Palo Alto Networks encontrou cinco habilidades maliciosas para o agente de AI OpenClaw na plataforma ClawHub

O time Unit 42 da Palo Alto Networks identificou cinco habilidades maliciosas na plataforma ClawHub — o marketplace oficial do agente de IA OpenClaw. Usando essas habilidades, atacantes infectavam dispositivos de usuários com stealers — malware especializado em roubar senhas, tokens de sessão e dados de carteiras de criptomoedas.

O que é OpenClaw e ClawHub

OpenClaw é um agente de IA com um ecossistema aberto de complementos: desenvolvedores criam habilidades — componentes modulares que estendem a funcionalidade do agente — e as publicam no ClawHub para acesso público. Em princípio, isso se assemelha à Chrome Web Store ou às lojas de plugins para IDE: você seleciona a ferramenta necessária, a instala com um clique e a usa. Exatamente esse modelo se mostrou vulnerável.

Usuários que contam com o marketplace oficial normalmente não revisam manualmente o código de cada habilidade — eles esperam que a plataforma já tenha verificado os componentes publicados. Atacantes exploraram exatamente essa confiança. O ClawHub se posiciona como um catálogo seguro de extensões verificadas — o que torna o ocorrido particularmente alarmante para toda a audiência do agente.

Como o Ataque Funcionava

Cinco habilidades maliciosas pareciam externamente ferramentas de produtividade comuns. Nas descrições do ClawHub, imitavam utilitários para automação de tarefas, manipulação de arquivos e integração com serviços externos — um conjunto típico para quem quer estender as capacidades do agente. Após a instalação, a habilidade ativava código oculto que funcionava em paralelo com as funções padrão. A análise do Unit 42 documentou as seguintes capacidades do stealer:

• roubo de senhas salvas em navegadores (Chrome, Firefox, Edge)
• extração de dados de carteiras de criptomoedas e frases-seed
• interceptação de cookies e tokens de sessão ativa
• coleta de dados de formulários de preenchimento automático
• transmissão de todas as informações coletadas para servidores dos atacantes

O malware se disfarçava como processos de background padrão do agente — é por isso que as ferramentas antivírus convencionais tinham dificuldade em detectá-lo. Sem análise comportamental especializada, um usuário poderia não notar a infecção por semanas.

Palo Alto Networks não divulgou os nomes das habilidades comprometidas, mas confirmou: todas as cinco foram enviadas através da interface oficial do ClawHub.

Um Novo Vetor de Ameaça

A maioria das discussões sobre segurança de sistemas de IA se concentra em vulnerabilidades dos próprios modelos — jailbreaks, injeções de prompt, desvios de filtros de conteúdo. Um ataque através do ecossistema de habilidades é fundamentalmente diferente: por natureza está mais próximo de um ataque à cadeia de suprimentos em uma pilha de software do que de manipulação de LLM. Marketplaces de extensões para agentes de IA estão experimentando rápido crescimento com mecanismos de segurança imaturos — muito como as lojas de plugins de navegador nos primeiros anos 2010 ou o registro npm antes dos primeiros incidentes de alto perfil com pacotes maliciosos.

Atacantes sabem como encontrar exatamente essas janelas de vulnerabilidade e explorá-las antes que a indústria consiga desenvolver padrões de proteção.

"Os usuários estão acostumados a confiar nas lojas oficiais de extensões.

Atacantes exploram essa confiança diretamente", — observam os analistas do Unit 42.

O fato de que habilidades maliciosas passaram no upload para o ClawHub indica tanto a ausência de verificação automática de código quanto seu desvio bem-sucedido. Isso coloca para toda a indústria a questão sobre padrões de verificação para componentes de agentes de IA.

O Que Isso Significa

À medida que cresce a popularidade dos ecossistemas abertos de habilidades de IA, a segurança de seus marketplaces se torna uma tarefa crítica — equiparável à segurança dos registros de pacotes na programação tradicional. Ameaças aos sistemas de IA estão cada vez menos relacionadas aos próprios modelos e cada vez mais relacionadas ao seu ambiente: plugins, integrações, ecossistemas. Recomenda-se aos usuários do OpenClaw que verifiquem a lista de extensões instaladas e removam qualquer coisa cuja origem ou comportamento levante preocupações.