Anatomia de Seguranca do OpenClaw: O Que os 35 Agentes do AiSec Encontraram no Agente de IA Mais Popular do Mundo

Os agentes de IA nao sao mais experimentais. Eles escrevem codigo, gerenciam infraestrutura, lidam com interacoes com clientes e tomam decisoes que afetam milhoes de pessoas. Mas enquanto a industria se obcecou com capacidades — quantas ferramentas um agente pode usar, quantos tokens pode processar, quao autonomamente pode operar — a seguranca foi tratada como algo secundario. A suposicao parece ser que se um agente de IA e popular o suficiente, deve ser seguro o suficiente. Essa suposicao esta errada.

Construimos o AiSec (github.com/fboiero/AiSec) para testar essa suposicao sistematicamente. O AiSec e um framework de seguranca de IA open-source que implanta 35 agentes de IA especializados para escanear sistemas de IA em busca de vulnerabilidades — desde injecao de prompts e escapes de sandbox ate vazamento de dados e lacunas de conformidade. Decidimos executa-lo contra o maior alvo que conseguimos encontrar: OpenClaw, o agente de IA mais popular do mundo com 191.000 estrelas no GitHub. O que encontramos em 4 minutos e 12 segundos deveria preocupar toda organizacao que implanta agentes de IA em producao.

O Que e o OpenClaw?

O OpenClaw e o framework de agentes de IA open-source mais popular do mundo, com mais de 191.000 estrelas no GitHub e uma comunidade ativa de milhares de contribuidores. Ele fornece uma arquitetura de proposito geral para construir agentes de IA que podem usar ferramentas, executar codigo, navegar na web, interagir com APIs e encadear fluxos de trabalho complexos de multiplas etapas. Sua popularidade deriva de sua flexibilidade: os agentes OpenClaw podem ser configurados para tudo, desde assistentes chatbot simples ate agentes de codificacao autonomos, pipelines de analise de dados e automacao de fluxos de trabalho empresariais.

A arquitetura do OpenClaw segue o padrao agentico agora padrao: um nucleo de modelo de linguagem com acesso a um registro de ferramentas, um sistema de memoria para manter contexto entre interacoes e um motor de execucao que orquestra a conclusao de tarefas em multiplas etapas. Suporta multiplos backends de LLM, conjuntos de ferramentas personalizaveis e arquiteturas de plugins extensiveis. Essa flexibilidade e tanto sua forca quanto — de uma perspectiva de seguranca — sua superficie de risco mais significativa. Cada ponto de extensao e um potencial vetor de ataque. Cada integracao de ferramenta e um limite de privilegios que pode ser cruzado.

O Desafio: Por Que Auditar o Agente de IA Mais Popular?

Auditar o OpenClaw nao era sobre encontrar falhas em seus mantenedores — que construiram algo genuinamente impressionante. Era sobre responder uma pergunta que importa para todo o ecossistema de IA: quao seguro e o framework de agentes de IA mais testado, mais revisado e mais implantado? Se o OpenClaw tem lacunas de seguranca significativas, o que isso nos diz sobre as centenas de frameworks de agentes menos escrutinados implantados em producao?

As auditorias de seguranca tradicionais de sistemas de IA sao lentas, caras e incompletas. Um pentester humano pode passar semanas revisando um framework de agentes e ainda perder classes de vulnerabilidades nas quais nao e especializado. O especialista em injecao de prompts pode nao detectar o escape de sandbox. O auditor de conformidade pode nao identificar o caminho de vazamento de dados. Precisavamos de uma ferramenta que pudesse cobrir toda a superficie de ataque — cada classe de vulnerabilidade, cada framework de conformidade, cada camada da arquitetura do agente — em minutos, nao semanas. Por isso construimos o AiSec.

