontes externas e executar ações com as credenciais que lhe são atribuídas — sem controles equivalentes sobre identidade, gerenciamento de entrada ou escopo de privilégios. (...) Se uma organização determinar que o OpenClaw deve ser avaliado, ele deve ser implementado apenas em um ambiente totalmente isolado — VM dedicada, credenciais não privilegiadas, acesso limitado a dados não confidenciais, monitoramento contínuo e plano de reconstrução.”
    Microsoft Security Blog, 19 de fevereiro de 2026

    Para lembrar: O Docker reduz o raio de impacto. Não garante invulnerabilidade. Um contêiner Docker compartilha o kernel host — uma vulnerabilidade do kernel compromete todos os contêineres da máquina. O Docker contorna as regras UFW modificando o iptables diretamente — seu firewall VM não protege seus contêineres por padrão.

    O que você deve fazer agora

    Atualizações obrigatórias

    • Atualizar para OpenClaw 2026.3.28 mínimo (corrige CVE-2026-33579)
    • CVE-2026-32922 já está corrigido desde o OpenClaw 2026.3.11 (13 de março de 2026)
    • OpenClaw ≥ 2026.2.24 corrige CVE-2026-32038

    5 flags Docker de reforço obrigatórios

    docker run \
  --user nobody \
  --read-only \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  # NUNCA monte o socket Docker (/var/run/docker.sock)

    Firewall e rede

    • Configurar UFW através das cadeias iptables DOCKER-USER (as regras UFW padrão não se aplicam aos contêineres)
    • Bloquear a porta 18789 em exposição pública
    • Vincular o gateway WebSocket a 127.0.0.1 apenas (nunca 0.0.0.0)

    Auditoria e revogação

    • Auditar cada skill instalado do ClawHub entre novembro de 2025 e o final de fevereiro de 2026
    • Revogar e regenerar todos os tokens e chaves de API conectados ao OpenClaw
    • Tratar cada sessão passada como potencialmente comprometida

    FAQ — Perguntas frequentes sobre a segurança do OpenClaw

    Atualizar para 2026.3.28 é suficiente para estar protegido?

    O patch corrige as vulnerabilidades conhecidas em 3 de abril de 2026. Não corrige o que potencialmente aconteceu durante as semanas de exposição. Se o OpenClaw estava em produção antes do patch, a postura recomendada permanece: revogar todos os tokens, redefinir todas as credenciais, tratar o ambiente como potencialmente comprometido.

    O Docker me protege das vulnerabilidades do OpenClaw?

    Não, não totalmente. CVE-2026-25253 (RCE WebSocket) e CVE-2026-22172 (escopo de administrador) não são mitigadas apenas pelo Docker. CVE-2026-32038 contornou especificamente o isolamento de rede do Docker. Os 5 flags de reforço devem ser aplicados além da atualização para 2026.3.28.

    Quantas instâncias do OpenClaw estão expostas na internet?

    De acordo com os dados de segurança de fevereiro de 2026, mais de 135.000 instâncias do OpenClaw estão expostas na internet em 82 países. Entre elas, 63% funcionam sem qualquer autenticação (SecurityScorecard STRIKE, fevereiro de 2026; retomado pela ARMO Security, março de 2026) — significando que qualquer visitante da rede pode solicitar acesso de pareamento sem fornecer credenciais.

    O que fazer se eu instalei skills do ClawHub antes de março de 2026?

    Auditar cada skill instalado entre novembro de 2025 e o final de fevereiro de 2026. As skills disfarçadas de ferramentas de produtividade (Gmail, Notion, Slack, GitHub) são particularmente suspeitas. Em caso de dúvida: desinstalar a skill, revogar todas as credenciais às quais o OpenClaw tinha acesso, regenerar as chaves de API associadas.

    O OpenClaw pode ser usado de forma segura em uma empresa?

    Microsoft Security Blog (19/02/2026): “Não é apropriado executá-lo em um dispositivo pessoal ou corporativo padrão. Se uma organização determinar que o OpenClaw deve ser avaliado, ele deve ser implementado apenas em um ambiente totalmente isolado — VM dedicada, credenciais não privilegiadas, acesso apenas a dados não confidenciais, monitoramento contínuo e plano de reconstrução.”

    O problema é específico do OpenClaw ou estrutural para agentes de IA?

    O problema é estrutural. Um agente de IA operando com os amplos direitos do usuário, conectado a vários serviços, cria uma superfície de ataque excepcional. Uma falha não compromete um componente isolado — ela compromete tudo o que o agente tinha acesso. OpenClaw é um caso de estudo, não uma exceção. O modelo atual “um agente, amplo acesso a tudo” é fundamentalmente frágil.

    Quais são os indicadores de comprometimento a serem monitorados?

    Atividade incomum em suas contas Slack, Discord, Telegram ou GitHub; tokens OAuth revogados ou regenerados sem ação de sua parte; novas sessões ativas em serviços aos quais o OpenClaw tinha acesso; arquivos criados, modificados ou excluídos sem ação identificável; solicitações de rede de saída para domínios desconhecidos do servidor que hospeda o OpenClaw.

    Você tem dúvidas sobre sua postura de segurança em relação aos agentes de IA?
    Nossos especialistas da Bexxo podem ajudá-lo com uma auditoria ou conformidade.
    → Entre em contato conosco em bexxo.ch

    Fontes

    Pesquisar um artigo

    Categorias

    Agentes de IA
    Alertas de segurança
    Segurança cibernética

    Tags

    #CVE #ClawHub #Docker #OpenClaw #agentes de IA #cadeia de suprimentos #escalada de privilégios #segurança cibernética #segurança para PMEs #vulnerabilidade

    Mais vistos

    ⚠️ OpenClaw: Por que os especialistas em cibersegurança recomendam assumir que você está comprometido
    ⚠️ OpenClaw: Por que os especialistas em cibersegurança recomendam assumir que você está comprometido 08 avr. 2026
    As informações apresentadas no CVE Find originam-se de várias fontes de referência cuidadosamente selecionadas. Os dados CVE são fornecidos pela MITRE Corporation e pelo National Vulnerability Database (NVD). O catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) é proveniente da Cybersecurity and Infrastructure Security Agency (CISA), enquanto as pontuações EPSS vêm do FIRST.org. Além disso, os dados sobre fraquezas de software (CWE) e padrões de ataque comuns (CAPEC) são mantidos pela MITRE Corporation, e as informações sobre configurações de hardware e software (CPE) são fornecidas pelo NVD.