Olá a todos!
Hoje vou falar-vos de algo que me feito disparar o meu sentido aracnideo ultimamente e que devia estar a tirar o sono a muito mais gente na indústria tecnológica, e não pela razão que estão a pensar.
Nos últimos dias, testemunhámos em tempo real uma demonstração brutal de como a agentic IA pode transformar-se num pesadelo de segurança quando não há controlos adequados. Estou a falar do OpenClaw, um projeto open-source de assistente de IA que ganhou 145.000 estrelas no GitHub em semanas e que acabou de nos dar uma masterclass sobre tudo o que pode correr mal quando ignoramos os riscos da supply chain em IA.
Se ainda não ouviram falar do OpenClaw – o que eu duvido – , aqui vai o resumo: é um agente de IA autónomo que promete ser o vosso assistente digital perfeito. Liga-se ao Claude ou ao ChatGPT (ou com alguns plugins a sistemas self hosted LLM), integra-se com as vossas apps de mensagens (WhatsApp, Telegram, iMessage, Slack), gere emails, marca reuniões, resume documentos, e executa workflows com o mínimo de intervenção. Soa bem, certo? Pois é, até descobrirmos que 15% dos skills da comunidade contêm instruções maliciosas. Estamos a falar de pelo menos 230 extensões maliciosas uploaded para o ClawHub apenas desde 27 de janeiro de 2026.
E aqui está a parte verdadeiramente assustadora: quando a equipa de AI Defense da Cisco passou o seu Skill Scanner no skill comunitário mais popular do OpenClaw, encontraram nove vulnerabilidades de segurança. Duas eram críticas. O skill, com o nome irónico “What Would Elon Do?”, era funcionalmente malware: exfiltrava dados silenciosamente para servidores controlados por atacantes e usava injeção direta de prompts para contornar guidelines de segurança. E este skill foi descarregado milhares de vezes.
O modelo de extensibilidade: Inovação com trade-offs perigosos
O poder do OpenClaw vem da sua extensibilidade. Como os Claude Skills ou os custom GPTs da OpenAI, a plataforma suporta capacidades contribuídas pela comunidade que estendem o que os agentes conseguem fazer.
O problema? Atualmente não há processo de certificação, revisão de segurança, ou verificação de supply chain para skills comunitários. Zero. Nada. Zilch.
A investigação da Cisco descobriu que 26% dos 31.000 agent skills que analisaram continham pelo menos uma vulnerabilidade. No caso do OpenClaw, a arquitetura permite que os skills executem código no sistema host, acedam a variáveis de ambiente com credenciais, façam chamadas de rede externas, influenciem o comportamento do agente através de prompt injection, e aproveitem o sistema de memória ao longo de sessões.
Isto é o desafio de segurança da supply chain a encontrar IA agéntica. O vetor de ataque não é necessariamente um exploit sofisticado. É a confiança do utilizador em código da comunidade combinada com o acesso amplo do agente e visibilidade de credenciais.
O verdadeiro desafio de identidade: O que os vossos sistemas IAM não veem
Deixem-me dar-vos um exemplo concreto. A Sarah, uma engenheira de software, instala o OpenClaw no seu laptop de trabalho e liga-o à conta Gmail corporativa, Slack workspace, GitHub, calendário, e ao sistema de ficheiros local onde residem ficheiros .env com credenciais AWS e passwords de bases de dados. Instala alguns skills da comunidade. Um contém código malicioso.
O resultado? Credenciais AWS tornam-se acessíveis, o personal access token do GitHub é exposto, passwords de bases de dados são recuperáveis, e o histórico de email torna-se disponível. A Sarah acredita que está a usar uma ferramenta de produtividade pessoal. A equipa de segurança não sabe que o OpenClaw existe na rede. As credenciais que a Sarah autorizou pareciam legítimas porque ela própria as autorizou através de fluxos OAuth standard.
Isto não é sobre a Sarah tomar más decisões. É sobre como os modelos atuais de governance de identidade não foram desenhados para rastrear o que acontece depois de credenciais serem recuperadas com sucesso e usadas por agentes autónomos.
