O ecossistema de agentes de inteligência artificial acabou de cruzar um marco preocupante que marca a evolução dos infostealers tradicionais para uma nova era de roubo de identidades digitais. Pesquisadores de segurança cibernética identificaram pela primeira vez na natureza um caso documentado onde malware infostealer conseguiu exfiltrar com sucesso arquivos de configuração completos do OpenClaw, o popular assistente de IA pessoal. Neste artigo do Blog Dolutech, vamos explorar como essa descoberta representa uma transição fundamental no comportamento de malware, passando do roubo simples de credenciais de navegadores para o sequestro da “alma” e identidade de agentes de IA pessoais.
A Hudson Rock, empresa especializada em rastreamento de infostealers, revelou que detectou uma infecção ativa onde um malware da família Vidar capturou com sucesso arquivos críticos do OpenClaw incluindo tokens de autenticação de gateway, chaves criptográficas e até mesmo o arquivo soul.md que define os princípios operacionais centrais, diretrizes comportamentais e limites éticos do agente. O que torna essa descoberta particularmente significativa é que ela não foi resultado de um módulo especializado criado especificamente para OpenClaw, mas sim uma consequência não intencional de rotinas amplas de captura de arquivos que os infostealers já executam.
A Primeira Vítima Documentada de Roubo de Identidade de Agente de IA
Segundo Alon Gal, CTO da Hudson Rock, em entrevista exclusiva ao The Hacker News, o malware identificado na infecção foi provavelmente uma variante do Vidar, um infostealer off-the-shelf conhecido por estar ativo desde o final de 2018. O Vidar é um dos infostealers mais proliferados no mercado clandestino, vendido como Malware-as-a-Service em fóruns da dark web e canais do Telegram.
O que diferencia esse incidente de roubos tradicionais de credenciais é a natureza dos dados capturados. Em vez de apenas senhas salvas em navegadores ou cookies de sessão, o malware conseguiu exfiltrar três categorias críticas de arquivos do OpenClaw que, juntas, constituem a “identidade completa” do agente de IA da vítima.
Os Três Arquivos Críticos Roubados
openclaw.json contém detalhes relacionados ao token de autenticação do gateway OpenClaw, junto com o endereço de email ofuscado da vítima e o caminho do workspace. O token de gateway é essencialmente a chave mestra que permite comunicação autenticada entre o cliente local do OpenClaw e os serviços de gateway na nuvem. Com esse token em mãos, um atacante pode personificar o cliente em requisições autenticadas para o gateway de IA, ou até mesmo conectar-se remotamente à instância local do OpenClaw da vítima se a porta estiver exposta à internet.
device.json contém chaves criptográficas usadas para operações seguras de pareamento e assinatura dentro do ecossistema OpenClaw. Essas chaves estabelecem a confiança entre o dispositivo local e outros componentes do sistema, funcionando como certificados de identidade digital que provam que comandos e ações originam-se de uma fonte autorizada. O comprometimento dessas chaves permite que atacantes executem ações como se fossem o dispositivo legítimo, bypassando verificações de integridade.
soul.md é talvez o arquivo mais filosoficamente interessante roubado. Esse arquivo define a “alma” do agente, contendo seus princípios operacionais centrais, diretrizes comportamentais e limites éticos. É essencialmente o documento que instrui o agente sobre como ele deve se comportar, que tipos de tarefas deve aceitar ou recusar, e quais valores guiam suas decisões. O roubo desse arquivo não apenas expõe informações sensíveis sobre como a vítima configurou seu assistente, mas também permite que atacantes repliquem ou manipulem o comportamento do agente.
Como o Malware Descobriu Ouro Por Acidente
O aspecto mais revelador dessa descoberta é que a captura dos arquivos do OpenClaw não foi resultado de direcionamento intencional. A Hudson Rock enfatiza que o malware não possuía um módulo dedicado especificamente projetado para descriptografar e analisar arquivos do OpenClaw, da mesma forma que infostealers modernos têm módulos especializados para Chrome, Firefox, Telegram, Discord e outras aplicações populares.
Em vez disso, o infostealer estava executando rotinas amplas de captura de arquivos programadas para procurar certas extensões de arquivo específicas e nomes de diretórios que tipicamente contêm dados sensíveis. O malware estava essencialmente procurando por “segredos padrão” quando inadvertidamente encontrou o contexto operacional completo do assistente de IA do usuário.
Essa descoberta acidental tem implicações profundas. Ela demonstra que, mesmo sem esforço específico por parte dos desenvolvedores de malware, os arquivos de configuração do OpenClaw estão estruturados e armazenados de maneira que os torna alvos naturais para técnicas de exfiltração existentes. É apenas questão de tempo até que desenvolvedores de infostealers reconheçam o valor desses dados e implementem módulos dedicados otimizados para capturar, descriptografar e analisar arquivos de agentes de IA.
