Você instalou o OpenClaw porque um colega de trabalho não parava de falar dele. Um agente de IA — um programa que executa tarefas no seu computador sem você precisar clicar em cada botão — gerenciando seus arquivos, e-mails e agenda. Você deu acesso ao shell (permissão pra rodar comandos direto no seu sistema operacional). Tudo parecia suave. Automatizado. Tranquilo.

Ninguém mencionou que o negócio rodando comandos no seu notebook tem o mesmo modelo de segurança de uma loja de apps sem moderação de 2014. Qualquer pessoa com uma conta no GitHub criada há uma semana podia subir uma "skill" — um plugin que estende o que o OpenClaw faz — pro ClawHub, o marketplace oficial. Sem revisão. Sem varredura. Sem assinatura. Só na confiança.

Em 27 de março de 2026, o OpenClawd lançou uma atualização de segurança com verificação de skills e sandboxing em runtime — containers isolados que impedem plugins de tocar em qualquer coisa fora da caixinha deles. Isso chegou oito semanas depois que pesquisadores da Koi Security descobriram que 341 das 2.857 skills do ClawHub eram malware. Isso é 11,9%. Quase uma em cada oito.

Veja a linha do tempo. Em 30 de janeiro, o OpenClaw corrigiu a CVE-2026-25253 — uma vulnerabilidade (uma falha de segurança grave o suficiente pra receber um número de rastreamento oficial) com nota 8,8 de 10 na escala de severidade. A falha permitia que atacantes criassem um único link que, ao ser clicado, roubava seu token de autenticação (a chave digital que prova que você é você) e dava a eles execução remota de código — a capacidade de rodar qualquer comando na sua máquina como se estivessem sentados na sua cadeira.

Três dias antes, em 27 de janeiro, a primeira skill maliciosa já tinha aparecido no ClawHub. Até 31 de janeiro, uma conta chamada hightower6eu estava fazendo upload em massa em todas as categorias. A auditoria da Koi Security em 1º de fevereiro rastreou 335 dessas 341 skills até uma campanha coordenada que batizaram de ClawHavoc. O payload: Atomic macOS Stealer (AMOS) — um programa compacto que coleta suas senhas do keychain, dados de navegador de mais de 60 extensões de carteiras cripto, chaves SSH (as credenciais que sua máquina usa pra conectar em servidores) e arquivos das pastas Desktop e Documentos. Até 16 de fevereiro, o número tinha crescido pra 824 skills maliciosas entre mais de 10.700 entradas no marketplace.

Enquanto isso, a Bitsight escaneou a internet e encontrou mais de 30.000 instâncias do OpenClaw expostas na porta 18789 — a porta de rede em que o OpenClaw escuta — entre 27 de janeiro e 8 de fevereiro. Como Danny Wilson do OpenClawd resumiu: "Agora existem dois jeitos de ser comprometido antes mesmo de rodar seu primeiro comando no OpenClaw."

Se isso soa familiar, deveria. O npm — gerenciador de pacotes do JavaScript — teve o incidente do event-stream em 2018: uma biblioteca confiável sequestrada pra roubar carteiras de criptomoedas. O PyPI — índice de pacotes do Python — enfrentou ondas de ataques de typosquatting em 2022, onde pacotes maliciosos imitavam pacotes populares com nomes levemente errados. A fórmula nunca muda: marketplace aberto mais zero verificação mais crescimento explosivo é igual a autores de malware que se movem mais rápido que os mantenedores.

A correção do OpenClawd adiciona três camadas: um pipeline de verificação (análise automatizada que bloqueia padrões suspeitos antes da publicação), sandboxing em runtime (cada skill roda isolada com permissões explícitas) e instaladores assinados (prova criptográfica de que o software não foi adulterado). Engenharia sólida. Um problema: só cobre o hosting gerenciado do OpenClawd. A maioria dos usuários do OpenClaw roda instâncias self-hosted. Eles não ganham nada. O ecossistema mais amplo de skills ainda não tem nenhum padrão de assinatura criptográfica.

Se você roda qualquer agente de IA com acesso ao shell — OpenClaw ou qualquer outro — trate como um servidor de produção. Audite quais permissões ele tem. Fixe as versões dos seus plugins pra que atualizações não entrem de surpresa. Nunca instale skills não verificadas. Assuma que todo plugin de terceiros é hostil até que se prove o contrário. Isso não é paranoia. É higiene de ops ⚙️

A era dos agentes de IA pessoais acabou de ter sua primeira crise real de supply chain. A limpeza vai demorar mais que o ciclo de hype que criou tudo isso. Sua automação deveria deixar a vida mais calma — não entregar seu keychain pra um desconhecido 🫶