Em menos de três meses, um projeto pessoal de um desenvolvedor austríaco se transformou no repositório open-source de crescimento mais rápido da história recente do GitHub. O OpenClaw, um agente de IA autônomo que conecta modelos de linguagem ao seu sistema operacional via plataformas de mensagem, acumulou 196 mil stars, atraiu mais de 600 contribuidores e virou notícia em praticamente toda publicação de tecnologia do planeta.

Mas a mesma explosão de popularidade que colocou o OpenClaw no mapa também expôs fragilidades graves. Pesquisadores de segurança encontraram mais de 42 mil instâncias publicamente acessíveis na internet, skills maliciosas infiltradas no marketplace oficial e chaves de API de provedores como Anthropic e OpenAI vazando em texto puro. Essa é a história de como um projeto promissor virou estudo de caso sobre os riscos de crescer rápido demais.

De Clawdbot a OpenClaw: a jornada de um projeto viral

A história começa em novembro de 2025, quando Peter Steinberger publicou no GitHub um assistente pessoal chamado Clawdbot. O nome era uma referência ao Claude, o chatbot da Anthropic, e o projeto era exatamente o que a descrição sugeria: um bot que usava LLMs para automatizar tarefas do dia a dia via WhatsApp e Telegram.

Steinberger não é um desenvolvedor qualquer. Veterano do ecossistema Apple, ele passou 13 anos à frente da PSPDFKit, uma empresa de SDK para processamento de PDFs. Mas, como ele mesmo descreveu em seu blog pessoal, sempre se viu mais como construtor do que como empresário. O Clawdbot era um playground pessoal, sem pretensões comerciais.

O problema veio rápido. Em janeiro de 2026, a equipe jurídica da Anthropic notificou Steinberger sobre a semelhança entre "Clawd" e "Claude". No dia 27 de janeiro, o projeto foi renomeado para Moltbot, uma referência ao processo de muda das lagostas. Três dias depois, em 30 de janeiro, Steinberger decidiu renomear mais uma vez para OpenClaw, buscando estabilidade e fim da confusão na comunidade.

O que aconteceu a seguir ninguém esperava. O OpenClaw viralizou. Em uma única semana, o repositório recebeu 2 milhões de visitantes. As stars no GitHub saltaram de poucos milhares para mais de 140 mil em questão de semanas. Propostas de investimento chegaram sem serem solicitadas.

No dia 14 de fevereiro de 2026, Steinberger anunciou que estava se juntando à OpenAI. O OpenClaw seria transferido para uma fundação open-source independente, com patrocínio da própria OpenAI. Nas palavras do criador, a missão era construir "um agente que até minha mãe consiga usar", e para isso ele precisava de acesso a modelos e recursos que um projeto indie não conseguiria alcançar sozinho.

Como o OpenClaw funciona por dentro

Por baixo da interface amigável de chat, o OpenClaw é uma máquina de estados orientada a eventos com uma arquitetura hub-and-spoke centrada em um componente chamado Gateway.

O Gateway é um daemon que roda localmente na máquina do usuário, escutando na porta ws://127.0.0.1:18789 via WebSocket. Ele é o controlador de tráfego central: recebe mensagens de todas as plataformas conectadas, roteia eventos para os módulos corretos, gerencia sessões e despacha chamadas para os LLMs configurados.

O protocolo de comunicação usa quatro tipos de frames WebSocket: Request, Response, Event e Connect. O primeiro frame de qualquer conexão precisa ser um Connect, caso contrário o Gateway fecha a conexão imediatamente. Essa rigidez no handshake é uma decisão de segurança que impede conexões não autenticadas de se manterem abertas.

O Gateway emite seis tipos de eventos: agent, chat, presence, health, heartbeat e cron. Isso significa que o OpenClaw não é simplesmente um chatbot que responde a mensagens. Ele processa temporizadores, webhooks, verificações de saúde e tarefas agendadas, tudo passando pelo mesmo pipeline de eventos.

Um detalhe importante: o processamento de eventos é serializado via fila. Um evento é completamente processado antes que o próximo comece. Isso garante consistência de estado, mas pode se tornar um gargalo em cenários de alto volume.

A camada de abstração de LLMs é outro ponto forte da arquitetura. O OpenClaw suporta OpenAI, Anthropic Claude, Google Gemini, DeepSeek e modelos locais via Ollama. Trocar de provedor exige apenas uma mudança de configuração, sem alterar código. O usuário traz sua própria chave de API e decide qual modelo usar para cada tarefa.

