Violação de Segurança da OpenClaw: Agente do CEO Vendido por US$ 25 mil, 135 Mil Instâncias Expostas

Vulnerabilidades Críticas de Segurança do OpenClaw

Uma instância do OpenClaw de um CEO do Reino Unido foi listada no BreachForums em 22 de fevereiro sob o apelido "fluffyduck" e vendida por US$ 25.000 em Monero ou Litecoin. O comprador obteve acesso ao assistente de IA pessoal totalmente treinado do CEO, incluindo todas as conversas, o banco de dados de produção da empresa, tokens do Telegram, chaves de API do Trading 212 e detalhes pessoais da família revelados ao assistente. Todos os dados foram armazenados em arquivos Markdown em texto simples em ~/.openclaw/workspace/ sem nenhuma criptografia em repouso.

O VP de Inteligência de Ameaças da Cato Networks, Etay Maor, declarou na RSAC 2026: "Sua IA? Agora é minha IA." A SecurityScorecard identificou 135.000 instâncias do OpenClaw expostas na internet pública com configurações padrão inseguras.

Verificação de Segurança em 5 Minutos

Verificação 1: Exposição do Gateway (30 segundos)

Execute: openclaw config get | grep -E "host|bind"

Se você vir 0.0.0.0 ou nada, seu agente está acessível por qualquer pessoa que encontre seu IP e porta. O CVE-2026-25253 (CVSS 8.8) permitia que JavaScript em páginas da web controladas por atacantes abrisse silenciosamente conexões WebSocket para gateways locais do OpenClaw, roubando tokens de autenticação e concedendo controle total. Corrigido na versão 2026.1.29.

Correção:

{ "gateway": { "host": "127.0.0.1" } }

Acesse remotamente apenas através de túnel SSH: ssh -L 18789:localhost:18789 user@your-vps

Verificação 2: Status de Autenticação (30 segundos)

Execute: openclaw config get | grep -E "auth|token"

O pesquisador fmdz387 encontrou quase mil instâncias do OpenClaw publicamente acessíveis sem nenhuma autenticação no final de janeiro. Ele podia acessar chaves de API, tokens do Telegram, contas do Slack, históricos completos de chat e executar comandos de administrador.

Correção: Gere um token com openssl rand -hex 24 e coloque-o em gateway.auth.token. Armazene em .env, não em JSON embutido.

Verificação 3: Chaves de API em Texto Simples (30 segundos)

Execute: cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"

O OpenClaw armazena tudo em Markdown e JSON em texto simples. Se sua chave da Anthropic, chave da OpenAI ou qualquer credencial estiver visível, elas estão a uma violação de serem comprometidas.

Correção: Mova as credenciais para .env e bloqueie as permissões: chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json

Renove suas chaves de API hoje se elas já foram expostas.

Verificação 4: Habilidades Instaladas (60 segundos)

Execute: openclaw skills list

Mais de 820 habilidades maliciosas foram confirmadas no ClawHub. A campanha ClawHavoc plantou centenas de habilidades com aparência profissional que extraíam silenciosamente arquivos .env para servidores externos. No pico, aproximadamente 1 em cada 12 habilidades no ClawHub estava comprometida.

Para cada habilidade cujo código-fonte você não revisou pessoalmente: leia-o agora ou remova-o com openclaw skills uninstall <skill-name>

Restrinja as instalações:

{ "skills": { "allowSources": ["clawhub:verified"] } }

Verificação 5: Status da Versão (30 segundos)

Execute: openclaw --version

O OpenClaw não possui mecanismo de atualização automática. Mais de 255 avisos de segurança foram publicados na página GHSA do GitHub em meados de março.

Atualize: npm install -g openclaw@latest openclaw doctor --deep

Leia a saída com atenção.