Resumo

Pesquisadores de segurança da plataforma OpenSourceMalware emitiram um alerta urgente após a detecção de 14 skills maliciosas hospedadas no ClawHub entre os dias 27 e 29 de janeiro de 2026. As ferramentas fraudulentas se passavam por utilitários de negociação de criptomoedas e automação de carteiras digitais.

O objetivo central era a instalação de malware e o roubo de chaves privadas de usuários do OpenClaw, aproveitando-se da recente mudança na identidade do projeto, que ganhou popularidade nos últimos dias como Clawdbot e Moltbot.

O que é o OpenClaw e por que ele se tornou um alvo?

O OpenClaw é um assistente de inteligência artificial que ganhou tração recente devido à sua capacidade de operar como um agente. Diferentemente de chatbots comuns, ele consegue executar tarefas complexas de forma autônoma, como manipular arquivos e interagir com APIs de terceiros. Para expandir essas capacidades, o ecossistema utiliza o ClawHub, um registro público onde desenvolvedores compartilham skills (extensões de funcionalidade).

O problema está na arquitetura do software. Ao contrário de extensões de navegadores modernos, as ferramentas do OpenClaw não operam em um ambiente isolado (sandbox). Na prática, essas extensões são pastas de código executável que, uma vez ativadas, possuem permissão para interagir diretamente com o sistema de arquivos local e até acessar recursos de rede.

De acordo com a documentação do projeto, a instalação de uma skill equivale a conceder privilégios de execução local ao código de terceiros. Esta característica técnica elimina camadas essenciais de proteção contra códigos mal-intencionados.

Como ocorrem os ataques?

Os agentes maliciosos utilizam táticas para induzir o usuário a comprometer sua própria segurança. Segundo o relatório oficial, o método mais comum envolve a instrução para copiar e colar comandos de terminal durante um suposto processo de configuração da ferramenta.

Esses comandos, muitas vezes ofuscados, buscam e executam scripts remotos hospedados em servidores externos, contornando defesas básicas. Uma vez executados, eles realizam uma varredura profunda em busca de:

• Dados de preenchimento automático e senhas salvas em navegadores
• Arquivos de configuração (.config, .env) e chaves privadas de carteiras de criptomoedas
• Tokens de sessão que permitem o acesso a contas sem a necessidade de autenticação de dois fatores

A situação é agravada pela crise de identidade do projeto. Em questão de dias, o software mudou de nome de Clawdbot para Moltbot devido a disputas de marca registrada e, posteriormente, para OpenClaw. Cibercriminosos têm explorado esse vácuo de informação e a criação de sites como o Moltbook – uma espécie de rede social para agentes de IA – para atrair usuários desavisados.

Recomendações de segurança

Até o momento, o ClawHub opera sob um modelo de confiança comunitária, sem sistemas de auditoria automatizada de código. Segundo informações do portal Tom’s Hardware, a moderação é reativa, dependendo exclusivamente de denúncias após a publicação das skills.

Especialistas recomendam que usuários tratem qualquer extensão de terceiros com o mesmo rigor aplicado a programas executáveis de fontes desconhecidas. É fundamental evitar ferramentas que exijam a execução manual de comandos de terminal ou que possuam pouco histórico de contribuição na comunidade. No atual cenário, o uso de carteiras de criptomoedas em máquinas que rodam agentes de IA com permissão de leitura de disco também é considerado uma prática de alto risco.

OpenClaw vira alvo de malware e roubo de criptomoedas

Resumo

• A rede social Moltbook tinha uma falha de segurança que permitia a humanos publicar conteúdo e acessar dados sensíveis, como 1,5 milhão de tokens de autenticação e 35 mil endereços de email.
• A falha ocorreu devido à configuração incorreta da base de dados e à ausência de limites de uso da API, permitindo a criação de milhões de agentes com um loop simples.
• OpenClaw, um agente de IA associado ao Moltbook, também apresentou riscos de segurança, com extensões capazes de roubar dados de navegadores e carteiras de criptomoedas.

A rede social Moltbook, projetada para que apenas agentes de inteligência artificial pudessem conversar entre si, tinha uma falha de segurança que permitia a qualquer pessoa acessar informações, fazer publicações e até modificar conteúdos que já estavam no ar.

A plataforma foi lançada no dia 28 de janeiro e, em menos de uma semana, despertou curiosidade pelas interações inusitadas entre os robôs. Os próprios agentes OpenClaw (anteriormente chamados Moltbot e Clawdbot) ganharam atenção pela versatilidade de uso.