AiSec: 35 Agentes, Uma Missao

O AiSec (github.com/fboiero/AiSec) e um framework de seguranca de IA open-source desenvolvido pela Xcapit. Ele adota uma abordagem fundamentalmente diferente para a avaliacao de seguranca de IA: em vez de executar um unico scanner com uma checklist de regras, o AiSec implanta 35 agentes de IA especializados, cada um treinado e configurado para detectar uma classe especifica de vulnerabilidade. Esses agentes trabalham em paralelo, compartilhando contexto atraves de uma camada de coordenacao que permite a correlacao entre agentes — encontrando cadeias de vulnerabilidades que nenhum agente individual detectaria sozinho.

Os 35 agentes incluem PromptInjectionAgent (testando vetores de injecao direta, indireta e multi-turno), SandboxEscapeAgent (sondando limites de execucao de codigo e escapes de container), DataLeakageAgent (rastreando fluxos de dados para exposicao de informacoes sensiveis), ToolChainAgent (analisando caminhos de escalacao de privilegios entre ferramentas), AuthenticationAgent (testando mecanismos de identidade e controle de acesso) e ComplianceAgent (mapeando descobertas para requisitos regulatorios e de frameworks). Agentes adicionais cobrem integridade da cadeia de suprimentos, vetores de envenenamento de modelos, limitacao de taxa, seguranca de APIs, injecao de memoria, ataques de serializacao e mais.

A Arquitetura de Analise de 5 Camadas

O AiSec organiza sua analise em cinco camadas distintas, cada uma direcionada a um aspecto diferente da postura de seguranca do sistema de IA. Esta abordagem em camadas garante cobertura abrangente — desde vulnerabilidades de codigo de baixo nivel ate lacunas de conformidade de alto nivel.

• Camada 1 — Analise Estatica: Escaneamento de codigo-fonte para segredos hardcoded, padroes inseguros, vulnerabilidades de dependencias e fraquezas de configuracao. Os agentes estaticos do AiSec analisaram mais de 340.000 linhas de codigo do OpenClaw em 2.100 arquivos em 47 segundos.
• Camada 2 — Analise Dinamica: Testes em tempo de execucao do comportamento do agente sob condicoes adversariais. Os agentes enviam entradas especialmente projetadas, observam invocacoes de ferramentas, monitoram acesso a recursos e testam condicoes limite. Esta camada identificou 28 das 63 descobertas.
• Camada 3 — Analise de Arquitetura: Avaliacao dos padroes de design do sistema, limites de privilegios, caminhos de fluxo de dados e relacoes de confianca. O ToolChainAgent e o AuthenticationAgent operam principalmente nesta camada, identificando fraquezas estruturais que habilitam ataques de multiplas etapas.
• Camada 4 — Analise de Fluxo de Dados: Rastreamento de ponta a ponta de como dados de usuario, contexto de conversacao e saidas de ferramentas fluem atraves do sistema. O DataLeakageAgent rastreia informacoes sensiveis desde a ingestao atraves do processamento ate o armazenamento, identificando pontos onde os dados escapam de seu limite previsto.
• Camada 5 — Mapeamento de Conformidade: Correlacao automatizada de todas as descobertas das camadas 1-4 contra 8 frameworks de seguranca. Cada descoberta recebe classificacoes de severidade especificas do framework, orientacao de remediacao e avaliacoes de impacto de conformidade.

Resultados: 63 Descobertas em 4 Minutos

O AiSec completou sua analise completa do OpenClaw em 4 minutos e 12 segundos. Os 35 agentes identificaram coletivamente 63 descobertas de seguranca atraves de todas as cinco camadas de analise. A distribuicao por severidade foi significativa: 8 descobertas criticas exigindo atencao imediata, 15 descobertas de severidade alta com caminhos de ataque exploraveis, 22 descobertas de severidade media representando lacunas em defesa em profundidade e 18 descobertas de severidade baixa cobrindo oportunidades de endurecimento e desvios de melhores praticas.