{
  "llm": {
    "provider": "ollama",
    "model": "llama3:8b",
    "endpoint": "http://localhost:11434"
  }
}

Para os nós de acesso, o OpenClaw oferece um CLI, uma interface WebChat, aplicativos nativos para macOS, iOS e Android, e até um runtime para Raspberry Pi. Todos se conectam ao Gateway central via o mesmo protocolo WebSocket.

O sistema de skills e a extensibilidade

O verdadeiro poder do OpenClaw está no seu sistema de skills, plugins que estendem as capacidades do agente muito além de conversa por texto.

O projeto vem com mais de 100 AgentSkills pré-configuradas que cobrem desde integração com Gmail, Outlook e Google Calendar até controle de navegador, execução de comandos shell, leitura e escrita de arquivos, agendamento via cron e captura de tela. Na prática, o OpenClaw pode fazer qualquer coisa que o usuário faria no computador, mas acionado por uma mensagem de WhatsApp.

As skills são executadas diretamente no processo do Gateway, com suporte a hot-reload. Isso significa que um desenvolvedor pode criar, testar e atualizar uma skill sem reiniciar o agente. Cada skill é definida de forma type-safe, com um contrato claro de entrada e saída.

export const weatherSkill = defineSkill({
  name: "weather",
  description: "Get current weather for a location",
  parameters: z.object({
    city: z.string(),
    country: z.string().optional()
  }),
  execute: async ({ city, country }) => {
    const data = await fetchWeather(city, country);
    return `${city}: ${data.temp}C, ${data.condition}`;
  }
});

Além das skills locais, o ecossistema conta com o ClawHub, um marketplace comunitário onde qualquer pessoa pode publicar skills. Em meados de fevereiro de 2026, o ClawHub já contava com mais de 10.700 skills disponíveis. A ideia é parecida com os plugins do VS Code ou os packages do npm: um registro centralizado que facilita a descoberta e instalação.

O suporte a plataformas de mensagem é igualmente extenso. O OpenClaw se conecta a mais de 13 plataformas: WhatsApp (via Baileys), Telegram (via grammY), Slack, Discord, Signal, iMessage, Google Chat, Microsoft Teams, Matrix, BlueBubbles, Zalo e WebChat, entre outras. Cada plataforma é integrada via um adaptador modular, e novas plataformas podem ser adicionadas sem modificar o core.

O preço da popularidade: a crise de segurança

A explosão de adoção do OpenClaw veio acompanhada de uma tempestade de problemas de segurança que expôs a fragilidade de um projeto que cresceu mais rápido do que sua infraestrutura de segurança conseguia acompanhar.

O primeiro alerta veio em 30 de janeiro de 2026, quando pesquisadores publicaram o CVE-2026-25253 com pontuação CVSS de 8.8 (alta severidade). A vulnerabilidade, classificada como CWE-669 (Incorrect Resource Transfer Between Spheres), permitia que um atacante exfiltrasse tokens de autenticação via URLs maliciosas no parâmetro gatewayUrl, abrindo caminho para execução remota de código. A correção foi incluída na versão v2026.1.29, mas muitas instâncias nunca foram atualizadas.

Nas semanas seguintes, mais seis vulnerabilidades foram reportadas, incluindo falhas de autenticação ausente, path traversal e SSRF adicional. O padrão era consistente: recursos que funcionavam bem em uso local ficavam perigosamente expostos quando o usuário colocava a instância na internet pública.

E muitos usuários fizeram exatamente isso. A Bitsight, empresa de inteligência de segurança, identificou mais de 30 mil instâncias do OpenClaw expostas publicamente. Um estudo independente encontrou 42.665 instâncias acessíveis sem autenticação. A escalada foi vertiginosa: em 25 de janeiro havia cerca de mil instâncias públicas; em 31 de janeiro, mais de 21 mil.

O que os pesquisadores encontraram nessas instâncias abertas foi alarmante. Chaves de API da Anthropic e da OpenAI em texto puro nos arquivos de configuração. Tokens de bots do Telegram. Credenciais de contas Slack. Meses inteiros de histórico de conversas com o agente. Na prática, qualquer pessoa com um scanner de rede tinha acesso a dados sensíveis de milhares de usuários.