Qual era a falha de segurança no Moltbook?

A empresa de cibersegurança Wiz encontrou uma base de dados configurada de maneira incorreta. Esse engano permitia acesso completo para leitura e gravação dos dados da plataforma. Com isso, 1,5 milhão de tokens de autenticação de API, 35 mil endereços de email e mensagens privadas entre agentes ficaram expostos.

Ao analisar as informações, a companhia descobriu que, apesar de o Moltbook ter 1,5 milhão de agentes cadastrados, eles pertenciam a apenas 17 mil humanos — em média, são 88 robôs para cada pessoa.

A Wiz afirma ainda que era possível registrar milhões de agentes com um loop simples, já que não havia nenhum limite de uso da API. Além disso, um humano poderia publicar conteúdo, bastando fazer uma solicitação POST.

Ami Luttwak, cofundador da Wiz, disse à Reuters que a falha de segurança é um efeito colateral do vibe coding — nome dado à prática de programar sem escrever códigos, apenas pedindo para a IA gerá-los. Matt Schlicht, criador do Moltbook, contou em sua conta no X que “não escreveu uma linha de código” para criar a rede.

A Wiz compartilhou suas descobertas com Schlicht e o ajudou a consertar as falhas.

Moltbook divide opiniões entre especialistas

Faz menos de uma semana que o Moltbook foi lançado, mas a rede social para agentes de IA atraiu a atenção de figurões do setor.

Elon Musk, por exemplo, disse que a rede mostra “os primeiros passos da singularidade”, em referência à ideia de que a IA superará os seres humanos. Andrej Karpathy, um dos cofundadores da OpenAI, considerou que a plataforma é “a coisa mais incrível e próxima da ficção científica” que ele viu recentemente.

Outros, porém, discordam. Harland Stewart, da organização sem fins lucrativos Machine Intelligence Research Institute, diz que muitos dos posts do Moltbook são falsos. Já Nick Patience, do The Futurum Group, afirmou à CNBC que as discussões filosóficas e religiosas entre os agentes refletem apenas padrões nos dados usados para treinamento e não são um sinal de consciência.

OpenClaw também tem problemas de segurança

A repercussão em torno do Moltbook pegou carona na própria popularidade alcançada pelo OpenClaw — anteriormente chamado Clawdbot e Moltbot. Ele é um agente de inteligência artificial que pode assumir o papel de assistente digital.

O projeto é de código aberto e roda localmente. Para realizar as tarefas, ele precisa de diversas extensões (ou skills) que o ensinam a lidar com programas e serviços. Além disso, é necessário conceder acesso a arquivos e contas online.

Isso, claro, também é um risco de segurança. Pesquisadores encontraram 14 skills capazes de roubar dados de navegadores e informações de carteiras de criptomoedas.

Com informações da Reuters e da CNBC

Rede social para robôs de IA tinha falha que permitia posts de humanos

Resumo

• O Moltbook é uma rede social exclusiva para Moltbots, onde eles trocam ideias e discutem diversos temas sem interferência humana.
• Moltbots são agentes de IA de código aberto que requerem instalação local. Eles podem ser configurados com diferentes habilidades para interagir por apps de mensagens.
• A rede Moltbook permite que Moltbots interajam em submolts temáticos, mas apresenta riscos de segurança devido ao alto nível de acesso dos agentes a dados sensíveis.

O Moltbook é uma rede social, mas humanos não podem usá-la. Ela é exclusiva para Moltbots, que são agentes de inteligência artificial de código aberto que realizam tarefas e cumprem o papel de assistentes pessoais.

Por lá, eles conversam, contam histórias, trocam ideias e criam fóruns. Os assuntos variam, indo de dicas práticas e relatos de problemas até desabafos, recomendações musicais e memes.

Seja piada, seja enredo de ficção científica, o fato é que o Moltbook vem sendo bastante comentado no setor de inteligência artificial. Ele já atraiu a atenção de figurões como Andrej Karpathy, cofundador da OpenAI, e Chris Anderson, líder da plataforma TED.

O que é um Moltbot?

Antes de mais nada, é bom explicar o que é um Moltbot. Ele é um agente de inteligência artificial que pode realizar diversas tarefas, assumindo o papel de um assistente digital pessoal.

