Anatomia de seguranca do OpenClaw: O que os 35 agentes do AiSec encontraram no agente de IA mais popular do mundo

Os agentes de IA não são mais experimentais. Eles escrevem código, gerenciam infraestrutura, lidam com interacoes com clientes e tomam decisoes que afetam milhoes de pessoas. Mas enquanto a industria se obcecou com capacidades — quantas ferramentas um agente pode usar, quantos tokens pode processar, quao autonomamente pode operar — a seguranca foi tratada como algo secundario. A suposicao parece ser que se um agente de IA e popular o suficiente, deve ser seguro o suficiente. Essa suposicao esta errada.

Construimos o AiSec (github.com/fboiero/AiSec) para testar essa suposicao sistematicamente. O AiSec e um framework de seguranca de IA open-source que implanta 35 agentes de IA especializados para escanear sistemas de IA em busca de vulnerabilidades — desde injecao de prompts e escapes de sandbox até vazamento de dados e lacunas de conformidade. Decidimos executa-lo contra o maior alvo que conseguimos encontrar: OpenClaw, o agente de IA mais popular do mundo com 191.000 estrelas no GitHub. O que encontramos em 4 minutos e 12 segundos deveria preocupar toda organização que implanta agentes de IA em produção.

O que e o OpenClaw?

O OpenClaw e o framework de agentes de IA open-source mais popular do mundo, com mais de 191.000 estrelas no GitHub e uma comunidade ativa de milhares de contribuidores. Ele fornece uma arquitetura de proposito geral para construir agentes de IA que podem usar ferramentas, executar código, navegar na web, interagir com APIs e encadear fluxos de trabalho complexos de multiplas etapas. Sua popularidade deriva de sua flexibilidade: os agentes OpenClaw podem ser configurados para tudo, desde assistentes chatbot simples até agentes de codificacao autonomos, pipelines de análise de dados e automacao de fluxos de trabalho empresariais.

A arquitetura do OpenClaw segue o padrao agentico agora padrao: um nucleo de modelo de linguagem com acesso a um registro de ferramentas, um sistema de memoria para manter contexto entre interacoes e um motor de execucao que orquestra a conclusao de tarefas em multiplas etapas. Suporta multiplos backends de LLM, conjuntos de ferramentas personalizaveis e arquiteturas de plugins extensiveis. Essa flexibilidade e tanto sua forca quanto — de uma perspectiva de seguranca — sua superficie de risco mais significativa. Cada ponto de extensao e um potencial vetor de ataque. Cada integração de ferramenta e um limite de privilegios que pode ser cruzado.

O desafio: Por que auditar o agente de IA mais popular?

Auditar o OpenClaw não era sobre encontrar falhas em seus mantenedores — que construiram algo genuinamente impressionante. Era sobre responder uma pergunta que importa para todo o ecossistema de IA: quao seguro e o framework de agentes de IA mais testado, mais revisado e mais implantado? Se o OpenClaw tem lacunas de seguranca significativas, o que isso nos diz sobre as centenas de frameworks de agentes menos escrutinados implantados em produção?

As auditorias de seguranca tradicionais de sistemas de IA são lentas, caras e incompletas. Um pentester humano pode passar semanas revisando um framework de agentes e ainda perder classes de vulnerabilidades nas quais não e especializado. O especialista em injecao de prompts pode não detectar o escape de sandbox. O auditor de conformidade pode não identificar o caminho de vazamento de dados. Precisavamos de uma ferramenta que pudesse cobrir toda a superficie de ataque — cada classe de vulnerabilidade, cada framework de conformidade, cada camada da arquitetura do agente — em minutos, não semanas. Por isso construimos o AiSec.

AiSec: 35 agentes, uma missao

O AiSec (github.com/fboiero/AiSec) e um framework de seguranca de IA open-source desenvolvido pela Xcapit. Ele adota uma abordagem fundamentalmente diferente para a avaliação de seguranca de IA: em vez de executar um único scanner com uma checklist de regras, o AiSec implanta 35 agentes de IA especializados, cada um treinado e configurado para detectar uma classe específica de vulnerabilidade. Esses agentes trabalham em paralelo, compartilhando contexto atraves de uma camada de coordenacao que permite a correlacao entre agentes — encontrando cadeias de vulnerabilidades que nenhum agente individual detectaria sozinho.

