A verificação de segurança revelou uma vulnerabilidade de alta gravidade na ferramenta de busca de habilidades do agente de IA.

A ferramenta find-skills, projetada para ajudar agentes de IA a descobrir e instalar capacidades adicionais, foi sinalizada com uma descoberta de segurança de alta gravidade durante uma verificação de segurança de rotina.
O que aconteceu
Um desenvolvedor montando sua configuração de agente de IA usou a ferramenta find-skills para localizar e instalar mais habilidades. Após a instalação, ele executou uma verificação de segurança em toda a configuração e descobriu que a própria ferramenta find-skills retornou uma descoberta de segurança de alta gravidade.
O desenvolvedor observou: "A ferramenta que usei para encontrar ferramentas é aquela da qual eu deveria ter me preocupado." Essa descoberta levantou questões sobre a segurança geral do ecossistema, com o desenvolvedor perguntando: "Existe algo realmente seguro neste ecossistema?"
Detalhes importantes da fonte
- O desenvolvedor vinha montando sua configuração de agente de IA por várias semanas
- Ele usou o find-skills especificamente para localizar e instalar habilidades adicionais
- Uma verificação de segurança foi realizada após a instalação "por uma leve paranoia"
- A verificação revelou uma descoberta de alta gravidade na própria ferramenta find-skills
- A descoberta levanta questões sobre a confiança no ecossistema mais amplo de agentes de IA
Este incidente destaca a importância das práticas de segurança mesmo para ferramentas projetadas para aprimorar a funcionalidade. Ao usar ferramentas que instalam ou modificam sua configuração de agente de IA, considere executar verificações de segurança antes e após a instalação para identificar possíveis vulnerabilidades.
📖 Read the full source: r/openclaw
👀 See Also

Microsoft Hackeado: Malware Plantado em Repositórios do GitHub Visa Usuários do Claude e Gemini
Microsoft derrubou mais de 70 repositórios próprios no GitHub após invasores plantarem malware que rouba credenciais quando abertos em agentes de codificação de IA como Claude Code e Gemini CLI.

O vazamento do mapa de origem do código do Claude revela que o JavaScript minificado já estava público no npm
Um arquivo de mapa de origem incluído acidentalmente na versão 2.1.88 do pacote npm @anthropic-ai/claude-code revelou comentários internos dos desenvolvedores, mas o arquivo cli.js real de 13MB contendo mais de 148.000 strings em texto simples está publicamente acessível no npm desde o lançamento.

Caelguard: Scanner de segurança de código aberto para habilidades do OpenClaw
Caelguard é um scanner licenciado pelo MIT, executado localmente, que detecta problemas de segurança em habilidades do OpenClaw, incluindo injeção de prompt, coleta de credenciais e cargas úteis ofuscadas. Pesquisas mostram que aproximadamente 20% das habilidades publicadas contêm padrões preocupantes.

Google TIG relata primeiro exploit de zero-day gerado por IA encontrado na natureza
O Google Threat Intelligence Group identificou um ator de ameaças usando uma exploração de dia zero supostamente desenvolvida com IA, marcando o primeiro uso ofensivo observado de IA para exploração de vulnerabilidades de dia zero.