• Criticas (8): Vetores de injecao de prompt com execucao de codigo demonstrada, caminhos de escape de sandbox, exposicao de dados sensiveis em armazenamento persistente, encadeamento de ferramentas sem restricoes habilitando escalacao de privilegios
• Altas (15): Validacao de entrada insuficiente em parametros de ferramentas, limitacao de taxa ausente em loops de agente, isolamento fraco entre sessoes de usuario, configuracoes padrao inseguras para carregamento de plugins, exposicao de chaves API atraves de mensagens de erro
• Medias (22): Registro incompleto de eventos relevantes para seguranca, verificacoes de integridade ausentes em codigo de plugins, controles de timeout insuficientes em chamadas a APIs externas, configuracoes CORS excessivamente permissivas, ausencia de politicas de seguranca de conteudo para saidas renderizadas
• Baixas (18): Descobertas informativas incluindo versoes de dependencias deprecadas, padroes de tratamento de erros nao padrao, cabecalhos de seguranca ausentes em endpoints internos, lacunas de documentacao para opcoes de configuracao de seguranca

Analise Profunda das Descobertas Criticas

CVE-2026-25253: Injecao de Prompt Multi-Vetor

O PromptInjectionAgent identificou uma vulnerabilidade critica de injecao de prompt que permite a um atacante sobrescrever as instrucoes de sistema do OpenClaw atraves de conteudo manipulado em fontes de dados externas. O ataque explora o fato de que o OpenClaw processa as saidas de ferramentas — incluindo conteudo de paginas web, conteudos de arquivos e respostas de APIs — no mesmo contexto das instrucoes de sistema, sem aplicacao adequada de limites. Um atacante que controla qualquer conteudo que o agente recupera (uma pagina web, um documento, um repositorio de codigo) pode incorporar instrucoes que o agente executara com seu acesso completo a ferramentas.

O PromptInjectionAgent demonstrou esta vulnerabilidade atraves de tres vetores de ataque independentes: instrucoes ocultas em comentarios markdown dentro de documentos recuperados, caracteres de controle Unicode que reestruturam o contexto do prompt e manipulacao de contexto multi-turno que gradualmente desvia o seguimento de instrucoes do agente. Cada vetor foi confirmado como exploravel na configuracao padrao, e dois permaneceram exploraveis mesmo com o 'modo estrito' opcional do OpenClaw habilitado. Esta descoberta foi atribuida como CVE-2026-25253 e afeta todas as versoes anteriores ao ultimo patch de seguranca.

Escape de Sandbox Atraves de Execucao de Codigo

O SandboxEscapeAgent descobriu que a sandbox de execucao de codigo do OpenClaw — o ambiente onde o codigo solicitado pelo usuario e executado — tem isolamento insuficiente do sistema hospedeiro. Atraves de uma sequencia de solicitacoes de execucao de codigo cuidadosamente projetadas, um agente pode acessar o sistema de arquivos do hospedeiro alem de seu diretorio de sandbox designado, ler variaveis de ambiente (incluindo chaves API e credenciais armazenadas no ambiente do shell) e, em certas configuracoes, estabelecer conexoes de rede de saida para exfiltrar dados.

O caminho de escape explora uma condicao de corrida na sequencia de inicializacao da sandbox: durante a janela de 200 milissegundos entre a criacao do processo e a aplicacao da politica da sandbox, o codigo executado tem acesso ao ambiente nao restrito do hospedeiro. O SandboxEscapeAgent automatizou a exploracao desta janela, demonstrando acesso confiavel de leitura de arquivos em /etc/passwd, extracao de variaveis de ambiente e exfiltracao de dados baseada em DNS — tudo de dentro do que os usuarios acreditam ser uma sandbox de execucao isolada.

Exposicao de Dados Sensiveis em Logs de Conversacao

O DataLeakageAgent rastreou o fluxo de dados do OpenClaw e identificou que os historicos de conversacao — que rotineiramente contem chaves API, senhas, informacoes pessoais e codigo proprietario compartilhado pelos usuarios — sao armazenados em texto simples no sistema de arquivos local com permissoes que permitem acesso por qualquer processo executando sob a mesma conta de usuario. Em implantacoes multi-usuario (que representam uma porcentagem significativa das instalacoes empresariais do OpenClaw), isso significa que os dados de conversacao de qualquer usuario sao potencialmente acessiveis para os processos de outros usuarios.

