Pesquisas recentes mostram que o sistema de busca de habilidades do OpenClaw não constitui uma barreira segura. A publicação de habilidades de terceiros continua sendo um problema para a criação e utilização de agentes de IA.
As habilidades do OpenClaw ainda representam ameaças à segurança, e o recente sistema de varredura de habilidades não constitui uma barreira segura, de acordo com pesquisas recentes de especialistas em segurança. A varredura de habilidades foi proposta como uma porta de entrada para os editores de habilidades, visando interceptar cargas úteis de dados potencialmente maliciosas ou elementos maliciosos da própria habilidade.
Conforme Cryptopolitan relatado, os serviços de terceiros já representam riscos de segurança, e a adoção de agentes de IA está acelerando e agravando o problema.
O OpenClaw permite que o usuário crie agentes e os execute em uma máquina local ou em um servidor. No entanto, as skills que funcionam diretamente com o OpenClaw podem herdar o mesmo acesso a recursos e ferramentas. Como algumas skills envolvem tarefas sensíveis, como acesso à carteira ou interações on-chain, os conjuntos de skills disponibilizados por terceiros ainda representam um risco.
Como o OpenClaw verifica se as habilidades têm intenções maliciosas?
Pesquisas recentes mostraram que o Clawhub usa o VirusTotal, bem como o sistema de moderação interno do OpenClaw. Os resultados dessas verificações classificam as skills e exibem avisos aos usuários durante a instalação.
Este sistema ainda não é perfeito e pode classificar habilidades como inofensivas ou até mesmo potencialmente prejudiciais. Um problema surge quando o VirusTotal sinaliza a habilidade como suspeita e o OpenClaw como benigna. O usuário recebe um aviso, mas ainda pode confirmar a instalação da habilidade. Habilidades totalmente sinalizadas como maliciosas não são permitidas para download.
O OpenClaw também oferece sandbox e controles de tempo de execução, mas estes são opcionais e não constituem um limite padrão rígido para habilidades de terceiros. O OpenClaw deixa o sandbox baseado em Docker opcional, e algumas ferramentas permanecem disponíveis mesmo com ele desativado.
Os usuários também optam pelo caminho direto porque os ambientes de sandbox podem ser difíceis de implantar e algumas habilidades podem apresentar falhas. Isso também significa que a plataforma depende de revisões e avisos, um sistema que não oferece proteção direta ao executar habilidades de agente.
O OpenClaw consegue detectar habilidades maliciosas?
O OpenClaw já implementou algumas medidas de segurança, incluindo verificações de comportamentos especificamente ligados a códigos interceptadores que podem ler segredos e enviá-los. Essa abordagem é usada em segurança tradicional para detectar processos, solicitações e outros comportamentos suspeitos.
As habilidades de agentes de IA são mais difíceis de analisar porque as entradas envolvem tanto código quanto instruções em linguagem natural, além do comportamento em tempo de execução. A segurança tradicional pode ter pontos cegos para comportamentos de agentes.
A próxima etapa consiste em usar a varredura por IA para detectar comportamentos mais arriscados que não foram identificados por uma busca estática ou pela abordagem usual de expressões regulares. Os agentes de IA podem fornecer uma visão da consistência interna das habilidades, embora não sejam exaustivos em relação ao potencial de exploração. Eles buscam o código explorável mais óbvio ou inconsistências gerais.
Os pesquisadores observaram que o sistema de verificação e moderação do OpenClaw aprovava habilidades rapidamente, enquanto o VirusTotal às vezes levava dias para sinalizar a adição. Também era possível adicionar exploits a habilidades já aprovadas. Isso significava que o processo do OpenClaw podia declarar habilidades como benignas quando elas poderiam conter comportamentos inesperados.
Para desenvolvedores de agentes de IA, os pesquisadores recomendam o uso de sandbox ou ferramentas para impedir a execução de skills, mesmo que sejam sinalizadas como benignas. Os pesquisadores também alertaram que as plataformas de skills devem considerar que skills aparentemente normais podem esconder vulnerabilidades e evitar usá-las em ambientes de alto valor, que podem conceder acesso a carteiras de criptomoedas ou outras informações sensíveis.