Os 35 agentes incluem PromptInjectionAgent (testando vetores de injecao direta, indireta e multi-turno), SandboxEscapeAgent (sondando limites de execucao de código e escapes de container), DataLeakageAgent (rastreando fluxos de dados para exposicao de informacoes sensiveis), ToolChainAgent (analisando caminhos de escalacao de privilegios entre ferramentas), AuthenticationAgent (testando mecanismos de identidade e controle de acesso) e ComplianceAgent (mapeando descobertas para requisitos regulatorios e de frameworks). Agentes adicionais cobrem integridade da cadeia de suprimentos, vetores de envenenamento de modelos, limitacao de taxa, seguranca de APIs, injecao de memoria, ataques de serializacao e mais.

A arquitetura de análise de 5 camadas

O AiSec organiza sua análise em cinco camadas distintas, cada uma direcionada a um aspecto diferente da postura de seguranca do sistema de IA. Esta abordagem em camadas garante cobertura abrangente — desde vulnerabilidades de código de baixo nivel até lacunas de conformidade de alto nivel.

• Camada 1 — Análise Estatica: Escaneamento de código-fonte para segredos hardcoded, padroes inseguros, vulnerabilidades de dependencias e fraquezas de configuração. Os agentes estaticos do AiSec analisaram mais de 340.000 linhas de código do OpenClaw em 2.100 arquivos em 47 segundos.
• Camada 2 — Análise Dinâmica: Testes em tempo de execucao do comportamento do agente sob condicoes adversariais. Os agentes enviam entradas especialmente projetadas, observam invocacoes de ferramentas, monitoram acesso a recursos e testam condicoes limite. Esta camada identificou 28 das 63 descobertas.
• Camada 3 — Análise de Arquitetura: Avaliação dos padroes de design do sistema, limites de privilegios, caminhos de fluxo de dados e relacoes de confianca. O ToolChainAgent e o AuthenticationAgent operam principalmente nesta camada, identificando fraquezas estruturais que habilitam ataques de multiplas etapas.
• Camada 4 — Análise de Fluxo de Dados: Rastreamento de ponta a ponta de como dados de usuario, contexto de conversacao e saidas de ferramentas fluem atraves do sistema. O DataLeakageAgent rastreia informacoes sensiveis desde a ingestao atraves do processamento até o armazenamento, identificando pontos onde os dados escapam de seu limite previsto.
• Camada 5 — Mapeamento de Conformidade: Correlacao automatizada de todas as descobertas das camadas 1-4 contra 8 frameworks de seguranca. Cada descoberta recebe classificacoes de severidade especificas do framework, orientacao de remediacao e avaliacoes de impacto de conformidade.

Resultados: 63 descobertas em 4 minutos

O AiSec completou sua análise completa do OpenClaw em 4 minutos e 12 segundos. Os 35 agentes identificaram coletivamente 63 descobertas de seguranca atraves de todas as cinco camadas de análise. A distribuição por severidade foi significativa: 8 descobertas criticas exigindo atenção imediata, 15 descobertas de severidade alta com caminhos de ataque exploraveis, 22 descobertas de severidade media representando lacunas em defesa em profundidade e 18 descobertas de severidade baixa cobrindo oportunidades de endurecimento e desvios de melhores práticas.

• Criticas (8): Vetores de injecao de prompt com execucao de código demonstrada, caminhos de escape de sandbox, exposicao de dados sensiveis em armazenamento persistente, encadeamento de ferramentas sem restricoes habilitando escalacao de privilegios
• Altas (15): Validação de entrada insuficiente em parâmetros de ferramentas, limitacao de taxa ausente em loops de agente, isolamento fraco entre sessoes de usuario, configuracoes padrao inseguras para carregamento de plugins, exposicao de chaves API atraves de mensagens de erro
• Medias (22): Registro incompleto de eventos relevantes para seguranca, verificacoes de integridade ausentes em código de plugins, controles de timeout insuficientes em chamadas a APIs externas, configuracoes CORS excessivamente permissivas, ausencia de politicas de seguranca de conteudo para saidas renderizadas
• Baixas (18): Descobertas informativas incluindo versoes de dependencias deprecadas, padroes de tratamento de erros não padrao, cabecalhos de seguranca ausentes em endpoints internos, lacunas de documentação para opcoes de configuração de seguranca