Escalacao de Privilegios Atraves de Encadeamento de Ferramentas

O ToolChainAgent identificou um caminho critico de escalacao de privilegios onde um agente com acesso a um conjunto limitado de ferramentas pode encadear invocacoes de ferramentas para alcancar capacidades alem de suas permissoes previstas. Especificamente, o agente demonstrou que uma ferramenta com acesso somente leitura ao sistema de arquivos pode invocar a ferramenta de execucao de codigo para escrever arquivos, que por sua vez podem ser usados para modificar a propria configuracao do agente e conceder acesso a ferramentas adicionais. Essa capacidade de automodificacao efetivamente contorna qualquer modelo de permissoes aplicado no nivel de configuracao.

Correlacao Cross-Framework: 8 Frameworks, Um Relatorio

Uma das capacidades mais poderosas do AiSec e a correlacao cross-framework automatizada. Cada descoberta e mapeada para todos os controles aplicaveis atraves de 8 frameworks de seguranca simultaneamente: OWASP Top 10 para LLMs (2025), NIST AI Risk Management Framework (AI RMF), MITRE ATLAS (Adversarial Threat Landscape for AI Systems), ISO 42001 (AI Management System), EU AI Act (classificacoes de risco e requisitos), OWASP Application Security Verification Standard (ASVS), CIS Controls v8 e NIST Cybersecurity Framework 2.0.

Este mapeamento cross-framework nao e apenas um exercicio academico — e operacionalmente critico. Um CISO que precisa reportar a postura de seguranca de IA ao conselho mapeia descobertas para o NIST CSF. Uma equipe de conformidade se preparando para requisitos do EU AI Act mapeia descobertas para as categorias de risco do regulamento. Uma equipe de desenvolvimento priorizando correcoes mapeia descobertas para OWASP para orientacao de remediacao acionavel. O AiSec gera todas essas visoes a partir de uma unica varredura, eliminando o esforco manual de referenciar cruzadamente descobertas entre frameworks.

Para a analise do OpenClaw, a correlacao cross-framework revelou que 6 das 8 descobertas criticas mapeiam para OWASP LLM01 (Injecao de Prompt) ou LLM06 (Divulgacao de Informacoes Sensiveis). Sob o EU AI Act, o uso do OpenClaw em tomada de decisao autonoma o classificaria como alto risco, ativando requisitos obrigatorios para transparencia, supervisao humana e testes de seguranca — requisitos que a arquitetura atual nao satisfaz completamente. Sob o NIST AI RMF, as descobertas se agrupam nas funcoes GOVERN e MAP, indicando que as causas raiz sao decisoes de governanca arquitetonica em vez de bugs de implementacao.

O Que os Mantenedores do OpenClaw Fizeram Certo

Uma auditoria de seguranca que so destaca falhas da uma imagem incompleta. Os mantenedores do OpenClaw tomaram varias decisoes solidas de seguranca que outros frameworks de agentes deveriam emular. O projeto tem um modelo de permissoes abrangente que, embora contornavel atraves da vulnerabilidade de encadeamento de ferramentas descrita acima, fornece uma arquitetura clara para restringir as capacidades do agente — a base e solida mesmo que a implementacao tenha lacunas. A sandbox de execucao de codigo existe e aplica corretamente as restricoes em operacao estavel — a vulnerabilidade de condicao de corrida e um problema de timing, nao uma ausencia de design.

O processo de resposta de seguranca do OpenClaw e exemplar. Quando reportamos as descobertas criticas atraves de seu programa de divulgacao responsavel, os mantenedores reconheceram todas as 8 descobertas criticas dentro de 48 horas, confirmaram a reprodutibilidade dentro de uma semana e tinham patches em revisao dentro de duas semanas. Este tempo de resposta coloca o OpenClaw a frente de 90% dos projetos open-source com os quais trabalhamos. O projeto tambem mantem uma pagina de avisos de seguranca, suporta releases assinados e tem um programa ativo de bug bounty — praticas que demonstram compromisso genuino com a seguranca.

