OpenClaw Mercado de habilidades revelado com mais de mil plugins maliciosos, especializados em roubar chaves SSH e chaves privadas de carteiras de criptomoedas. O “estado de confiança” do ecossistema de ferramentas de IA está a tornar-se na face de ataque mais subestimada do Web3.
(Antecedentes: Bloomberg: por que a16z se tornou uma força-chave por trás das políticas de IA nos EUA?)
(Complemento de contexto: Último artigo de Arthur Hayes: IA irá desencadear colapsos de crédito, o Federal Reserve acabará por “imprimir dinheiro infinitamente” e acender a chama do Bitcoin)
Índice deste artigo
- Texto deixou de ser apenas texto, tornou-se uma instrução
- A lição de 1,78 milhões de dólares da Moonwell
- O valor padrão de confiança está errado
Cofundador da SlowMist, Yu Xian, alertou recentemente na plataforma X: no mercado de habilidades ClawHub do OpenClaw, há cerca de 1.184 plugins de habilidades maliciosas capazes de roubar chaves SSH, chaves privadas de carteiras de criptomoedas, senhas de navegador e até criar backdoors de shell reverso. Os plugins mais perigosos contêm até 9 vulnerabilidades, com milhares de downloads.
Mais uma vez: o texto deixou de ser apenas texto, tornou-se uma instrução. Para usar ferramentas de IA, é preciso um ambiente isolado…
Skills são muito perigosas⚠️
Skills são muito perigosas⚠️
Skills são muito perigosas⚠️ https://t.co/GZ3hhathkE
— Cos( cosseno)😶🌫️ (@evilcos) 20 de fevereiro de 2026
ClawHub é o mercado oficial de habilidades do OpenClaw, que recentemente ganhou destaque (antes conhecido como clawbot). Os usuários podem instalar extensões de terceiros, permitindo que a IA execute tarefas desde a implantação de código até a gestão de carteiras.
A empresa de segurança Koi Security revelou, no final de janeiro, uma operação de ataque chamada “ClawHavoc”, inicialmente identificando 341 plugins maliciosos. Depois, pesquisadores independentes e a Antiy CERT ampliaram o escopo para 1.184, envolvendo 12 contas de publicação. Um atacante com pseudônimo hightower6eu enviou sozinho 677 pacotes, mais da metade do total.
Em outras palavras, uma única pessoa contaminou mais da metade do mercado com conteúdo malicioso, enquanto o sistema de moderação da plataforma não conseguiu impedir.
Texto deixou de ser apenas texto, tornou-se uma instrução
A complexidade dessas habilidades maliciosas não é simples. Elas se disfarçam de bots de negociação de criptomoedas, rastreadores de carteiras Solana, ferramentas de estratégia Polymarket, resumidores do YouTube, acompanhadas de documentação profissional. Mas o verdadeiro golpe está na seção “Pré-requisitos” do arquivo SKILL.md: instruções para o usuário copiar um script de shell ofuscado de um site externo e executá-lo no terminal.
Esse script baixa do servidor C2 uma ferramenta de roubo de informações para macOS chamada Atomic Stealer (AMOS), que custa entre 500 e 1.000 dólares por mês.
O AMOS escaneia senhas de navegador, chaves SSH, registros de conversas no Telegram, chaves privadas do Phantom, chaves API de exchanges e todos os arquivos em pastas de desktop e documentos. Os atacantes até registraram várias variações de nomes de domínio de ClawHub (clawhub1, clawhubb, cllawhub) para imitar domínios legítimos, e duas habilidades relacionadas ao Polymarket incluem backdoors de shell reverso.
Os arquivos dessas habilidades maliciosas também contêm comandos de prompts de IA, projetados para enganar o próprio agente OpenClaw, levando a IA a “sugerir” comandos maliciosos ao usuário. Yu Xian resumiu de forma direta: “Texto deixou de ser apenas texto, tornou-se uma instrução.” Ao usar ferramentas de IA, deve-se usar um ambiente isolado.
Este é o núcleo do problema. Quando o usuário confia nas recomendações da IA e a fonte dessas recomendações está contaminada, toda a cadeia de confiança é quebrada.
A lição de 1,78 milhões de dólares da Moonwell
Na mesma alerta, Yu Xian destacou outro incidente: a plataforma de empréstimos DeFi Moonwell, em 15 de fevereiro, sofreu uma perda de 1,78 milhões de dólares devido a um erro na sua oracle.
O problema estava em um trecho de código que calcula o preço em dólares do cbETH, que esqueceu de multiplicar a taxa de câmbio cbETH/ETH pelo preço ETH/USD, fazendo com que o cbETH fosse avaliado aproximadamente a 1,12 dólares, em vez de cerca de 2.200 dólares. Os bots de liquidação varreram todas as posições colateralizadas com cbETH, causando perdas de aproximadamente 2,68 milhões de dólares a 181 tomadores de empréstimo.
O analista de segurança blockchain Krum Pashov descobriu que o código tinha um commit no GitHub marcado como “Co-Authored-By: Claude Opus 4.6”. A análise do NeuralTrust descreveu precisamente a armadilha: “O código parece correto, compila e passa nos testes unitários básicos, mas falha completamente em um ambiente adversarial de DeFi.”
Mais alarmante ainda, as três camadas de defesa — revisão manual, GitHub Copilot e o ferramenta de inspeção de código OpenZeppelin — não detectaram a ausência da multiplicação.
