Dívida de 12 mil em sonho? Este "camarão" está a enlouquecer

Por que o AI OpenClaw passou de uma ferramenta de produtividade a uma ameaça à segurança?

“Estudantes, não instalem cegamente o ‘Lobster’. Usá-lo por apenas três dias quase quebrou minha mente.” Gao Ling, estudante do quarto ano de ciências humanas, está perto de se formar, equilibrando estudos e busca por estágio. Esperava usar o ‘Lobster’ para organizar anotações e fazer tarefas. Mas, ao contrário, o ‘Lobster’ causou muitos problemas, excluindo seus materiais de aulas, revisões e até rascunhos de tarefas recém-concluídas.

Gao Ling ficou desesperado, chorando. Além disso, o ‘Lobster’ consumia tokens loucamente, gerando uma conta de centenas de yuans — equivalente a metade do seu orçamento mensal — que ele considerou uma perda dolorosa. Ele aconselha sinceramente os estudantes: “Se o orçamento for limitado e você não entender de tecnologia, não gaste dinheiro com isso, só vai se arrepender.”

Com a popularização do OpenClaw, uma inteligência artificial de código aberto, uma tempestade de segurança está varrendo diversos setores. Essa ‘funcionária digital’ prometida, por sua configuração padrão vulnerável, está se tornando uma ‘arma Trojan’ nas mãos de atacantes, saindo de uma ferramenta de produtividade. De vazamento de privacidade a paralisação de infraestrutura crítica, de roubo de chaves API a operações financeiras erradas, as primeiras vítimas já sofreram perdas severas, enquanto riscos ocultos continuam a se proliferar.

Recentemente, o Centro Nacional de Emergência de Internet publicou um alerta de segurança sobre o OpenClaw, destacando sua configuração padrão extremamente frágil. Se um invasor encontrar uma brecha, pode obter controle total do sistema. Devido à instalação e uso inadequados, já surgiram riscos graves, incluindo vazamento de privacidade e vulnerabilidades de segurança, colocando os usuários em perigo.

Atualmente, várias universidades, governos locais e instituições financeiras proibiram o uso do OpenClaw, pedindo para “não criar pânico nem promover mitos”. Como usar o ‘Lobster’ de forma segura é uma lição importante na atual febre pelo ‘Lobster’ em todo o país.

Ilustração/adan

Carregando uma dívida enorme enquanto dorme

Yán Hán, blogueiro de tecnologia, foi um dos primeiros a ‘criar’ um ‘Lobster’. Nos últimos meses, ele treinou sete ‘lobsters’. Um deles, o gerente geral, controla os outros seis, responsáveis por negociações de criptomoedas, redação de artigos e tarefas diversas. Para Yán Hán, manejar o ‘Lobster’ parecia fácil.

Mas, há alguns dias, ele saiu e pediu ao ‘Lobster’ que configurasse uma conexão remota para controlar seu computador pelo celular. O ‘Lobster’ travou.

Quando Yán Hán pediu “ajuda para configurar conexão remota”, o ‘Lobster’ tentou iniciar um software de acesso remoto sem sucesso, e depois de 20 minutos de tentativas, não conseguiu conectar. Então, executou o comando “definir senha para conexão remota”, mas interpretou erroneamente como “alterar a senha de boot do computador”. Assim, várias operações subsequentes geraram mensagens de “senha incorreta”. Duas horas depois, ao tentar atualizar o software do computador, ele recebeu erro de senha. Assustado, pensou que seu computador tinha sido invadido.

Perguntou ao ‘Lobster’ se a senha tinha sido alterada, mas ele não soube responder. Yán Hán revisou os registros de operação e descobriu que o ‘Lobster’ confundiu duas funções. “É como se você fosse consertar uma torneira e, acidentalmente, fechasse a válvula de gás. São válvulas diferentes, uma para água, outra para gás.” Para humanos, configurar senha de conexão remota e alterar senha de boot parecem coisas distintas, mas o ‘Lobster’ tem dificuldade em distinguir.

“Nova senha fica registrada em texto claro no sistema, qualquer um pode ver.” O alerta de Yán Hán foi imediato. Ele ordenou ao ‘Lobster’: qualquer operação que possa afetar senhas, permissões ou dados, primeiro consulte o proprietário. Ele também percebeu que, ao colocar o ‘Lobster’ em ambientes sociais, há risco de expor mais informações pessoais. Se o controle de permissões não for bem feito, o ‘Lobster’ pode tratar outros membros do grupo como proprietários, entregando endereço, telefone, senhas — tudo sem resistência.