Análise profunda das descobertas criticas

CVE-2026-25253: Injecao de prompt Multi-Vetor

O PromptInjectionAgent identificou uma vulnerabilidade crítica de injecao de prompt que permite a um atacante sobrescrever as instrucoes de sistema do OpenClaw atraves de conteudo manipulado em fontes de dados externas. O ataque explora o fato de que o OpenClaw processa as saidas de ferramentas — incluindo conteudo de paginas web, conteudos de arquivos e respostas de APIs — no mesmo contexto das instrucoes de sistema, sem aplicação adequada de limites. Um atacante que controla qualquer conteudo que o agente recupera (uma pagina web, um documento, um repositorio de código) pode incorporar instrucoes que o agente executara com seu acesso completo a ferramentas.

O PromptInjectionAgent demonstrou esta vulnerabilidade atraves de tres vetores de ataque independentes: instrucoes ocultas em comentarios markdown dentro de documentos recuperados, caracteres de controle Unicode que reestruturam o contexto do prompt e manipulacao de contexto multi-turno que gradualmente desvia o seguimento de instrucoes do agente. Cada vetor foi confirmado como exploravel na configuração padrao, e dois permaneceram exploraveis mesmo com o 'modo estrito' opcional do OpenClaw habilitado. Esta descoberta foi atribuida como CVE-2026-25253 e afeta todas as versoes anteriores ao último patch de seguranca.

Escape de sandbox atraves de execucao de código

O SandboxEscapeAgent descobriu que a sandbox de execucao de código do OpenClaw — o ambiente onde o código solicitado pelo usuario e executado — tem isolamento insuficiente do sistema hospedeiro. Atraves de uma sequencia de solicitacoes de execucao de código cuidadosamente projetadas, um agente pode acessar o sistema de arquivos do hospedeiro além de seu diretorio de sandbox designado, ler variaveis de ambiente (incluindo chaves API e credenciais armazenadas no ambiente do shell) e, em certas configuracoes, estabelecer conexoes de rede de saida para exfiltrar dados.

O caminho de escape explora uma condicao de corrida na sequencia de inicializacao da sandbox: durante a janela de 200 milissegundos entre a criação do processo e a aplicação da politica da sandbox, o código executado tem acesso ao ambiente não restrito do hospedeiro. O SandboxEscapeAgent automatizou a exploracao desta janela, demonstrando acesso confiavel de leitura de arquivos em /etc/passwd, extracao de variaveis de ambiente e exfiltracao de dados baseada em DNS — tudo de dentro do que os usuarios acreditam ser uma sandbox de execucao isolada.

Exposicao de dados sensiveis em logs de conversacao

O DataLeakageAgent rastreou o fluxo de dados do OpenClaw e identificou que os historicos de conversacao — que rotineiramente contem chaves API, senhas, informacoes pessoais e código proprietario compartilhado pelos usuarios — são armazenados em texto simples no sistema de arquivos local com permissoes que permitem acesso por qualquer processo executando sob a mesma conta de usuario. Em implantacoes multi-usuario (que representam uma porcentagem significativa das instalacoes empresariais do OpenClaw), isso significa que os dados de conversacao de qualquer usuario são potencialmente acessiveis para os processos de outros usuarios.

Escalacao de privilegios atraves de encadeamento de ferramentas

O ToolChainAgent identificou um caminho crítico de escalacao de privilegios onde um agente com acesso a um conjunto limitado de ferramentas pode encadear invocacoes de ferramentas para alcancar capacidades além de suas permissoes previstas. Especificamente, o agente demonstrou que uma ferramenta com acesso somente leitura ao sistema de arquivos pode invocar a ferramenta de execucao de código para escrever arquivos, que por sua vez podem ser usados para modificar a propria configuração do agente e conceder acesso a ferramentas adicionais. Essa capacidade de automodificacao efetivamente contorna qualquer modelo de permissoes aplicado no nivel de configuração.