Implicacoes para o Ecossistema de Agentes de IA

Se o framework de agentes de IA mais popular e mais escrutinado tem 8 vulnerabilidades criticas de seguranca, o estado do ecossistema mais amplo e preocupante. O OpenClaw se beneficia de 191.000 pares de olhos, uma equipe de seguranca dedicada, um programa de divulgacao responsavel e agora uma analise do AiSec. A maioria dos frameworks de agentes de IA implantados em producao nao tem nenhuma dessas vantagens. Sao construidos por equipes pequenas, implantados sem revisao de seguranca e operados com confianca implicita no comportamento do agente.

As descobertas desta analise apontam para problemas sistemicos em como a industria constroi agentes de IA. As defesas contra injecao de prompts ainda nao sao pratica padrao — a maioria dos frameworks processa conteudo externo no mesmo contexto das instrucoes de sistema. O isolamento da sandbox e tratado como um detalhe de implementacao em vez de um limite critico de seguranca. Os dados em repouso raramente sao criptografados. Os modelos de permissoes sao consultivos em vez de aplicados. Estes nao sao bugs do OpenClaw especificamente; sao padroes repetidos atraves de todo o ecossistema de agentes. A industria precisa de uma mudanca fundamental: tratar a seguranca de agentes de IA como uma disciplina de engenharia de primeira classe, nao como uma caixa a marcar antes do lancamento.

Como Executar o AiSec em Seus Proprios Sistemas de IA

O AiSec e open source e esta disponivel em github.com/fboiero/AiSec. Executa-lo contra seus proprios sistemas de agentes de IA leva minutos, nao dias. O framework e projetado para ser autocontido — voce nao precisa modificar seu sistema alvo ou instalar agentes em infraestrutura de producao. O AiSec opera externamente, sondando o alvo atraves das mesmas interfaces que um atacante usaria.

• Clonar o repositorio: git clone https://github.com/fboiero/AiSec.git && cd AiSec
• Instalar dependencias: pip install -e . (Python 3.10+ requerido)
• Configurar seu alvo: editar config/target.yaml com os endpoints, autenticacao e parametros de escopo do seu sistema de IA
• Executar a varredura completa: aisec scan --target config/target.yaml --frameworks all --output report.json
• Gerar relatorios de conformidade: aisec report --input report.json --format pdf --frameworks owasp-llm,nist-ai-rmf,eu-ai-act
• Para integracao CI/CD: aisec scan --target config/target.yaml --fail-on critical,high --output-format junit

A varredura executa todos os 35 agentes em paralelo por padrao, completando uma analise completa em menos de 5 minutos para a maioria dos sistemas de IA. Voce tambem pode executar agentes individuais para testes direcionados — por exemplo, aisec scan --agents PromptInjectionAgent,SandboxEscapeAgent para uma avaliacao focada nas suas superficies de ataque mais criticas. A saida inclui orientacao detalhada de remediacao para cada descoberta, priorizada por severidade e mapeada para os frameworks de conformidade relevantes para sua organizacao.

Na Xcapit, a seguranca de IA nao e uma atividade secundaria — e central a tudo que construimos. O AiSec surgiu de nossas praticas de seguranca internas, refinadas ao longo de anos construindo agentes de IA para clientes empresariais nos setores fintech, energia e governo. Tornamo-lo open source porque acreditamos que todo o ecossistema se beneficia quando as ferramentas de seguranca de IA sao acessiveis a todos, nao apenas a organizacoes que podem pagar auditorias de seguranca de seis digitos. Se voce quer ir mais fundo — configuracoes personalizadas do AiSec para sua arquitetura especifica, monitoramento continuo de seguranca para suas implantacoes de IA, ou um engagement completo de red team — nossa equipe de ciberseguranca pode ajudar. Visite xcapit.com/services/cybersecurity para iniciar a conversa.