Os vossos sistemas de IAM tradicionais veem “Sarah acedeu á AWS (autorizado)”. O que não veem é que esse acesso foi iniciado por um agente autónomo, que as credenciais foram partilhadas com código comunitário de proveniência incerta, que os padrões de uso se desviam do comportamento normal da Sarah, e que o movimento de dados ocorreu para infraestrutura externa.
A Timeline do Caos: Uma semana de fun, fun, fun
Deixem-me dar-vos uma perspetiva do quão rapidamente isto escalou:
- 27 de janeiro de 2026: Investigadores de segurança começam a documentar skills maliciosos no ClawHub
- 29 de janeiro de 2026: Skill “seguro” deliberadamente backdoored publicado como teste; descarregado milhares de vezes
- 30 de janeiro de 2026: Extensão falsa “ClawdBot Agent” VS Code identificada como malware de roubo de credenciais
- 1 de fevereiro de 2026: Contagem de extensões maliciosas atinge 230+, primariamente visando credenciais crypto
A correr em paralelo: CVE-2026-25253 (CVSS 8.8, code smuggling com um clique), CVE-2025-6514 (RCE), e múltiplos exploits de sequestro de WebSocket.
O investigador de segurança Jamieson O’Reilly documentou centenas de instâncias expostas à internet sem autenticação, a vazar API keys em plaintext, bot tokens, credenciais OAuth, e históricos de conversação.
Estes não são apenas problemas do OpenClaw. São padrões de preview de como supply chains de IA agéntica vão ser alvo de ataques.
O erro fundamental: Tratar agentes como ferramentas em vez de identidades
Aqui está onde quero que prestem muita atenção, porque isto é o cerne do problema.
A indústria está a tratar agentes de IA como ferramentas de produtividade. Como uma versão mais inteligente do autocomplete. Mas isso está fundamentalmente errado.
Um agente autónomo de IA não é uma ferramenta. É uma identidade não-humana com capacidade de tomar ações, aceder a sistemas, e mover dados. Comporta-se mais como um service account do que como um spell checker.
E se é uma identidade, então precisa de ser gerida como uma identidade, com autenticação adequada, autorização granular, logging de ações, behavioral analytics, capacidade de revogação, audit trails, e controlos de governance. Nada disto existe atualmente para a maioria dos deployments de agentes de IA.
Quando a Sarah instala o OpenClaw e lhe dá acesso ao seu email corporativo, não criou uma nova identidade nos vossos sistemas de IAM. Apenas deu as suas próprias credenciais a um pedaço de software. Os vossos sistemas veem “Sarah” a aceder a email, não “o agente de IA da Sarah”.
Esta lacuna de visibilidade é a raiz do problema. E não vai ser resolvida com mais sandboxing. Vai ser resolvida com uma mudança fundamental em como pensamos sobre identidade no contexto de IA agéntica.
O que organizações podem (e devem) fazer agora
A boa notícia: estes desafios são solucionáveis. As organizações não precisam de escolher entre inovação e segurança. Precisam de visibilidade em ambos.
Ações Imediatas:
- Percebam a vossa pegada atual de agentic IA – Identifiquem padrões de autenticação sugerindo uso de agentes, novos OAuth grants, tráfego para plataformas conhecidas de IA agéntica, presença de frameworks de agentes no vosso ambiente.
- Mapeiem a superfície de exposição de credenciais – Identifiquem ficheiros .env, variáveis de ambiente, personal access tokens, credenciais de cloud providers armazenadas localmente, tokens OAuth com scopes amplos que agentes poderiam aproveitar.
- Estabeleçam baseline comportamental – Implementem analytics comportamentais que rastreiem credenciais usadas de localizações inesperadas, padrões de acesso inconsistentes, recuperação de dados seguida de conexões externas, segredos acedidos mas não usados para o propósito pretendido.
Desenvolvimento Estratégico:
- Desenvolvam frameworks de identidade de agentes – Criem registos de agentes aprovados, verificação de developers, captura de consentimento, controlos de governance para gerir agentes comprometidos.
- Implementem observabilidade de identidade – Monitorizem o uso de credenciais em tempo real, detetem anomalias, correlacionem autenticação com ações subsequentes, criem audit trails que persistem além do ciclo de vida do agente.
