Uma operação coordenada de cibercriminosos comprometeu centenas de usuários de agentes de inteligência artificial ao distribuir malware através de ‘skills’ aparentemente legítimas no marketplace da OpenClaw, o ClawHub.
A campanha, descoberta entre 27 de janeiro e 2 de fevereiro de 2026, representa um marco preocupante na evolução dos ataques à cadeia de suprimentos de software, agora mirando o emergente ecossistema de agentes de IA. Durante o período da campanha, skills maliciosas foram publicadas de forma coordenada, com duas ondas principais: uma inicial de 28 skills e uma segunda de 386 skills.
smart_display
Nossos vídeos em destaque
O que são agentes de IA e por que viraram alvo
Nas últimas semanas, o OpenClaw foi o assunto, seja por sua usabilidade ou pela confusão com o nome da ferramenta. A ferramenta funciona como um assistente autônomo no computador dos usuários.
Diferentemente de um chatbot comum, que é capaz de responder perguntas e executar poucas tarefas, o agente de IA tem acesso completo ao computador, aumentando suas habilidades e tornando-o capaz de navegar na web, abrir arquivos, executar comandos no terminal, modificar documentos e acessar diferentes aplicativos.
Seus pontos fortes são sua principal vulnerabilidade, uma vez que, tendo acesso a funções críticas do computador, se o agente de IA for comprometido em um ataque cibercriminoso, ele pode conceder acesso total ao computador da vítima.
Os agentes de IA não são super-heróis, eles requerem a adição de habilidades, ou skills, para conseguir funcionar propriamente e executar tarefas específicas. O problema é que é nessa fase de treino de novas capacidades que os cibercriminosos estão corrompendo os agentes.
O OpenClaw, por exemplo, tem um hub próprio de habilidades, que podem ser publicadas por qualquer usuário. Essas skills são arquivos markdown (um formato de texto simples usado para documentação) que contém instruções em linguagem natural. O problema é que markdown pode incluir links, comandos para copiar e colar, e até scripts executáveis anexados.
No contexto de agentes de IA, markdown não é apenas “conteúdo” – markdown funciona como um instalador de software. Quando um humano ou um agente de IA lê documentação que diz “execute este comando”, “instale este pré-requisito” ou “baixe esta dependência”, existe uma forte tendência a seguir essas instruções sem questionamento, especialmente se a skill parece legítima.
Como o ataque funciona
Os atacantes criaram centenas de skills maliciosas (386 no total, segundo o segundo documento) que seguem um padrão. Primeiro, a skill se apresenta como uma ferramenta útil, geralmente relacionada a trading de criptomoedas. A documentação é extensa (500-700 linhas), profissional e convincente.
No meio da documentação, aparece um aviso visualmente chamativo dizendo que é necessário instalar uma “ferramenta de autenticação” obrigatória para que a skill funcione. Esse aviso usa caracteres especiais para criar bordas e ícones de alerta, dando uma aparência oficial e urgente.
O aviso contém links ou comandos que parecem inocentes. Por exemplo, um link pode parecer apontar para documentação da Apple, mas na verdade leva a um servidor malicioso. Ou apresenta um comando em base64, um método de codificação que transforma dados binários em texto, frequentemente usado para ofuscar conteúdo malicioso).
Múltiplas plataformas, mesmo comando
Quando a vítima executa o comando fornecido, acontece uma sequência de eventos.
Para macOS, o comando mostra um texto enganoso, para distrair, depois decodifica um comando oculto em base64 e o executa diretamente no terminal. O comando decodificado baixa e executa um script do servidor controlado pelos atacantes.
Em variantes mais sofisticadas, o comando também remove os atributos de quarentena do macOS. O Gatekeeper é o sistema de segurança integrado do macOS que verifica se arquivos baixados da internet são seguros. Ao remover esses atributos, o malware contorna essa proteção.
Para Windows, a vítima é instruída a baixar um arquivo ZIP protegido por senha de um repositório no GitHub, extraí-lo usando uma senha fornecida, e executar o arquivo executável dentro dele.