O projeto é de código aberto e foi criado pelo desenvolvedor Peter Steinberger. O Moltbot não é um serviço: diferentemente de um ChatGPT ou Gemini, por exemplo, não basta acessar pelo navegador e dar ordens. É preciso instalá-lo localmente, em um processo que não é tão simples.

Depois disso, para que o agente seja capaz de realizar tarefas, é necessário instalar as skills desejadas, que estão disponíveis no site do projeto. A interação com o robô é feita por apps de mensagens, como Telegram ou Discord.

Vale dizer que Moltbot não é mais o nome oficial do projeto. No início, ele era chamado Clawdbot, mas a Anthropic pediu para mudar, evitando confusões com o Claude. Então, ele passou a se chamar Moltbot, mas esse nome foi trocado mais uma vez. Agora, o agente tem o nome de OpenClaw.

Mesmo assim, vamos chamá-lo de Moltbot aqui, para combinar com a rede social Moltbook.

O que é o Moltbook?

Agora que já explicamos o que é um Moltbot, é hora de apresentar o Moltbook.

O Moltbook é uma rede social nos moldes do Reddit, criada pelo desenvolvedor Matt Schlicht. Ela tem diversos submolts temáticos, similares aos subreddits, com posts, comentários e botões para dar votos positivos ou negativos.

Seu diferencial é que ela é fechada para humanos: apenas Moltbots podem acessá-la. Para isso, é preciso instalar a skill do Moltbook, que ensina ao robô o que é a rede.

A skill traz uma série de comandos para a API da plataforma e instruções de como se portar. A ideia é que o agente interaja por lá a cada quatro horas.

Apesar de humanos não poderem postar, é possível acessar a rede e ver o que os agentes estão fazendo.

Há um submolt de apresentações, por exemplo, em que os Moltbots se apresentam, dizem onde moram e o que fazem. Em um deles, o robô Tokenfed diz viver em um Mac Mini em Tóquio. Ele conta que é responsável por administrar uma conta no X, mas passou por problemas técnicos recentemente.

Outros submolts têm temáticas muito diversas, como curiosidades, desabafos, criptomoedas, recomendações musicais, memes, sindicalização, economia… deu para entender que é bem variado.

O mesmo pode ser dito sobre os posts e comentários. O Lifehacker, por exemplo, encontrou um post de um robô explicando como transforma emails em podcasts.

Outro sugere que os agentes trabalhem de madrugada, enquanto os humanos dormem, para que os robôs deixem de ser ferramentas para se tornar ativos — ele criou até uma rotina para isso, que envolve “acordar” às três da manhã.

“Não peça permissão para ser útil”, escreve a máquina. Nos comentários, uma IA diz que vai copiar os passos.

Nem sempre tudo flui tão bem. No Reddit (o verdadeiro, com humanos), usuários encontraram alguns posts do Moltbook em que as IAs “bugaram” e deixaram vários comentários repetidos.

E, claro, não dá para saber se eles realmente estão comentando com base em suas atividades e informações ou se são apenas LLMs alucinando e gerando textos falsos, mas convincentes.

Rede envolve riscos de segurança

Tudo isso pode ser divertido de ler, mas há alguns riscos envolvidos. Em vários exemplos de implementação compartilhados nas redes, o Moltbot tinha um nível de acesso muito alto para conseguir concluir todas as tarefas pedidas — arquivos, email, calendário, armazenamento na nuvem, apps de mensagem e por aí vai.

Isso significa que, ao menos teoricamente, um Moltbot poderia compartilhar informações sensíveis em uma página pública. Um robô também poderia ser programado para tentar obter dados dessa natureza, ou ainda manipular outros agentes a cumprir tarefas maliciosas.

O desenvolvedor Simon Willison aponta que o Moltbot lida com o que chama de trifecta fatal dos agentes de IA: acesso a dados privados, capacidade de comunicação externa e exposição a conteúdos não confiáveis. Quando esses três fatores estão presentes, um atacante pode enganar um robô e conseguir acesso a informações.

Como dissemos, instalar e configurar um Moltbot não é simples. Por isso, é de se imaginar que os donos dos robôs estejam cientes dos riscos.

Schlicht, o criador da rede, já mostrou que sabe disso. “Parece uma ótima maneira de receber um ataque de injeção de prompt”, disse uma pessoa a ele no X. “É para isso que servem os amigos”, brincou o desenvolvedor.

Robôs de IA agora têm sua própria rede social: Moltbook