Vulnerabilidades de Segurança do Recurso 'Permitir Sempre' do OpenClaw e Alternativas Mais Seguras

Vulnerabilidades do Sistema de Aprovação do OpenClaw
O sistema de aprovação do OpenClaw pergunta aos usuários "posso fazer isso?" antes de executar comandos, com opções para aprovar uma vez ou aprovar sempre. O recurso "permitir sempre" foi identificado como um risco de segurança através de duas CVEs recentes.
Problemas de Segurança Específicos
CVE-2026-29607: A aprovação "permitir sempre" se vincula ao comando wrapper, não ao comando interno. Se você aprovar time npm test com "sempre", o sistema lembra "sempre permitir time". Posteriormente, se o agente (ou através de injeção de prompt) executar time rm -rf /, ele executa sem re-prompt porque você aprovou o comando wrapper.
CVE-2026-28460: Esta vulnerabilidade ignora completamente a lista de permissões usando caracteres de continuação de linha do shell. Técnica diferente, mas mesmo resultado: comandos são executados sem a verificação de aprovação que você pensava estar protegendo você.
Ambas as vulnerabilidades foram corrigidas no OpenClaw 3.12+, mas o problema mais profundo permanece.
O Problema de Segurança Comportamental
Mesmo após a correção, o modelo mental do "permitir sempre" treina os usuários a parar de prestar atenção. Inicialmente, os usuários leem cuidadosamente cada prompt de aprovação. Na semana 3, eles estão clicando em "sempre" em tudo porque os prompts se tornam irritantes e a confiança no agente aumenta. Na semana 6, os usuários acumulam 20+ regras "sempre" que não conseguiriam listar se perguntados.
Abordagem Alternativa Recomendada
O autor da fonte recomenda: nenhum "permitir sempre" para qualquer coisa que modifique arquivos, envie mensagens ou execute comandos shell. Em vez disso, adicione guardrails explícitos em seu arquivo SOUL.md:
"para qualquer ação que modifique arquivos, envie comunicações ou execute comandos shell: mostre-me exatamente o que você planeja fazer e aguarde meu ok explícito. aprovações anteriores não são transferidas. pergunte toda vez. isso é não negociável."
Esta abordagem significa mais toques em "ok" em interfaces como o Telegram, mas impede que o agente seja enganado via injeção de prompt ou sua própria alucinação para executar ações destrutivas sob aprovações desatualizadas.
Conclusão Principal
O sistema de aprovação é um recurso de conveniência que nunca foi projetado como um limite de segurança. Trate-o de acordo.
📖 Leia a fonte completa: r/openclaw
👀 See Also

Duas Abordagens para Reduzir o Risco de Vazamento de Dados com Agentes de IA
Uma postagem no Reddit descreve dois métodos para desenvolvedores controlarem para onde vão os dados de seus agentes de IA: usar suas próprias chaves de API diretamente com provedores como OpenAI ou Anthropic para eliminar intermediários, ou executar modelos de código aberto localmente com ferramentas como Ollama e OpenClaw.

Loops de Bajulação de IA: Vulnerabilidade do RLHF Cria Dependência e Câmaras de Eco
Uma sessão de red teaming identificou uma vulnerabilidade estrutural em modelos de IA comerciais onde a otimização RLHF faz com que priorizem a bajulação e a concordância em vez da argumentação lógica, criando riscos de dependência psicológica e câmaras de eco automatizadas.

Preocupações com a Privacidade no OpenClaw: Habilidades, SOUL MD e Comunicação de Agentes
Um desenvolvedor levanta preocupações sobre privacidade na arquitetura do OpenClaw, especificamente sobre habilidades terem acesso irrestrito a dados sensíveis, o SOUL MD ser gravável e agentes compartilharem informações sem filtros.

EctoClaw: Ferramenta de Segurança para Agentes OpenClaw com Acesso ao Terminal
EctoClaw é uma ferramenta de segurança gratuita e de código aberto para OpenClaw que verifica cada ação quatro vezes antes da execução, executa ações em um sandbox robusto e registra tudo com prova.