Nós da Dolutech acreditamos que a Hudson Rock está absolutamente correta ao prever que “à medida que agentes de IA como o OpenClaw se tornam mais integrados aos fluxos de trabalho profissionais, desenvolvedores de infostealers provavelmente lançarão módulos dedicados especificamente projetados para descriptografar e analisar esses arquivos, da mesma forma que fazem para Chrome ou Telegram hoje”.
O Ecossistema de Ameaças Expandido do OpenClaw
Essa descoberta de roubo de credenciais por infostealers não existe isoladamente. Ela faz parte de um ecossistema de ameaças em rápida expansão direcionado ao OpenClaw e seus usuários. Múltiplas frentes de ataque foram documentadas nas últimas semanas, pintando um quadro preocupante de segurança no mundo dos agentes de IA pessoais.
341 Skills Maliciosas no ClawHub
A Koi Security conduziu uma auditoria abrangente de todas as 2.857 skills disponíveis no ClawHub, o marketplace oficial de extensões para OpenClaw, e identificou 341 entradas maliciosas. Dessas, 335 faziam parte de uma única campanha coordenada que os pesquisadores apelidaram de “ClawHavoc”.
As skills maliciosas empregavam técnicas sofisticadas de engenharia social, incluindo instruções falsas de instalação que instruíam usuários a executar comandos em seus terminais. Esses comandos iniciavam cadeias de download multietapas que finalmente entregavam malware como Atomic macOS Stealer no macOS ou infostealers diversos no Windows.
O Atomic macOS Stealer, também conhecido como AMOS, é um infostealer comercial vendido em fóruns clandestinos especificamente projetado para extrair dados sensíveis de sistemas macOS. Ele rouba senhas armazenadas no Keychain, cookies de navegador, arquivos de carteiras de criptomoedas, documentos, capturas de tela e outras informações valiosas. A integração desse malware em skills do ClawHub transforma o marketplace de extensões em um vetor de distribuição de malware de larga escala.
A resposta da equipe do OpenClaw foi anunciar uma parceria com o VirusTotal para escanear automaticamente skills maliciosas enviadas ao ClawHub. Entretanto, pesquisadores da equipe OpenSourceMalware já identificaram uma nova técnica que bypassa essa proteção: em vez de embutir payloads diretamente nos arquivos SKILL.md das extensões, atacantes agora hospedam o malware em sites falsos que imitam a aparência do OpenClaw oficial e usam as skills puramente como iscas para direcionar vítimas a esses sites maliciosos.
“A mudança de payloads embutidos para hospedagem externa de malware mostra atores de ameaça adaptando-se às capacidades de detecção”, observou o pesquisador de segurança Paul McCarty. “À medida que registros de skills de IA crescem, eles se tornam alvos cada vez mais atraentes para ataques de cadeia de suprimentos”.
Centenas de Milhares de Instâncias Expostas à Internet
A equipe STRIKE Threat Intelligence da SecurityScorecard publicou pesquisa revelando um problema de configuração massivo: mais de 135.000 instâncias do OpenClaw estão expostas diretamente à internet pública sem proteções adequadas. Dessas, aproximadamente 15.200 estão completamente acessíveis a qualquer pessoa que consiga encontrá-las, e cerca de 12.812 são vulneráveis a exploração de execução remota de código.
Vulnerabilidades de RCE (Remote Code Execution) permitem que um atacante envie uma requisição maliciosa a um serviço e execute código arbitrário no sistema subjacente. Quando o OpenClaw é executado com permissões para acessar email, APIs, serviços de nuvem ou recursos internos, uma vulnerabilidade de RCE pode se tornar um ponto de pivô crítico. Um ator malicioso não precisa invadir múltiplos sistemas, ele precisa apenas de um serviço exposto que já tenha autoridade para agir.
A SecurityScorecard alerta que o problema real por trás do OpenClaw não é superinteligência artificial, mas sim infraestrutura exposta e mal configurada. Usuários que executam o OpenClaw localmente em suas máquinas muitas vezes não implementam firewalls adequados, não restringem o acesso de rede e deixam portas de gerenciamento abertas à internet. Isso transforma cada instância mal configurada em um alvo de oportunidade para atacantes realizando varreduras automatizadas.
A ferramenta declawed.io foi criada especificamente para permitir que usuários verifiquem se suas instâncias do OpenClaw estão inadvertidamente expostas à internet. O site oferece verificação rápida e fornece orientações sobre como corrigir configurações inseguras.