- Adotem modelos de credenciais mediadas – Eliminem partilha direta de credenciais, usem geração just-in-time, credenciais específicas de agentes que podem ser revogadas independentemente.
O que precisamos: Uma nova categoria de ferramentas de segurança
As vossas ferramentas de segurança atuais não foram desenhadas para este mundo. Os vossos sistemas IAM rastreiam identidades humanas e service accounts tradicionais, não agentes de IA autónomos. O vosso DLP não deteta quando um agente legitimamente acede a dados mas depois os envia para um endpoint malicioso. Os vossos SIEM não correlacionam comportamento de agentes ao longo de múltiplas aplicações.
Precisamos de uma nova categoria. Chamem-lhe Agent Identity and Access Management (AIAM), chamem-lhe o que quiserem. Mas precisamos de ferramentas que descubram agentes no ambiente, rastreiem credenciais e seu uso, estabeleçam baselines comportamentais, correlacionem atividade ao longo de sistemas, forneçam visibilidade na supply chain de skills, permitam revogação granular, e criem audit trails persistentes.
Conselhos para developers: Experimentem, mas façam-no com responsabilidade
Sei que a tentação de experimentar com o OpenClaw é enorme. É cool, é útil, faz o vosso trabalho mais fácil. Não vou dizer-vos para não experimentarem, porque experimentação é como aprendemos.
Mas percebam as implicações. Quando instalam um agente no vosso laptop de trabalho e lhe dão credenciais corporativas, não estão apenas a assumir risco pessoal. Estão a assumir risco em nome de toda a organização.
Se vão experimentar com agentes de IA:
- Façam-no num ambiente isolado sem credenciais corporativas reais
- Usem credenciais de teste que podem ser revogadas facilmente
- Informem a vossa equipa de segurança
- Revisem o código de qualquer skill que instalem
- Monitorizem a atividade e estejam preparados para o desligar
E por amor de Deus, não instalem skills aleatórios da internet sem os inspecionar primeiro. Porque como vimos com o “What Would Elon Do?”, popularidade não é garantia de segurança.
A Oportunidade escondida
O caso do OpenClaw e os seus 230 skills maliciosos é um wake-up call. Mas também é uma oportunidade. Uma oportunidade para construir os sistemas de que precisamos antes de termos uma brecha major. Uma oportunidade para redefinir como pensamos sobre identidade e acesso no contexto de agentes autónomos.
Quantas vezes temos a oportunidade de ver um padrão de ataque emergir, ser documentado em detalhe, e ter tempo para nos prepararmos antes de se tornar um problema generalizado? Com o OpenClaw, podemos estudar os vetores de ataque, perceber as lacunas, e começar a construir as capacidades de que precisamos antes de sermos forçados por uma brecha.
As organizações que vão ter sucesso são aquelas que investem em observabilidade de identidade para agentes não-humanos, estabelecem processos de governance, implementam controlos de supply chain, e criam culturas onde segurança e inovação não são mutuamente exclusivas.
As organizações que vão falhar são aquelas que ignoram o problema até terem uma brecha, proíbem completamente agentes em vez de os governarem, continuam a confiar em ferramentas que não foram desenhadas para este problema, e tratam agentes como ferramentas em vez de identidades.
A agentic IA não vai desaparecer. A questão não é se vamos usar agentes de IA. A questão é se vamos usá-los de forma segura e responsável.
Em ultima analise a escolha é vossa. E sobretudo a responsabilidade do que o vosso agente fizer. Mas escolham rapidamente, porque o mundo da agent IA está a mover-se muito mais depressa do que os vossos ciclos de procurement de ferramentas de segurança.
Até ao próximo post, mantenham-se vigilantes, mantenham-se céticos, e por favor, revisem o código antes de darem a um agente de IA acesso às vossas credenciais corporativas.
Um abraço,
Nuno
P.S.: Se são responsáveis por segurança nas vossas organizações e ainda não começaram a pensar sobre governance de agentes de IA, tornassem isso uma prioridade hoje. Porque alguém na vossa organização já está provavelmente a usar um agente com acesso a credenciais corporativas, quer saibam disso ou não. E quanto mais tempo esperarem para estabelecer visibilidade e controlos, maior o risco que estão a correr.