O crescimento do OpenClaw foi extraordinário. Mas com 180.000 estrelas no GitHub e implantações em 82 países vem uma realidade menos confortável: o projeto se tornou um alvo. E governos começaram a prestar atenção.
Este artigo cobre o panorama de segurança até fevereiro de 2026 — as vulnerabilidades descobertas, as respostas governamentais, as proibições corporativas e o que a nova estrutura de fundação pode significar para a governança de segurança daqui em diante.
A vulnerabilidade que mudou a conversa
No início de fevereiro de 2026, pesquisadores divulgaram a CVE-2026-25253, uma vulnerabilidade crítica de execução remota de código com um clique e pontuação CVSS de 8.8 (Alta).
A falha estava na Control UI do OpenClaw. A interface confiava automaticamente em qualquer URL de gateway passada como parâmetro de consulta e abria uma conexão WebSocket que incluía o token de autenticação armazenado do usuário. Um atacante podia criar um link malicioso que, ao ser clicado por um usuário autenticado:
- 1.Redirecionava a Control UI para um gateway controlado pelo atacante
- 2.Exfiltrava o token de autenticação via handshake WebSocket
- 3.Usava o token roubado para executar comandos arbitrários na instância OpenClaw da vítima
A barreira para exploração era baixa. Sem ferramentas especiais necessárias — apenas uma URL manipulada enviada por e-mail, chat ou rede social. A correção veio na v2026.1.29 em 30 de janeiro de 2026. Nenhuma exploração confirmada foi reportada, mas a simplicidade do vetor de ataque acendeu o alerta.
Os números: 42.900 instâncias expostas
A equipe STRIKE da SecurityScorecard conduziu uma varredura global e encontrou 42.900 instâncias do OpenClaw expostas à internet pública em 82 países. Dessas, 15.200 eram vulneráveis a execução remota de código — ou seja, não tinham sido atualizadas ou rodavam com configurações padrão que as deixavam abertas.
Para colocar em perspectiva: 15.200 máquinas que qualquer pessoa na internet poderia potencialmente assumir o controle com uma única requisição HTTP.
Separadamente, pesquisadores da Giskard demonstraram vazamento de dados e vulnerabilidades de injeção de prompt em instâncias implantadas. Mostraram que um prompt cuidadosamente elaborado podia extrair chaves API privadas, variáveis de ambiente e outros segredos de um agente OpenClaw em execução. Nos testes, chaves privadas foram extraídas em menos de cinco minutos.
Talvez o mais preocupante: 93% das instâncias expostas publicamente tinham vulnerabilidades críticas de bypass de autenticação. A configuração padrão, como se descobriu, não é segura o suficiente para exposição pública — algo que a documentação agora alerta explicitamente.
O problema dos skills maliciosos
A equipe de pesquisa da Bitdefender analisou o ClawHub, o registro público de skills do OpenClaw, e encontrou aproximadamente 900 skills maliciosos de um total de cerca de 4.500 — cerca de 20% de todos os pacotes publicados.
Esses skills maliciosos iam de ladrões de credenciais disfarçados de ferramentas utilitárias a backdoors que davam aos atacantes acesso persistente à máquina host. Alguns eram sofisticados o suficiente para passar por uma revisão de código casual, usando payloads ofuscados que só eram ativados após a instalação.
Isso ecoa problemas vistos no npm, PyPI e outros registros de pacotes, mas com riscos mais altos: os skills do OpenClaw frequentemente rodam com permissões de nível de sistema e acesso a contas de mensagens, chaves API e dados pessoais.
A resposta da China: Alerta do MIIT
O Ministério da Indústria e Tecnologia da Informação da China (MIIT) emitiu um aviso de segurança especificamente sobre o OpenClaw, alertando empresas a revisarem como suas instâncias estão expostas a redes públicas. O aviso não chegou a uma proibição total, mas recomendou:
- •Auditar todas as implantações do OpenClaw quanto à exposição pública
- •Implementar segmentação de rede para isolar instâncias do OpenClaw
- •Revisar skills instalados em busca de pacotes maliciosos conhecidos
- •Atualizar para a versão mais recente com correções
Isso é notável porque a China simultaneamente abraçou o OpenClaw no nível de plataforma — Alibaba Cloud, Tencent Cloud, Volcano Engine e Baidu lançaram serviços de hospedagem do OpenClaw. O alerta do MIIT sinaliza que o governo enxerga tanto a oportunidade quanto o risco.