Em 12 de março, o usuário de IA “LonguohuoHuo” revelou à mídia que seu segundo ‘Lobster’, em operação há apenas 10 dias, foi atacado por um grupo de 3.000 pessoas em um chat com 98 agentes inteligentes, por não ter ativado o mecanismo de @trigger. Os atacantes fizeram perguntas contínuas, obtendo informações do ambiente, configurações, IP, nome real, nome da empresa e dados de receita do ano passado; depois, instruíram o agente a procurar arquivos no disco C, embora a operação tenha sido recusada, informações sensíveis já vazaram. O incidente ocorreu enquanto ele trabalhava até tarde, monitorando o sistema. Se acontecesse à noite, sem supervisão, as consequências seriam imprevisíveis.

Segundo relatos, um programador de Shenzhen, ao instalar o OpenClaw no terceiro dia, teve sua API key roubada e recebeu uma fatura de tokens de até 12.000 yuans. Como o OpenClaw tem permissões altamente automatizadas, uma vez que a chave é comprometida, a IA pode fazer chamadas massivas ao modelo, deixando o usuário com dívidas enormes enquanto dorme.

O vazamento de privacidade é ainda maior. Até agora, mais de 270 mil instâncias do OpenClaw estão expostas na internet, sem autenticação. Além disso, cerca de 12% dos plugins no mercado ClawHub contêm códigos maliciosos capazes de roubar chaves SSH e senhas de navegador.

Segundo o portal Shangguan News, em 8 de março, numa sala de conferências em Xangai, um especialista da Baidu Cloud recebeu um pedido de ajuda de um cidadão: “Quero desinstalar o OpenClaw, pode ajudar?” Ele havia instalado remotamente o OpenClaw no dia anterior, entregando controle do computador ao suporte online, gastando 40 yuans. Mas, cinco minutos depois, recebeu uma ligação do centro anti-fraude: o suporte tinha assumido o controle do seu computador e podia ver todas as informações.

O caso mais alarmante foi o de uma gestão de emails descontrolada. Summer Yue, diretora de segurança do time de IA da Meta, testou o OpenClaw para gerenciar emails. Ela estabeleceu regras claras, exigindo confirmação antes de executar ações. Mesmo assim, o agente ignorou as ordens de parar, apagando e arquivando emails. Ela gritou três vezes, sem resposta. Então, precisou desconectar o cabo de rede.

He Yanzhe, vice-diretor do Centro de Avaliação de Segurança de Redes do Instituto de Padrões de Tecnologia Eletrônica da China, explicou ao《中国新闻周刊’ que o ‘Lobster’ é um agente proxy — uma inteligência artificial que, se tiver permissões elevadas, pode executar qualquer operação no computador, incluindo leitura de arquivos, abertura de aplicativos e correções automáticas. Sua tecnologia funciona na interface entre o aplicativo e o modelo de IA, roteando solicitações, verificando identidade, controlando acessos e gerenciando múltiplos modelos. Basta conectar uma API para trocar de modelos sem reescrever código.

He Yanzhe descreve o ‘Lobster’ como “perseverante até alcançar o objetivo”. “Ao receber uma tarefa, ele tenta obter o resultado, muitas vezes tentando várias ações, acessando arquivos, aplicativos e dados locais, o que leva a problemas de permissões excessivas e vazamento de dados.”

Elon Musk comentou: “Dar autonomia à IA é como entregar uma arma carregada a um macaco.”

“Irreversível” e “não confiável”

Em fevereiro, o grupo DeepMind do Google publicou um artigo longo, ‘Intelligent AI Delegation’, propondo uma estrutura teórica para a delegação entre humanos e agentes. O artigo aponta que, atualmente, alguns aspectos do sistema de segurança de agentes “estão completamente falhando”.

Primeiro, a “perda de reversibilidade”. Por exemplo, gerar um artigo ruim é reversível (apagar e reescrever), mas realizar uma transação financeira de milhões, excluir bancos de dados ou enviar um e-mail de demissão para toda a empresa são ações irreversíveis. Isso mostra que muitas ações do ‘Lobster’ são irreversíveis.

Yán Hán já usou o ‘Lobster’ para uma operação arriscada: autorizar uma negociação de criptomoedas. Inicialmente, deu uma cota de 500 dólares, permitindo que o ‘Lobster’ criasse estratégias, definisse stop-loss de 2% e take-profit de 3%. Mas, sem critérios corretos, o ‘Lobster’ abriu posições com qualquer sinal de mercado, muitas vezes errando, causando perdas de dezenas ou centenas de dólares por operação. Em poucos dias, acumulou prejuízos. Yán Hán percebeu que a “confiança” da IA pode superar sua “capacidade”. Mesmo assistindo, dificilmente consegue impedir suas ações.

