A principal agência de resposta a emergências cibernéticas da China emitiu, na noite de terça-feira (10), um alerta de risco sobre as configurações de segurança padrão "extremamente frágeis" do OpenClaw, o software de inteligência artificial que viralizou.
Em um comunicado, a Equipe Técnica de Resposta a Emergências da Rede Nacional de Computadores (NCERT, na sigla em inglês) afirmou que o OpenClaw teve um aumento recente no número de downloads e uso, com as principais plataformas de nuvem do país oferecendo serviços de implantação com um clique.
O OpenClaw é um agente de IA autônomo e de código aberto que utiliza grandes modelos de linguagem para executar tarefas cotidianas. Seu curioso logotipo de lagosta vermelha levou os usuários chineses a se referirem a ele, em tom de brincadeira, como "lagosta da IA".
O comunicado afirma que o OpenClaw foi projetado para operar computadores diretamente por meio de instruções em linguagem natural, observando que, para permitir a execução autônoma de tarefas, o agente recebe privilégios de sistema relativamente altos. Isso inclui acesso a sistemas de arquivos locais, a capacidade de chamar APIs de serviços externos e permissão para instalar extensões.
No entanto, o comunicado alertou que, como a configuração de segurança padrão do OpenClaw é "extremamente frágil", uma vez que os atacantes encontrem um ponto de entrada, podem facilmente obter controle total do sistema.
A equipe afirmou que alguns riscos de segurança graves já surgiram devido à instalação e ao uso inadequados do OpenClaw. Por exemplo, várias vulnerabilidades de risco médio e alto no OpenClaw já foram divulgadas publicamente, as quais podem ser exploradas maliciosamente, levando a consequências graves, como a tomada de controle do sistema e o vazamento de informações privadas e dados sensíveis.
Além disso, os cibercriminosos podem inserir instruções maliciosas ocultas numa página da web e induzir o OpenClaw a lê-las, o que pode enganar o agente e levá-lo a expor as chaves do sistema no dispositivo do usuário, segundo o comunicado.
A agência aconselhou instituições e usuários individuais a tomarem precauções de segurança ao implantar e usar o OpenClaw, incluindo o fortalecimento dos controles de rede, o gerenciamento rigoroso das fontes de plugins e o acompanhamento atento dos patches e atualizações de segurança.
