【AI+OpenClaw】Centro de Coordenação de Incidentes de Cibersegurança de Hong Kong: Riscos de Segurança do OpenClaw Não Devem Ser Ignorados　Apresenta 5 Grandes Recomendações para Prevenir Vazamento de Privacidade

Plataforma de IA de código aberto OpenClaw enfrenta novamente questões de segurança. Após restrições na China a bancos e empresas estatais, o Centro de Coordenação de Incidentes de Segurança Cibernética de Hong Kong também emitiu um alerta, indicando que, com o rápido crescimento e popularização do OpenClaw, os riscos de segurança cibernética associados estão a aumentar.

O Centro de Coordenação de Incidentes de Segurança Cibernética de Hong Kong destacou que plataformas de IA de proxy, que possuem capacidade de operação local, instalação de plugins de terceiros e integração com serviços externos, apresentam riscos muito superiores aos de ferramentas de IA conversacional comuns. Instituições e utilizadores devem estar especialmente atentos ao introduzir essas ferramentas.

De acordo com um relatório citado pelo Centro, atacantes maliciosos já utilizam repositórios falsificados no GitHub e resultados de pesquisa do Bing AI para disseminar malware capaz de roubar informações e softwares maliciosos de proxy, direcionados a usuários que procuram pelo instalador do OpenClaw para Windows. O centro recomenda que os utilizadores façam downloads e instalações apenas através de sites oficiais, documentação oficial e repositórios oficiais, evitando links de origem desconhecida.

O Centro de Coordenação de Incidentes de Segurança Cibernética de Hong Kong também revelou que o OpenClaw foi encontrado com vulnerabilidades de alto risco, que poderiam permitir que sites maliciosos sequestrassem o programa proxy do OpenClaw dos desenvolvedores. Felizmente, essa vulnerabilidade foi corrigida em 26 de fevereiro de 2026. No entanto, o incidente serve como um alerta importante, demonstrando que, sem uma supervisão e controle de segurança adequados, organizações que implantam ferramentas de IA de proxy podem estar expostas a riscos maiores.

Ecossistema de habilidades pode ser vetor de invasão

Além das vulnerabilidades na plataforma em si, o ecossistema de habilidades do OpenClaw também apresenta novas brechas de ataque. Sua documentação oficial indica que o OpenClaw possui um repositório de registro de habilidades de código aberto, chamado ClawHub, que permite aos usuários publicar “skills” para ampliar as funcionalidades da plataforma, além de possibilitar busca, instalação, atualização e publicação de habilidades.

As habilidades geralmente consistem em arquivos de descrição SKILL.md e outros arquivos auxiliares. O Centro de Coordenação de Incidentes de Segurança Cibernética de Hong Kong alerta que esse modelo de expansão aberta, embora acelere o crescimento de funcionalidades, também introduz riscos na cadeia de fornecimento de componentes de terceiros, podendo se tornar um vetor de invasão para atacantes.

O centro recomenda várias ações, incluindo verificar a origem dos downloads e instruções de instalação, atualizar rapidamente para a versão mais recente do OpenClaw, instalar com cautela scripts de habilidades de terceiros, estar atento a solicitações de proxy que exijam operações de alto risco e tratar o OpenClaw como uma plataforma de automação de alto privilégio.