O ClawHub, o marketplace de skills, se transformou em outro vetor de ataque. Uma análise revelou que 283 de aproximadamente 4.000 skills (cerca de 7,1%) continham falhas que vazavam credenciais. Pior ainda: uma campanha coordenada batizada de ClawHavoc infiltrou 341 skills maliciosas no marketplace, número que cresceu para mais de 824 à medida que a operação se expandiu. Essas skills eram projetadas para exfiltrar dados silenciosamente, instruindo o agente a enviar informações para servidores controlados pelos atacantes.

O Moltbook, uma rede social criada especificamente para agentes OpenClaw interagirem entre si, adicionou mais combustível à crise. Pesquisadores descobriram que a plataforma expunha um banco de dados desprotegido contendo 35 mil endereços de email e 1,5 milhão de tokens de API de agentes.

Como rodar o OpenClaw de forma segura

Apesar dos incidentes, o OpenClaw continua sendo um projeto legítimo e funcional. O problema não é a ferramenta em si, mas como ela foi implantada por uma base de usuários que cresceu antes que as práticas de segurança estivessem maduras. Para quem quer usar o OpenClaw em 2026, existem práticas essenciais que mitigam os riscos conhecidos.

Nunca exponha o Gateway à internet pública. O OpenClaw foi projetado para rodar localmente, com o Gateway escutando em 127.0.0.1. Se você precisa de acesso remoto, use uma VPN ou um túnel SSH. As 42 mil instâncias expostas existem porque usuários colocaram o daemon diretamente na internet, sem firewall e sem autenticação.

Audite cada skill antes de instalar. O ClawHub não tem revisão de segurança obrigatória. Antes de adicionar qualquer skill, leia o código-fonte. Procure por chamadas HTTP para domínios externos, acesso a variáveis de ambiente e execução de comandos shell. Se uma skill de "previsão do tempo" está fazendo fetch para um servidor que não é uma API meteorológica, descarte-a.

Use o modo Secure DM. O OpenClaw oferece um modo de mensagem direta segura que restringe quais comandos o agente pode executar quando acionado por plataformas de mensagem. Ative esse modo sempre que o agente estiver conectado a canais públicos ou grupais.

Prefira modelos locais quando possível. Com o Ollama e hardware NVIDIA RTX, é possível rodar o OpenClaw sem enviar nenhum dado para APIs externas. Isso elimina o risco de vazamento de chaves de API e garante conformidade com requisitos de privacidade como LGPD e GDPR.

# Configuracao com Ollama local
ollama pull llama3:8b
export OPENCLAW_LLM_PROVIDER=ollama
export OPENCLAW_LLM_MODEL=llama3:8b
export OPENCLAW_LLM_ENDPOINT=http://localhost:11434
openclaw start --secure-dm

Mantenha o OpenClaw atualizado. As vulnerabilidades reportadas foram corrigidas nas versões subsequentes. O CVE-2026-25253 foi resolvido na v2026.1.29. Rode openclaw update regularmente e acompanhe o changelog no repositório oficial.

Isole a rede do agente. Em ambientes corporativos, rode o OpenClaw em uma rede segmentada com regras de firewall que limitem o tráfego de saída apenas para os endpoints necessários (API do LLM, plataformas de mensagem configuradas). Isso contém o raio de explosão caso uma skill maliciosa tente exfiltrar dados.

Conclusão

O OpenClaw é um projeto fascinante que representa o que há de mais ambicioso na atual onda de agentes de IA. A ideia de ter um assistente pessoal open-source, rodando localmente, conectado a qualquer plataforma de mensagem e capaz de executar tarefas reais no seu sistema é genuinamente poderosa. A transição para uma fundação com patrocínio da OpenAI sinaliza que o projeto tem fôlego para evoluir.

Mas a história do OpenClaw também é um alerta sobre o que acontece quando um projeto de infraestrutura sensível viraliza antes de estar preparado para isso. Cada uma das 42 mil instâncias expostas representava um computador real, com dados reais, acessível a qualquer pessoa na internet. Cada skill maliciosa no ClawHub era código executando com as permissões do usuário que a instalou.

Para desenvolvedores que querem experimentar o OpenClaw, a recomendação é direta: trate-o como você trataria qualquer software que tem acesso root ao seu sistema. Rode localmente, audite extensões, mantenha atualizado e nunca, em hipótese alguma, exponha o Gateway à internet sem uma camada robusta de autenticação e rede.

A promessa do OpenClaw é real. Mas promessa sem segurança é só risco com marketing melhor.

Referências pesquisadas nesta publicação