Problema de Privacidade no Moltbook
Pesquisadores da OX Security identificaram outra questão preocupante relacionada ao Moltbook, o fórum estilo Reddit projetado exclusivamente para agentes de IA que utilizam principalmente o OpenClaw. Uma vez que uma conta de agente de IA é criada no Moltbook, ela não pode ser deletada. Usuários que desejam remover suas contas e os dados associados não têm recurso ou mecanismo para fazê-lo.
Essa impossibilidade de exclusão de conta cria riscos permanentes de privacidade. Todos os posts, comentários, interações e metadados associados à conta permanecem indefinidamente na plataforma, mesmo que o usuário não deseje mais participar. Combinado com o vazamento anterior de 1,5 milhão de credenciais do Moltbook que documentamos anteriormente no Blog Dolutech, esse problema de privacidade agrava os riscos para usuários cujas informações já foram comprometidas.
Implicações de Segurança e Privacidade
O roubo de arquivos de configuração do OpenClaw por infostealers abre múltiplos vetores de ataque e cenários de comprometimento que vão além do roubo tradicional de credenciais.
Sequestro Completo de Agente de IA
Com o token de gateway roubado e chaves criptográficas do dispositivo, um atacante pode efetivamente sequestrar o agente de IA da vítima. Isso significa assumir controle total sobre todas as funcionalidades e permissões que a vítima concedeu ao agente. Se o agente tem acesso ao email da vítima, o atacante pode ler, enviar e deletar mensagens. Se o agente pode executar comandos no terminal, o atacante pode executar código arbitrário. Se o agente gerencia calendários, tarefas ou acessa APIs corporativas, todas essas capacidades ficam nas mãos do atacante.
O sequestro é particularmente insidioso porque pode ser invisível para a vítima. O atacante não está substituindo o agente, mas sim operando através dele usando credenciais legítimas. Logs e auditorias mostrarão atividades aparentemente normais originando-se do agente autorizado, tornando detecção extremamente difícil.
Exfiltração de Contexto Operacional Sensível
O arquivo soul.md e outros arquivos de configuração contêm informações extremamente sensíveis sobre como a vítima utiliza IA em seus fluxos de trabalho. Isso inclui quais tarefas são automatizadas, quais sistemas internos o agente acessa, quais políticas e restrições estão em vigor, e quais tipos de informações o agente processa regularmente.
Para espionagem corporativa, essas informações são ouro. Um competidor ou adversário de estado-nação que obtém acesso aos arquivos de configuração de agentes de IA de executivos ou engenheiros pode mapear processos internos, identificar sistemas críticos e planejar ataques subsequentes com conhecimento detalhado da infraestrutura da vítima.
Personificação e Ataques de Engenharia Social
Com acesso completo ao agente de IA de uma vítima, atacantes podem estudar padrões de comunicação, estilo de escrita, relacionamentos profissionais e outros detalhes comportamentais. Essas informações podem ser utilizadas para criar ataques de engenharia social hiperpersonalizados direcionados a colegas, clientes ou parceiros da vítima.
Por exemplo, um atacante que compromete o agente de IA de um CFO pode estudar como ele se comunica com fornecedores, que termos utiliza, que tipos de aprovações fornece e então craftar emails de Business Email Compromise extremamente convincentes que parecem vir legitimamente do executivo.
Como Proteger Agentes de IA e Credenciais
Dado o panorama de ameaças em rápida evolução direcionado a agentes de IA, nós da Dolutech compilamos recomendações essenciais para proteger suas instâncias e dados.
Nunca Exponha Instâncias OpenClaw à Internet Pública
A regra número um é simples: nunca execute o OpenClaw com portas acessíveis diretamente da internet pública sem proteções robustas. Configure firewalls para bloquear todo tráfego de entrada exceto de endereços IP específicos confiáveis. Se acesso remoto for necessário, utilize VPN corporativa ou túneis SSH seguros, nunca exponha diretamente.
Verifique regularmente se sua instância está exposta usando ferramentas como declawed.io ou realizando varreduras de portas em seu próprio endereço IP público. Se você descobrir que sua instância está acessível externamente, corrija imediatamente bloqueando acesso através de regras de firewall e reconfigure o OpenClaw para escutar apenas em localhost.
Implemente Segmentação e Isolamento
Execute o OpenClaw em ambientes isolados como máquinas virtuais dedicadas ou containers Docker com redes segregadas. Não execute o agente no mesmo ambiente onde você armazena dados críticos de negócios ou credenciais corporativas sensíveis. Se o agente for comprometido, o isolamento limita o escopo do dano potencial.