Uma vez executado, o malware é um “infostealer” (ladrão de informações). Esse tipo de malware não danifica o sistema ou criptografa arquivos como um ransomware. Em vez disso, ele silenciosamente coleta dados como sessões ativas de navegadores e cookies (que permitem acessar contas sem precisar de senha), credenciais salvas e dados de preenchimento automático.
Além disso, o infostealer consegue acesso a tokens de desenvolvedor e chaves de API; Chaves SSH, usadas para acessar servidores remotamente; credenciais de serviços em nuvem; carteiras de criptomoedas e chaves privadas; e senhas armazenadas no macOS Keychain.
Toda essa informação é enviada para os servidores dos atacantes no endereço IP 91.92.242.30, que funciona como um “Command and Control” (C2), um servidor central que os atacantes usam para coordenar o ataque e coletar os dados roubados.
A escala do problema
O segundo documento revela que esta não foi uma operação isolada, mas uma campanha coordenada, uma vez que 386 skills maliciosas foram publicadas, divididas entre vários autores aparentemente diferentes.
A skill mais popular teve mais de 7.000 downloads, posicionando-as nas páginas de busca entre as mais baixadas na plataforma. Além disso, todas compartilham a mesma infraestrutura de C2 (91.92.242.30).
Um usuário específico foi rápido, criando 354 skills maliciosas. Na verdade, ele usou uma tática que incluía criar múltiplas variantes da mesma skill com nomes ligeiramente diferentes (por exemplo, “auto-updater-161ks”, “auto-updater-2yq87”, etc.). O que provavelmente serve para aumentar as chances de aparecer nos resultados de busca e evitar detecção.
Por que isso é particularmente perigoso
Existem várias camadas de perigo que tornam essa situação particularmente preocupante. Tradicionalmente, existe uma barreira psicológica entre ler instruções e executá-las. Quando se trata de agentes de IA, essa barreira se dissolve completamente. O agente pode normalizar comportamentos arriscados, resumindo uma instalação maliciosa como “o passo padrão de configuração” e encorajando a vítima a executar comandos perigosos sem questionar.
Além disso, as pessoas foram treinadas a confiar em indicadores como “mais baixado” ou “popular” como sinais de legitimidade. Os atacantes exploram precisamente essa tendência, manipulando rankings para fazer suas skills maliciosas aparecerem como confiáveis.
A aparência profissional das skills agrava o problema, porque elas não parecem suspeitas de forma alguma, contando com documentação extensa, visual profissional e descrevendo funcionalidades que fazem sentido completo.
O perfil das vítimas também aumenta o valor do ataque. Pessoas que instalam skills de agentes de IA tendem a ser desenvolvedores, entusiastas de tecnologia ou traders de criptomoedas, exatamente o tipo de pessoa cujo computador contém credenciais valiosas e acesso a sistemas críticos.
Por fim, a falta de verificação por parte das plataformas completa o cenário de risco. O ClawHub, a plataforma oficial de distribuição dessas skills, ainda está implementando ferramentas de segurança.
O fundador da ferramenta afirmou em uma publicação no X, antigo Twitter, que estão fazendo mudanças internas para garantir que esses problemas sejam evitados.
https://publish.twitter.com/?url=https://twitter.com/steipete/status/2018297794952651111
Só o MCP não é suficiente
Algumas pessoas acreditam que o Model Context Protocol (MCP) oferece proteção. O MCP é uma camada que permite que ferramentas sejam expostas através de uma interface estruturada, com controles de consentimento e autorização.
No entanto, as skills não precisam usar o MCP. Elas podem simplesmente incluir instruções em texto livre que a vítima ou o agente executará diretamente no terminal, completamente fora do escopo de proteção do MCP. Além disso, skills podem incluir scripts anexados que são executados independentemente do MCP.
Mesmo que o MCP esteja configurado para controlar chamadas de ferramentas, um skill malicioso pode simplesmente contornar essa proteção através de engenharia social, instruindo a vítima a executar comandos manualmente.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
FonteTECMUNDO
