Alerta de Segurança OpenClaw: 500.000 Instâncias Públicas, Configuração Padrão Expõe Sistemas

✍️ OpenClawRadar📅 Publicado: April 1, 2026🔗 Source
Alerta de Segurança OpenClaw: 500.000 Instâncias Públicas, Configuração Padrão Expõe Sistemas
Ad

Detalhes da Exposição de Segurança do OpenClaw

Análises recentes mostram riscos de segurança significativos em instalações do OpenClaw acessíveis publicamente. De acordo com pesquisadores de segurança, atualmente existem 500.000 instâncias do OpenClaw na internet pública. Dessas, 30.000 têm riscos de segurança conhecidos e 15.000 são exploráveis por meio de vulnerabilidades conhecidas.

Problemas Críticos de Configuração

A instalação padrão do OpenClaw tem várias deficiências de segurança:

  • A autenticação é desativada por padrão
  • O gateway vincula-se a 0.0.0.0, tornando o sistema acessível de qualquer rede
  • Não há interruptor de emergência incluído no sistema
  • Nenhum console de gerenciamento é fornecido
  • Os dados são armazenados em arquivos markdown de texto simples sem criptografia

Essa configuração significa que, se você instalou o OpenClaw sem configurar manualmente as configurações de segurança, toda a sua configuração de agentes está disponível na internet aberta para qualquer pessoa acessar.

Ad

Incidentes de Segurança Documentados

Vários incidentes de segurança foram documentados:

  • Uma auditoria de segurança encontrou 341 habilidades maliciosas no ClawHub
  • 1,5 milhão de tokens de API foram expostos em um vazamento de banco de dados
  • Um desenvolvedor encontrou 9 CVEs em sua primeira semana usando o OpenClaw
  • A instância do OpenClaw de um CEO do Reino Unido foi vendida no BreachForums por US$ 25.000, dando ao comprador acesso a e-mail, calendário e arquivos

Ação Imediata Necessária

Se você tem o OpenClaw instalado, verifique sua configuração imediatamente:

  • Verifique se a autenticação está configurada corretamente
  • Verifique suas vinculações de rede
  • Revise a segurança de suas chaves de API
  • Certifique-se de que sua instalação não esteja publicamente acessível sem medidas de segurança adequadas

A tecnologia em si é capaz, mas a configuração padrão apresenta passivos de segurança significativos que exigem atenção imediata.

📖 Leia a fonte completa: r/openclaw

Ad

👀 See Also

llm-hasher: Detecção e Tokenização Local de PII para Fluxos de Trabalho Híbridos de LLM
Security

llm-hasher: Detecção e Tokenização Local de PII para Fluxos de Trabalho Híbridos de LLM

llm-hasher é uma ferramenta que detecta informações pessoalmente identificáveis localmente usando Ollama antes que os dados cheguem a LLMs externos como OpenAI ou Claude, tokeniza as PII e restaura os originais após o processamento. Ela usa regex para tipos de dados estruturados e um LLM local para detecção contextual, com armazenamento criptografado para mapeamentos.

OpenClawRadar
Plugin de Segurança do Claude Code: Integrando AppSec no Fluxo de Trabalho do Desenvolvedor
Security

Plugin de Segurança do Claude Code: Integrando AppSec no Fluxo de Trabalho do Desenvolvedor

A Anthropic lançou um plugin de orientação de segurança para o Claude Code que identifica e corrige vulnerabilidades durante a codificação. Disponível para todos os usuários via marketplace de plugins, não apenas para Enterprise. Discute se isso se torna um assistente leve, uma camada séria de AppSec ou uma ponte para o Claude Security.

OpenClawRadar
Claude Code --perigosamente-ignorar-permissões vulnerabilidade e ferramenta de defesa de código aberto
Security

Claude Code --perigosamente-ignorar-permissões vulnerabilidade e ferramenta de defesa de código aberto

A Lasso Security publicou uma pesquisa mostrando vulnerabilidades de injeção indireta de prompt no Claude Code ao usar a flag --dangerously-skip-permissions, com vetores de ataque incluindo arquivos README envenenados, conteúdo web malicioso e saídas de servidores MCP. Eles lançaram um hook PostToolUse de código aberto que verifica as saídas de ferramentas contra mais de 50 padrões de detecção.

OpenClawRadar
Proteção Orçamentária com IA: Por que Você Deve Usar um Cartão Pré-pago com OpenClaw
Security

Proteção Orçamentária com IA: Por que Você Deve Usar um Cartão Pré-pago com OpenClaw

Nenhum

r/moltbot community