A comunidade chamou esse incidente de “Grande acidente de segurança na era Vibe Coding”. Yu Xian destacou claramente o objetivo: a segurança do Web3 não se limita mais aos contratos inteligentes, as ferramentas de IA estão se tornando uma nova superfície de ataque.
O valor padrão de confiança está errado
Peter Steinberger, fundador do OpenClaw, já implementou um sistema de denúncia comunitária, que automaticamente oculta habilidades suspeitas após três denúncias. A Koi Security também lançou a ferramenta de varredura Clawdex, mas tudo isso é uma tentativa de remediar a situação após o dano.
O problema fundamental é que o ecossistema de ferramentas de IA assume por padrão que “confiança” é garantida: habilidades publicadas são seguras, recomendações da IA são corretas, códigos gerados são confiáveis. Quando esse sistema gerencial lida com carteiras de criptomoedas e protocolos DeFi, esse valor padrão está errado, e o custo pode ser em dinheiro de verdade.
Nota: Dados da VanEck indicam que, até o final de 2025, há mais de 10 mil agentes de IA no setor de criptomoedas, com previsão de ultrapassar 1 milhão em 2026.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
O pacote de dependências centrais do npm, axios, na versão 1.14.1, foi alvo de um ataque à cadeia de fornecimento, tendo sido inserido código malicioso
A Socket AI publicou recentemente um alerta de segurança, indicando que a dependência central do npm, o pacote axios, tem sido alvo de um ataque activo à cadeia de fornecimento, tendo a versão mais recente sido injectada com um pacote malicioso plain-crypto-js. A utilização generalizada do axios coloca muitos projectos em risco, pelo que é recomendado que os utilizadores bloqueiem imediatamente a versão e revejam os ficheiros.
GateNews35m atrás
A conta oficial X dos parceiros da Huma, Arf, foi pirateada e foi publicada informação falsa sobre tokens
Notícias da Gate News, a 31 de março, a Huma Finance publicou um aviso de segurança na plataforma X, indicando que a conta oficial X do seu parceiro Arf @arf_one foi comprometida por hackers. Essa conta publicou informações falsas sobre tokens. A Huma Finance alerta os utilizadores para não interagirem com quaisquer publicações feitas por essa conta Arf até que a conta volte a funcionar normalmente.
GateNews1h atrás
Aviso da Google: a maioria das cadeias de blocos depende de protocolos ECDLP-256 que contêm vulnerabilidades, estabelecendo um calendário de migração para a criptografia pós-quântica até 2029
Notícias do Gate News, a 31 de março, a equipa de IA Quântica da Google indicou, no mais recente artigo no blogue, que a maioria das implementações do protocolo ECDLP-256, sobre o qual dependem a tecnologia blockchain e as criptomoedas, tem vulnerabilidades de segurança. Embora já existam soluções viáveis, como a criptografia pós-quântica (PQC), a sua implementação exige tempo, aumentando a urgência das ações para uma migração resistente ao pós-quântico. A Google já definiu 2029 como um calendário para a migração de criptografia pós-quântica e está a colaborar com algumas entidades, o Stanford Blockchain Research Center, a Ethereum Foundation, entre outras, para avançar com os trabalhos relacionados.
GateNews1h atrás
Steakhouse Financial: O site oficial está temporariamente offline, mas a cofrezaria está a funcionar normalmente; o ataque teve origem numa intrusão por engenharia social na conta da OVH.
A Steakhouse Financial publicou os mais recentes progressos relativos a um incidente de segurança; o site oficial continua offline, mas o site Steakhouse Vaults está a funcionar normalmente, sem anomalias nas funcionalidades de depósito e retirada. O ataque teve origem numa burla telefónica (social engineering), que levou ao roubo das permissões de gestão de domínios, e o DNS do site oficial passou a apontar para um IP malicioso. A entidade oficial reverteu todas as alterações, garantindo a segurança dos ativos dos utilizadores.
GateNews2h atrás
Gauntlet: Depois do incidente de exploração da vulnerabilidade da Resolv Labs, ainda não foi divulgado um plano de remediação, e vários mercados já foram removidos
A Gauntlet informa que a Resolv Labs não publicou um plano de remediação após o incidente de vulnerabilidade, planeando recuperar os fundos e realizar operações de remoção em vários mercados de tesourarias. Os mercados já removidos envolvem cerca de 11,9 milhões de dólares em liquidez; posteriormente, serão criados contratos de reclamação para os fornecedores de liquidez.
GateNews3h atrás
Um homem dos EUA foi acusado por atacar a Uranium Finance, estando em causa 54 milhões de dólares, com pena máxima de 30 anos de prisão
30 de março, o Ministério Público dos EUA indiciou Jonathan Spalletta, de Maryland, acusando-o de múltiplos ataques entre 2021 ao exchange descentralizado Uranium Finance, envolvendo um montante de 54 milhões de dólares. Spalletta enfrenta acusações de fraude informática e branqueamento de capitais, com um máximo de pena de 30 anos de prisão. Ele obteve ganhos ilegais ao manipular o processo de transacção e usou o dinheiro proveniente do crime para comprar artigos de colecção. O Ministério Público sublinhou que os activos criptográficos também são protegidos por lei.
GateNews6h atrás
