O agente inteligente 360 encontrou uma vulnerabilidade crítica no OpenClaw, afetando 170.000 instâncias em todo o mundo

O sistema de exploração de vulnerabilidades de coordenação multi-agente da 360 Digital Security Group, detida pela China, encontrou uma vulnerabilidade de risco elevado na ferramenta de agentes de IA OpenClaw, já confirmada pela Base de Dados Nacional de Vulnerabilidades de Segurança da Informação da China (CNNVD). A vulnerabilidade afecta mais de 170.000 instâncias acessíveis publicamente em mais de 50 países e regiões em todo o mundo, permitindo que atacantes, apenas com permissões de membro base do grupo de conversação, contornem todas as políticas de segurança das ferramentas da plataforma e roubem directamente informações sensíveis do servidor.

Ponto fraco estrutural central: MEDIA — falha no protocolo

Os investigadores de segurança da 360 atribuíram a esta vulnerabilidade o nome de «MEDIA — vulnerabilidade de injecção de prompt com bypass de permissões de ferramentas e vazamento de ficheiros locais», e o seu nível de perigo decorre de uma falha fundamental na arquitectura do OpenClaw.

O protocolo MEDIA é executado na camada de pós-processamento, situada após o mecanismo de controlo de estratégias das ferramentas da plataforma; por isso, pode contornar completamente todas as limitações de chamadas às ferramentas. Isto significa que, mesmo que os administradores tenham desactivado explicitamente todas as chamadas às ferramentas no OpenClaw, os atacantes continuam a poder explorar esta vulnerabilidade apenas com permissões de membro base do grupo de conversação — sem qualquer autorização especial — para roubar directamente ficheiros sensíveis locais do servidor.

Esta falha de concepção de «contorno da camada de pós-processamento» faz com que as estratégias tradicionais de protecção por whitelist de ferramentas deixem de funcionar completamente; os atacantes podem utilizar ferramentas de automatização para desencadear ataques de varrimento em larga escala sobre as 170.000 instâncias expostas em todo o mundo e, possivelmente, utilizá-la como ponto de partida inicial para intrusões subsequentes.

Explosão global do OpenClaw e estado da adopção na China

O OpenClaw foi publicado em open source em Novembro de 2025 por um engenheiro austríaco, Peter Steinberger. É um agente de IA gratuito capaz de enviar comandos através de aplicações de mensagens instantâneas como o WhatsApp, controlando de forma autónoma aplicações no computador, navegadores web e dispositivos de casa inteligente. Seguem-se dados-chave sobre o estado da adopção global:

Dimensão de utilizadores chineses em 1.º lugar no mundo: de acordo com a análise da SecurityScorecard de Nova Iorque, os utilizadores activos na China são cerca do dobro dos Estados Unidos, que ocupam a segunda posição

Ecossistema comercial a formar-se rapidamente: surgiram plataformas tecnológicas chinesas com serviços de instalação e configuração do OpenClaw, com preços entre 7 e 100 dólares

Versões derivadas localizadas: foram lançadas, em sequência, versões personalizadas em chinês como DuClaw, QClaw e ArkClaw

Apoio por subsídios governamentais: vários governos locais comprometeram-se a conceder subsídios a empresas que adoptarem assistentes virtuais

Dimensão da ameaça à segurança: mais de 50 países em todo o mundo e mais de 170.000 instâncias públicas de OpenClaw estão sujeitas a esta ameaça de vulnerabilidade

Duplo alerta institucional: organismos de segurança e base nacional de vulnerabilidades em resposta sincronizada

Antes de a 360 divulgar esta vulnerabilidade, duas agências nacionais de segurança cibernética chinesas já tinham emitido avisos, apontando que a implementação do OpenClaw apresenta «risco significativo», incluindo a possibilidade de controlo remoto e de vazamento de dados, e publicaram recomendações de segurança detalhadas que abrangem desde utilizadores individuais até empresas e fornecedores de serviços em nuvem.

A confirmação oficial da CNNVD significa que esta ameaça de segurança evoluiu de uma avaliação indicativa para uma superfície de ataque activa verificada. Os investigadores de segurança indicaram que, devido ao facto de as instâncias afectadas serem todas acessíveis publicamente e à natureza de baixa barreira da entrada via chats em grupo, a viabilidade de ataques automatizados em larga escala é extremamente elevada, tornando a rápida correcção a prioridade mais urgente no momento.

Perguntas frequentes

Por que razão a vulnerabilidade do protocolo MEDIA no OpenClaw é particularmente perigosa?

O protocolo MEDIA é executado na camada de pós-processamento, situada depois do controlo de estratégias das ferramentas na plataforma; por isso, consegue contornar completamente todas as regras de desactivação das ferramentas já configuradas. Mesmo que os administradores tenham desactivado todas as chamadas às ferramentas, os atacantes ainda podem explorar esta vulnerabilidade apenas com permissões de membro base do grupo de conversação para ler directamente ficheiros sensíveis locais do servidor, fazendo com que as estratégias tradicionais de segurança das ferramentas falhem por completo.

Como devem as instâncias do OpenClaw afectadas reagir urgentemente?

Antes da publicação do patch oficial, recomenda-se a adopção das seguintes medidas de mitigação de emergência: restringir a exposição directa de instâncias do OpenClaw à rede pública; suspender as funções relacionadas com o protocolo MEDIA; aplicar controlos rigorosos de autenticação para o acesso dos membros do grupo de conversação; e monitorizar continuamente comportamentos anómalos de acesso a directórios sensíveis do servidor.

Que impacto tem esta vulnerabilidade em ambientes do OpenClaw implantados por empresas e governos?

A confirmação oficial da CNNVD significa que esta vulnerabilidade possui uma viabilidade de ataque altamente credível. Para empresas (incluindo utilizadores destinatários de subsídios do governo local chinês) que já tenham implantado o OpenClaw em ambiente de produção, é necessário proceder imediatamente a uma auditoria de segurança, avaliar o nível real de exposição a vazamento de dados, sobretudo nas instâncias em que as funcionalidades de chats em grupo estão activas e em que o protocolo MEDIA se encontra habilitado.