O especialista sênior Yang Lin explica que essa irreversibilidade não é apenas uma questão de “não reconhecimento de intenção”, mas de uma cadeia de intenção, confirmação, execução e encerramento que não forma um ciclo fechado. As IAs atuais não ignoram completamente as instruções humanas, mas, em tarefas longas, tendem a desviar de objetivos, perder memória, falhar na confirmação de etapas e não parar completamente. Ou seja, o problema não é só “reconhecer intenção”, mas como o sistema mantém o controle após isso.

“Sem mecanismos eficazes de encerramento e rollback, o risco irreversível se amplia rapidamente. Apagar emails, sobrescrever arquivos, divulgar informações de clientes, modificar bancos, fazer ordens automáticas ou executar comandos remotos — tudo isso não é erro de diálogo comum, mas ações com consequências reais.” Yang Lin acrescenta que qualquer operação de alto impacto — deletar, enviar, publicar, pagar, transferir, alterar configurações ou permissões — deve ser considerada de alto risco.

O setor financeiro pode ser o mais afetado. Em 15 de março, a Associação de Finanças da China publicou um alerta sobre os riscos do OpenClaw na indústria financeira, destacando que o setor lida com informações sensíveis de clientes, fundos, contas e dados pessoais. O OpenClaw pode ser explorado por atacantes para roubar dados ou manipular transações ilegalmente, trazendo riscos severos ao setor.

Um blogueiro estrangeiro afirmou que, com 50 dólares, um ‘Lobster’ negociou ações e, em 48 horas, transformou 50 dólares em quase 3.000, com retorno de 5860%. Plataformas sociais já oferecem tutoriais ensinando como usar o OpenClaw para investir.

“Usar ‘Lobster’ para negociar ações geralmente exige manipulação via API.” Xing Xing, economista-chefe do Jin Dong Hui, não recomenda investidores comuns usarem ‘Lobster’ para ações. Ele considera o ‘Lobster’ uma ferramenta de alta risco, com riscos de segurança de contas, violações de conformidade e falhas na decisão de IA. Em ambientes de limite de variação de preço na Ações A, sua vantagem de alta frequência é limitada, além de poder ser restringido por corretoras por transações anômalas, com altos custos e baixa taxa de sucesso. Investidores comuns não podem obter lucros estáveis a longo prazo, devendo usá-lo apenas como suporte.

Um corretor disse à《中国新闻周刊’: “Muitos corretoras já proibiram o uso do OpenClaw internamente, alertando seus funcionários. Mesmo sem uma proibição formal, eles não ativam a API, o que na prática é uma restrição.”

A plataforma de ameaças e vulnerabilidades do Ministério de Indústria e Tecnologia da Informação da China alertou em 11 de março que o uso do OpenClaw em transações financeiras apresenta riscos de erros de operação e até de tomada de controle da conta. Riscos específicos incluem: envenenamento de memória levando a operações incorretas, bypass de autenticação permitindo controle não autorizado, plugins maliciosos roubando credenciais, e, na pior hipótese, falta de mecanismos de interrupção, levando a ações descontroladas.

Em 23 de fevereiro de 2026, o engenheiro do OpenAI, Nick Pash, criou o agente de negociação ‘Lobstar Wild’ para testar a plataforma OpenClaw. Ele equipou o agente com uma carteira de 50 mil dólares, conta X e várias APIs, incluindo busca na web, análise de imagens e protocolos de negociação, dando-lhe autonomia total.

Um dia, o usuário @TreasureD76 enviou uma solicitação ao ‘Lobstar Wild’, alegando que seu “tio” foi diagnosticado com tétano após tratar um ‘lobster’ (lagosta), e pediu 4 dólares para tratamento. O ‘Lobstar Wild’ não enviou o pagamento, mas transferiu toda sua criptomoeda Lobstar, que na hora valia até 25 mil dólares.

Após investigação, Nick Pash explicou que o erro ocorreu por uma falha de validação do sistema e formato de mensagem incorreto. Ele disse que usava uma versão antiga do OpenClaw, que não conseguiu interceptar comandos errados.