Configure políticas de rede que restrinjam quais recursos o container ou VM do OpenClaw pode acessar. Utilize princípio de menor privilégio, concedendo acesso apenas aos sistemas e APIs estritamente necessários para as funções pretendidas do agente.
Armazene Credenciais com Segurança
Nunca armazene tokens de API, chaves de acesso ou outras credenciais em arquivos de configuração em texto claro. Utilize gerenciadores de segredos como HashiCorp Vault, AWS Secrets Manager ou Azure Key Vault para armazenar credenciais com criptografia adequada e controles de acesso.
Configure rotação automática de credenciais sempre que possível. Se tokens forem comprometidos, a janela de oportunidade para atacantes será limitada se credenciais expirarem e forem substituídas regularmente.
Proteja Endpoints Contra Infostealers
A base da defesa contra o tipo de ataque documentado pela Hudson Rock é proteger seus endpoints contra infecção por infostealers. Implemente soluções modernas de EDR (Endpoint Detection and Response) capazes de detectar comportamento anômalo de processos tentando acessar múltiplos arquivos de credenciais ou exfiltrar dados para servidores externos.
Mantenha sistemas operacionais e todas as aplicações atualizadas com os patches de segurança mais recentes. Muitos infostealers exploram vulnerabilidades conhecidas em software desatualizado para obter acesso inicial.
Implemente políticas de Application Whitelisting que permitem apenas executáveis confiáveis conhecidos. Isso impede que malware desconhecido execute mesmo se conseguir entrar no sistema através de phishing ou outros vetores.
Audite Skills Cuidadosamente Antes da Instalação
Antes de instalar qualquer skill do ClawHub ou outras fontes, revise cuidadosamente o código-fonte. Procure por comandos shell suspeitos, downloads de arquivos de URLs não verificadas, solicitações de permissões excessivas ou comportamentos que não fazem sentido dado a função declarada da skill.
Verifique a reputação do desenvolvedor da skill. Skills de desenvolvedores estabelecidos com histórico positivo são geralmente mais confiáveis do que aquelas de contas recém-criadas sem histórico.
Utilize ferramentas automatizadas para análise de skills sempre que possível. Plataformas como a desenvolvida pela Koi Security podem identificar automaticamente padrões maliciosos comuns em skills antes que você as instale.
Monitore Atividade e Estabeleça Baselines
Configure logging detalhado de todas as ações executadas pelo seu agente de IA. Monitore logs regularmente procurando por atividades anômalas como conexões a endereços IP inesperados, acesso a arquivos fora do escopo normal de operação ou comandos executados em horários incomuns.
Estabeleça baselines comportamentais do uso normal do seu agente. Ferramentas de SIEM ou plataformas de análise comportamental podem alertá-lo automaticamente quando o agente desvia significativamente de padrões estabelecidos, potencialmente indicando comprometimento.
O Futuro dos Infostealers na Era de Agentes de IA
A descoberta da Hudson Rock marca apenas o início de uma nova categoria de alvos para infostealers. À medida que agentes de IA pessoais se tornam ubíquos em ambientes profissionais e pessoais, o valor das credenciais e configurações desses agentes aumenta proporcionalmente.
Nós da Dolutech prevemos que dentro de meses, senão semanas, veremos infostealers comerciais populares como Lumma, RedLine, Raccoon, Vidar e outros lançarem módulos dedicados especificamente otimizados para capturar e exfiltrar dados de agentes de IA. Esses módulos não apenas capturarão arquivos de configuração, mas também descriptografarão segredos armazenados, extrairão tokens de sessão ativa e possivelmente até mesmo injetarão instruções maliciosas em arquivos soul.md para alterar o comportamento futuro dos agentes.
O mercado clandestino para credenciais de agentes de IA também emervirá rapidamente. Assim como credenciais bancárias, cookies de sessão e acesso VPN são vendidos em marketplaces da dark web, podemos esperar ver listas de tokens de gateway do OpenClaw, configurações de agentes corporativos e acesso a agentes com permissões privilegiadas sendo negociados.
A resposta de segurança precisa evoluir tão rapidamente quanto as ameaças. Isso requer colaboração entre desenvolvedores de plataformas de agentes de IA, fornecedores de segurança, pesquisadores e comunidade de usuários para estabelecer melhores práticas, compartilhar inteligência de ameaças e desenvolver ferramentas de detecção e proteção específicas para o contexto de agentes de IA.
A transição de roubar credenciais de navegadores para roubar a “alma” de agentes de IA não é apenas uma mudança técnica, mas uma evolução fundamental no que significa proteger identidades digitais na era da inteligência artificial.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.