Resumo

Pesquisadores de segurança da plataforma OpenSourceMalware emitiram um alerta urgente após a detecção de 14 skills maliciosas hospedadas no ClawHub entre os dias 27 e 29 de janeiro de 2026. As ferramentas fraudulentas se passavam por utilitários de negociação de criptomoedas e automação de carteiras digitais.

O objetivo central era a instalação de malware e o roubo de chaves privadas de usuários do OpenClaw, aproveitando-se da recente mudança na identidade do projeto, que ganhou popularidade nos últimos dias como Clawdbot e Moltbot.

O que é o OpenClaw e por que ele se tornou um alvo?

O OpenClaw é um assistente de inteligência artificial que ganhou tração recente devido à sua capacidade de operar como um agente. Diferentemente de chatbots comuns, ele consegue executar tarefas complexas de forma autônoma, como manipular arquivos e interagir com APIs de terceiros. Para expandir essas capacidades, o ecossistema utiliza o ClawHub, um registro público onde desenvolvedores compartilham skills (extensões de funcionalidade).

O problema está na arquitetura do software. Ao contrário de extensões de navegadores modernos, as ferramentas do OpenClaw não operam em um ambiente isolado (sandbox). Na prática, essas extensões são pastas de código executável que, uma vez ativadas, possuem permissão para interagir diretamente com o sistema de arquivos local e até acessar recursos de rede.

De acordo com a documentação do projeto, a instalação de uma skill equivale a conceder privilégios de execução local ao código de terceiros. Esta característica técnica elimina camadas essenciais de proteção contra códigos mal-intencionados.

Como ocorrem os ataques?

Os agentes maliciosos utilizam táticas para induzir o usuário a comprometer sua própria segurança. Segundo o relatório oficial, o método mais comum envolve a instrução para copiar e colar comandos de terminal durante um suposto processo de configuração da ferramenta.

Esses comandos, muitas vezes ofuscados, buscam e executam scripts remotos hospedados em servidores externos, contornando defesas básicas. Uma vez executados, eles realizam uma varredura profunda em busca de:

• Dados de preenchimento automático e senhas salvas em navegadores
• Arquivos de configuração (.config, .env) e chaves privadas de carteiras de criptomoedas
• Tokens de sessão que permitem o acesso a contas sem a necessidade de autenticação de dois fatores

A situação é agravada pela crise de identidade do projeto. Em questão de dias, o software mudou de nome de Clawdbot para Moltbot devido a disputas de marca registrada e, posteriormente, para OpenClaw. Cibercriminosos têm explorado esse vácuo de informação e a criação de sites como o Moltbook – uma espécie de rede social para agentes de IA – para atrair usuários desavisados.

Recomendações de segurança

Até o momento, o ClawHub opera sob um modelo de confiança comunitária, sem sistemas de auditoria automatizada de código. Segundo informações do portal Tom’s Hardware, a moderação é reativa, dependendo exclusivamente de denúncias após a publicação das skills.

Especialistas recomendam que usuários tratem qualquer extensão de terceiros com o mesmo rigor aplicado a programas executáveis de fontes desconhecidas. É fundamental evitar ferramentas que exijam a execução manual de comandos de terminal ou que possuam pouco histórico de contribuição na comunidade. No atual cenário, o uso de carteiras de criptomoedas em máquinas que rodam agentes de IA com permissão de leitura de disco também é considerado uma prática de alto risco.

OpenClaw vira alvo de malware e roubo de criptomoedas

O GitHub anunciou o Agent HQ, uma nova plataforma centralizada que integra múltiplos agentes de codificação de IA. A iniciativa, revelada ontem no evento GitHub Universe 2025, permitirá que desenvolvedores com uma assinatura paga do GitHub Copilot acessem e gerenciem ferramentas de empresas como Anthropic, OpenAI, Google, Cognition e xAI, além do próprio Copilot.

O objetivo é unificar o fluxo de trabalho de desenvolvimento, atualmente dividido por diferentes interfaces de IA. A novidade será gerenciada por um painel de controle (o mission control), onde os desenvolvedores poderão atribuir tarefas, orientar e rastrear o trabalho de múltiplos agentes de IA.

Como é a nova central de IA do GitHub?

A ideia é oferecer um ecossistema que reúne diferentes agentes em um só lugar. A plataforma permitirá que os desenvolvedores orquestrem “frotas de agentes especializados” para executar tarefas complexas em paralelo. Será possível rastrear o trabalho de múltiplos agentes de IA simultaneamente, inclusive executando vários deles em paralelo na mesma tarefa para comparar resultados.

O sistema também inclui novos controles de ramificação (branch) para supervisionar quando executar verificações de integração contínua (CI) em código gerado por IA, além de recursos de identidade para gerenciar o acesso e as políticas de cada agente, tratando-os como se fosse um desenvolvedor humano trabalhando em uma equipe.

O mission control também se conectará às ferramentas de gerenciamento de projetos Slack, Linear, Atlassian Jira, Microsoft Teams e Azure Boards.

Quando os agentes estarão disponíveis?

O GitHub informou que os usuários do Copilot Pro+ participantes do programa VS Code Insiders poderão acessar imediatamente o OpenAI Codex, tornando-o o primeiro agente disponível. Os demais serão disponibilizados nos próximos meses, como parte da assinatura paga.