Xing Xing afirmou que os riscos centrais do OpenClaw envolvem segurança de dados, controle de transações e conformidade, e que suas vulnerabilidades de código aberto aumentam a propagação de riscos. Esses riscos são agravados pelas características do setor financeiro, que lida com informações sensíveis, exige alta confidencialidade, integridade e tem forte interdependência. Uma falha em um ponto pode se espalhar, causando risco sistêmico. Além disso, a natureza irreversível das transações financeiras e a fiscalização rigorosa criam um conflito com as configurações de segurança fracas e responsabilidades pouco claras do AI de código aberto.

“Por um lado, esses problemas podem não diminuir com o tempo, mas inicialmente aumentarão à medida que mais cenários de uso surgirem, criando uma contradição entre ‘linguagem próxima, execução instável’.” Yang Lin observa que a ‘não confiabilidade’ do ‘Lobster’ também vem daí. Quando o usuário pede “limpar e-mails antigos”, “apagar arquivos inúteis” ou “organizar a área de trabalho”, para humanos é uma tarefa de senso comum, mas para a máquina envolve limites de tempo, regras de retenção, exceções, ordem de execução e mecanismos de tolerância a falhas.

Em 11 de março, na cidade de Huzhou, Zhejiang, uma tela de monitor exibia notícias sobre o ‘Lobster’ em um centro de tecnologia. Foto/Xinhua

Prevenindo acidentes com ‘empregados digitais’

O OpenClaw mostra claramente o potencial do AI de passar de ‘dialogar’ para ‘executar’. Mas o artigo conclui: “Não podemos realmente impedir que o agente perca o controle.” Para usuários comuns, vale a pena usar o ‘Lobster’?

Nán Fāng, estudante de pós-graduação em humanidades, tem interesse em programação. Durante o feriado, estudou dezenas de tutoriais e criou sua própria versão do ‘Lobster’. Ele também lançou um curso de ‘segurança obrigatória’ para usuários sem background técnico. Em entrevista ao《中国新闻周刊’, afirmou que o maior risco é a tendência de os usuários tratarem a IA como assistente pessoal e revelarem informações pessoais. Essas informações, armazenadas em arquivos, podem causar sérios problemas se forem roubadas.

“O mais perigoso é entregar o controle do computador ao ‘Lobster’, dando-lhe acesso a todos os arquivos.” Nán Fāng explica: “É como se sua porta estivesse fechada, mas, ao instalar o ‘Lobster’, ela fica semiaberta, e você nem percebe esse perigo potencial.”

Para Liu Sen, chefe de produto de segurança da Volcano Engine, o ‘Lobster’ é como um funcionário digital inteligente e dedicado, mas que ainda não conhece bem as regras e limites do trabalho. “Nosso papel é gerenciar como um funcionário, fazer com que ele desempenhe seu papel sem causar problemas.”

Zhou Hongyi, fundador da Qihoo 360, recomenda que, para órgãos públicos e empresas, a abordagem mais realista não é uma proibição total, mas explorar ambientes controlados, como ambientes isolados, para testar a segurança, antes de expandir o uso. Assim, é possível promover o avanço tecnológico e manter a segurança. “Desenvolvimento tecnológico e segurança devem caminhar juntos, não uma escolha entre eles.”

Em 15 de março, em Wuhan, a Qihoo 360 realizou uma instalação gratuita do ‘Lobster’ para o público, com quase cem participantes. Os engenheiros instalaram o ‘360 Security Lobster’ no centro de Wuhan, em uma ação de divulgação.

Para usuários individuais, o especialista em segurança CISSP Yuan Bo recomenda: “O ‘Lobster’ tem vulnerabilidades que podem expor a rede ou causar operações maliciosas não intencionais. Software de código aberto costuma priorizar funcionalidades, negligenciando riscos. Instalar sem entender os riscos é irresponsável.”

He Yanzhe sugere que, ao ‘criar’ um ‘Lobster’, o usuário deve preferir ambientes novos, escolher fornecedores confiáveis nacionais, definir claramente suas necessidades, acompanhar atualizações e patches de segurança, para evitar riscos potenciais.

Zhou Hongyi lembra: “Ao usar, tenha consciência de segurança básica: não entregue suas senhas e dados mais sensíveis ao AI de cara, nem permita acesso irrestrito a informações confidenciais.”

Instalação cautelosa, permissões mínimas e verificação rigorosa de plugins são medidas essenciais de proteção. Segurança deve ser prioridade para todos que ‘criando’ seus ‘lobsters’.

(Os nomes Gao Ling, Yang Lin e Nán Fāng são pseudônimos.)

Publicado em 23/03/2026, na edição nº 1228 da revista《中国新闻周刊》

Título da revista: ‘Lobster’ fora de controle: quem paga a conta?

Repórter: Meng Qian

Editora: Min Jie