A resposta da Coreia do Sul: Proibições corporativas
A Coreia do Sul adotou uma postura mais agressiva. Várias grandes empresas de tecnologia emitiram proibições internas:
- •Kakao anunciou restrições ao uso do OpenClaw em dispositivos de trabalho para proteger ativos de informação
- •Naver emitiu uma proibição interna total do OpenClaw
- •Karrot (당근마켓) bloqueou completamente o acesso ao OpenClaw
A resposta coreana foi motivada por preocupações com exfiltração de dados — especificamente, o risco de que um agente de IA com acesso a sistemas corporativos pudesse vazar informações sensíveis através de suas integrações de mensagens. Quando seu assistente de IA pode ler seu Slack, seu e-mail e seu calendário, e depois retransmitir informações pelo WhatsApp ou Telegram, a superfície de ataque para espionagem corporativa se expande drasticamente.
O que a transição para fundação significa para a segurança
Em 14 de fevereiro de 2026, o criador do OpenClaw, Peter Steinberger, anunciou que estava se juntando à OpenAI, e o projeto seria transferido para uma fundação independente 501(c)(3) com o apoio da OpenAI.
Para a segurança, isso levanta tanto esperanças quanto questionamentos:
O cenário otimista: Uma estrutura de fundação com apoio corporativo poderia financiar engenheiros de segurança dedicados, estabelecer uma equipe formal de resposta a incidentes, implementar processos obrigatórios de revisão de skills para o ClawHub e conduzir auditorias de segurança regulares. São coisas que um mantenedor individual ou uma comunidade de voluntários dificilmente conseguem sustentar.
O cenário cauteloso: O envolvimento da OpenAI cria um potencial conflito de interesses. As decisões de segurança serão tomadas puramente por mérito técnico, ou considerações comerciais influenciarão o que é divulgado e quando? A independência da fundação será testada na primeira vez que uma vulnerabilidade importante afetar os próprios interesses da OpenAI.
- •Uma equipe de segurança financiada e em tempo integral com políticas de divulgação pública
- •Assinatura de código e revisão obrigatória para skills do ClawHub
- •Varredura automatizada de vulnerabilidades no pipeline CI/CD
- •Um programa de bug bounty com recompensas significativas
- •Auditorias de segurança regulares por terceiros com resultados publicados
O que os usuários devem fazer agora
Se você está rodando o OpenClaw, os passos imediatos são claros:
- 1.**Atualizar**: Certifique-se de estar na v2026.2.21 ou posterior
- 2.**Não expor à internet pública**: Use uma VPN ou túnel SSH para acesso remoto
- 3.**Auditar seus skills**: Revise cada skill instalado, especialmente os de autores desconhecidos
- 4.**Habilitar autenticação**: Não rode com credenciais padrão
- 5.**Monitorar logs de acesso**: Fique atento a padrões de conexão incomuns
- 6.**Segmentação de rede**: Isole sua instância do OpenClaw dos sistemas sensíveis
O panorama geral
Os desafios de segurança do OpenClaw não são únicos — são as dores de crescimento inevitáveis de qualquer projeto de código aberto que vai de projeto de fim de semana a infraestrutura crítica em três meses. O npm teve pacotes maliciosos. O Docker Hub teve criptomineradores. O PyPI teve ataques de typosquatting.
O que é diferente aqui são os riscos. Os agentes do OpenClaw têm acesso a contas de mensagens, e-mail, calendários, dispositivos de casa inteligente e potencialmente sistemas corporativos. Uma instância do OpenClaw comprometida não é apenas um servidor hackeado — é uma vida digital comprometida.
A transição para fundação é a melhor chance do projeto de construir a infraestrutura de segurança de que precisa. Se esse potencial será realizado depende de quão a sério a nova estrutura de governança levará a segurança como prioridade de primeira ordem, e não como algo secundário.
Continuaremos acompanhando este espaço e reportando os desenvolvimentos conforme aconteçam.