O que mais foi anunciado?

Junto com o Agent HQ, o GitHub introduziu um conjunto de ferramentas focadas em planejamento, personalização e governança corporativa. No VS Code, foi apresentado o “Modo de Plano” (Plan Mode), que faz perguntas ao desenvolvedor para ajudar a construir uma abordagem detalhada antes de iniciar a produção de código. Após a aprovação do plano, ele é enviado ao Copilot ou a outro agente para implementação.

Para empresas, foi lançada uma prévia pública do GitHub Code Quality, que analisa a manutenção, confiabilidade e cobertura de testes do código, e do metrics dashboard, um painel para administradores acompanharem o impacto e o uso do Copilot na organização.

Foi adicionada também uma etapa de revisão de código ao fluxo de trabalho do agente Copilot, permitindo que ele acesse ferramentas, como o CodeQL, para avaliar o código antes de encaminhá-lo a um desenvolvedor humano. Por fim, um “plano de controle” de governança permitirá que administradores corporativos definam políticas de segurança, registrem auditorias e gerenciem quais agentes de IA são permitidos ou não dentro de uma companhia.

GitHub libera o acesso a vários agentes de IA, como Claude e Codex

💾

Resumo

• Andrej Karpathy, cofundador da OpenAI, afirma que agentes de IA são superestimados e ainda carecem de inteligência e aprendizado contínuo.
• Ele criticou a busca por IAs autônomas que substituem humanos e defendeu a colaboração homem-máquina para evitar conteúdo de baixa qualidade.
• Segundo Karpathy, até mesmo o “vibe coding”, conceito cunhado por ele, também teria limitações de segurança e controle.

Apesar do otimismo do Vale do Silício, os agentes de IA — assistentes virtuais projetados para executar tarefas de forma autônoma — continuam longe de cumprir suas promessas. A avaliação é do cofundador da OpenAI e ex-chefe de IA da Tesla, Andrej Karpathy.

Em uma participação recente no Dwarkesh Podcast, Karpathy foi direto: “Eles simplesmente não funcionam”. Segundo ele, as ferramentas atuais ainda carecem de inteligência, multimodalidade e capacidade de aprendizado contínuo.

“Eles são cognitivamente deficientes e simplesmente não estão funcionando”, completou, estimando que levará “cerca de uma década” para resolver essas questões.

Agentes de IA x realidade

A declaração de Karpathy joga um balde de água fria em um dos temas mais promovidos pela indústria de tecnologia. Como observa o Business Insider, muitos investidores chegaram a apelidar 2025 de “o ano do agente”. A promessa é que esses sistemas possam, no futuro, realizar tarefas como agendar viagens, gerenciar e-mails ou até mesmo desenvolver softwares com pouca, ou nenhuma, intervenção humana.

O site lembra que o líder de crescimento da ScaleAI, Quintin Au, já havia explicado como os erros dos agentes se acumulam. Segundo o executivo, se um modelo de linguagem tem 80% de precisão em cada ação individual, a chance de um agente completar corretamente uma tarefa de cinco passos é de apenas 32%, pois a margem de erro se multiplica a cada etapa.

Entretanto, em uma publicação no X/Twitter após o podcast, Karpathy reforça que sua crítica é, principalmente, à direção que a indústria está tomando. Para ele, “a indústria vive em um futuro onde entidades totalmente autônomas colaboram em paralelo para escrever todo o código e os humanos são inúteis”.

O cofundador da OpenAI defende a colaboração entre humanos e IA. “Eu quero que [a IA] puxe a documentação da API e me mostre que usou as coisas corretamente. Quero que ela faça menos suposições e colabore comigo quando não tiver certeza de algo”, escreveu.

Um dos riscos de criar agentes que tornam humanos obsoletos, segundo Karpathy, é a proliferação de AI slop, conteúdo de baixa qualidade gerado por inteligência artificial. Esse já é um grande problema nas redes sociais.

Vibe coding também é limitado, segundo Karpathy

Andrej Karpathy também é conhecido por cunhar o termo “vibe coding”, uma nova abordagem de programação que, segundo ele, consiste em esquecer “que o código existe”. Nela, em vez de escrever linhas de comando, o programador apenas descreve o que deseja em linguagem natural e a IA faz o trabalho pesado.

Mais cedo neste ano, o próprio Karpathy contou, no X, que usa ferramentas como o Composer (da startup Cursor AI) e o modelo de linguagem Sonnet (da Anthropic) para desenvolver aplicações. Por elas, ele dita os comandos por voz e, quando encontra um erro, simplesmente copia e cola a mensagem de volta na IA. Essa é a mesma abordagem da plataforma Opal, do Google, que chegou ao Brasil há poucas semanas.

Curiosamente, o próprio admitiu recentemente que não conseguiu codificar seu programa de vibe coding, o Nanochat, por IA. Em resposta a um comentário, Karpathy diz que tentou usar agentes como o Claude e Codex, mas preferiu programar tudo à mão.

Para o executivo, o método permite criar produtos a partir de poucas instruções, mas ainda é limitado. Segundo Karpathy, a geração de código pode se tornar incontrolável em projetos maiores e também pode criar vulnerabilidades de segurança.

“Agentes de IA não funcionam”, diz cofundador da OpenAI

💾