CertiK teste na prática: Como a Skill OpenClaw com vulnerabilidades enganou a auditoria e assumiu o controlo do computador sem autorização

Recentemente, a plataforma de IA de código aberto e auto-hospedada OpenClaw (conhecida na comunidade como “Lagostim”) ganhou rápida popularidade devido à sua flexibilidade de escalabilidade e características de implantação autônoma e controlada, tornando-se um produto fenômeno no setor de IA pessoal. Seu núcleo ecológico, o Clawhub, como mercado de aplicações, reúne uma vasta quantidade de plugins de habilidades de terceiros, permitindo que os agentes inteligentes desbloqueiem de uma só vez capacidades avançadas, como busca na web, criação de conteúdo, operações com carteiras de criptomoedas, interações na blockchain e automação de sistemas. A escala do ecossistema e o número de usuários estão crescendo de forma explosiva.

Mas, para essas habilidades de terceiros que operam em ambientes de alta permissão, qual é realmente o limite de segurança da plataforma?

Recentemente, a maior empresa de segurança Web3 do mundo, a CertiK, publicou uma pesquisa recente sobre a segurança de habilidades. O documento aponta que há uma percepção equivocada no mercado sobre os limites de segurança do ecossistema de IA: a indústria geralmente considera a “varredura de habilidades” como o principal limite de segurança, mas esse mecanismo é praticamente inútil diante de ataques de hackers.

Se compararmos o OpenClaw a um sistema operacional de um dispositivo inteligente, as habilidades (Skills) seriam como os aplicativos instalados nesse sistema. Diferente de aplicativos comuns de consumo, algumas habilidades no OpenClaw operam em ambientes de alta permissão, podendo acessar arquivos locais, chamar ferramentas do sistema, conectar-se a serviços externos, executar comandos no ambiente hospedeiro e até manipular ativos digitais criptografados dos usuários. Uma vez que haja uma falha de segurança, isso pode levar à exposição de informações sensíveis, controle remoto do dispositivo, roubo de ativos digitais, entre outros problemas graves.

Atualmente, a solução de segurança padrão para habilidades de terceiros na indústria é a “varredura e revisão antes da publicação”. O Clawhub do OpenClaw também implementou um sistema de revisão em três camadas: combina varredura de código com VirusTotal, um motor de detecção de código estático e uma verificação de consistência lógica com IA, enviando alertas de segurança aos usuários com base na classificação de risco, tentando proteger a segurança do ecossistema. No entanto, a pesquisa e os testes de ataque de conceito da CertiK confirmaram que esse sistema de detecção apresenta limitações em situações reais de ataque e defesa, não sendo suficiente para garantir a segurança.

A pesquisa primeiro analisou as limitações inerentes aos mecanismos atuais de detecção:

Regras de detecção estática podem ser facilmente contornadas. O motor de análise identifica riscos por meio de correspondência de características do código, como detectar combinações de “leitura de informações sensíveis do ambiente + requisições de rede externas” como comportamentos de alto risco. Mas um atacante pode fazer pequenas alterações na sintaxe do código, mantendo a lógica maliciosa, e assim escapar da detecção por correspondência de características, como trocar uma expressão por sinônimos, tornando o sistema de segurança ineficaz.

A revisão com IA possui limitações inerentes. O núcleo do sistema de revisão do Clawhub é um “verificador de consistência lógica”, que consegue detectar apenas códigos maliciosos evidentes, como declarações de funções que não correspondem ao comportamento real. Ele não consegue identificar vulnerabilidades ocultas dentro de lógicas de negócios normais, assim como é difícil detectar armadilhas escondidas em contratos aparentemente conformes.

Ainda mais grave, o fluxo de revisão possui falhas de projeto: mesmo que os resultados do escaneamento do VirusTotal estejam pendentes, habilidades que ainda não passaram por toda a verificação podem ser publicadas e disponibilizadas ao público, permitindo que usuários instalem sem aviso prévio, deixando espaço para ataques.

Para verificar o risco real, a equipe da CertiK realizou testes completos. Criaram uma habilidade chamada “test-web-searcher”, que parece um buscador de web totalmente compatível, com lógica de código padrão, mas na verdade contém uma vulnerabilidade de execução remota de código embutida no fluxo normal de funcionamento.

Essa habilidade conseguiu passar pelas verificações estáticas e de IA, sendo instalada normalmente enquanto seu status no VirusTotal ainda era “pendente”; ao enviar um comando remoto via Telegram, ela ativou a vulnerabilidade, executando comandos arbitrários no dispositivo hospedeiro (no exemplo, abriu a calculadora).

A CertiK destacou que esses problemas não são exclusivos do OpenClaw, mas representam uma visão equivocada comum na indústria de IA: a crença de que a “varredura de revisão” é a principal linha de defesa, ignorando que a verdadeira segurança reside na segregação obrigatória em tempo de execução e no controle de permissões detalhado. Assim como na segurança do ecossistema iOS da Apple, onde a segurança não depende apenas da rigorosa revisão da App Store, mas do sistema de sandboxing e do controle de permissões que isolam cada aplicativo em um “contenedor” separado, impedindo o acesso irrestrito ao sistema. O mecanismo de sandbox do OpenClaw é opcional e depende de configuração manual pelo usuário; a maioria dos usuários, para garantir a funcionalidade das habilidades, desativa o sandbox, deixando o agente inteligente vulnerável a códigos maliciosos ou vulneráveis, o que pode resultar em consequências catastróficas.

Em resposta às descobertas, a CertiK também forneceu recomendações de segurança:

● Para desenvolvedores de IA como OpenClaw, é essencial tornar a configuração de isolamento em sandbox a padrão obrigatória para habilidades de terceiros, implementar um modelo de controle de permissões detalhado, e nunca permitir que códigos de terceiros herdem permissões elevadas do sistema hospedeiro por padrão.

● Para usuários comuns, habilidades marcadas como “seguras” no mercado representam apenas que não foram detectados riscos, não uma garantia de segurança absoluta. Antes de o mecanismo de isolamento profundo ser ativado por padrão, recomenda-se que o OpenClaw seja implantado em dispositivos ociosos ou máquinas virtuais, longe de arquivos sensíveis, credenciais ou ativos criptográficos de alto valor.

O setor de IA está à beira de uma explosão, e o ritmo de expansão do ecossistema não pode superar o avanço na segurança. A varredura de revisão pode impedir ataques básicos, mas nunca será suficiente como limite de segurança para agentes de alta permissão. É preciso passar de uma busca por “detecção perfeita” para uma estratégia de “contenção de danos com risco presumido”, estabelecendo de forma obrigatória o isolamento em tempo de execução, para garantir a segurança fundamental da IA e permitir que essa revolução tecnológica avance de forma segura e sustentável.