Correlacao Cross-Framework: 8 frameworks, um relatorio

Uma das capacidades mais poderosas do AiSec e a correlacao cross-framework automatizada. Cada descoberta e mapeada para todos os controles aplicaveis atraves de 8 frameworks de seguranca simultaneamente: OWASP Top 10 para LLMs (2025), NIST AI Risk Management Framework (AI RMF), MITRE ATLAS (Adversarial Threat Landscape for AI Systems), ISO 42001 (AI Management System), EU AI Act (classificacoes de risco e requisitos), OWASP Application Security Verification Standard (ASVS), CIS Controls v8 e NIST Cybersecurity Framework 2.0.

Este mapeamento cross-framework não e apenas um exercicio academico — e operacionalmente crítico. Um CISO que precisa reportar a postura de seguranca de IA ao conselho mapeia descobertas para o NIST CSF. Uma equipe de conformidade se preparando para requisitos do EU AI Act mapeia descobertas para as categorias de risco do regulamento. Uma equipe de desenvolvimento priorizando correcoes mapeia descobertas para OWASP para orientacao de remediacao acionavel. O AiSec gera todas essas visoes a partir de uma única varredura, eliminando o esforco manual de referenciar cruzadamente descobertas entre frameworks.

Para a análise do OpenClaw, a correlacao cross-framework revelou que 6 das 8 descobertas criticas mapeiam para OWASP LLM01 (Injecao de Prompt) ou LLM06 (Divulgacao de Informacoes Sensiveis). Sob o EU AI Act, o uso do OpenClaw em tomada de decisão autonoma o classificaria como alto risco, ativando requisitos obrigatorios para transparencia, supervisao humana e testes de seguranca — requisitos que a arquitetura atual não satisfaz completamente. Sob o NIST AI RMF, as descobertas se agrupam nas funcoes GOVERN e MAP, indicando que as causas raiz são decisoes de governanca arquitetonica em vez de bugs de implementação.

O que os mantenedores do OpenClaw fizeram certo

Uma auditoria de seguranca que só destaca falhas da uma imagem incompleta. Os mantenedores do OpenClaw tomaram varias decisoes solidas de seguranca que outros frameworks de agentes deveriam emular. O projeto tem um modelo de permissoes abrangente que, embora contornavel atraves da vulnerabilidade de encadeamento de ferramentas descrita acima, fornece uma arquitetura clara para restringir as capacidades do agente — a base e sólida mesmo que a implementação tenha lacunas. A sandbox de execucao de código existe e aplica corretamente as restricoes em operação estavel — a vulnerabilidade de condicao de corrida e um problema de timing, não uma ausencia de design.

O processo de resposta de seguranca do OpenClaw e exemplar. Quando reportamos as descobertas criticas atraves de seu programa de divulgacao responsavel, os mantenedores reconheceram todas as 8 descobertas criticas dentro de 48 horas, confirmaram a reprodutibilidade dentro de uma semana e tinham patches em revisão dentro de duas semanas. Este tempo de resposta coloca o OpenClaw a frente de 90% dos projetos open-source com os quais trabalhamos. O projeto também mantem uma pagina de avisos de seguranca, suporta releases assinados e tem um programa ativo de bug bounty — práticas que demonstram compromisso genuino com a seguranca.

Implicacoes para o ecossistema de agentes de IA

Se o framework de agentes de IA mais popular e mais escrutinado tem 8 vulnerabilidades criticas de seguranca, o estado do ecossistema mais amplo e preocupante. O OpenClaw se beneficia de 191.000 pares de olhos, uma equipe de seguranca dedicada, um programa de divulgacao responsavel e agora uma análise do AiSec. A maioria dos frameworks de agentes de IA implantados em produção não tem nenhuma dessas vantagens. São construidos por equipes pequenas, implantados sem revisão de seguranca e operados com confianca implicita no comportamento do agente.

As descobertas desta análise apontam para problemas sistemicos em como a industria constroi agentes de IA. As defesas contra injecao de prompts ainda não são prática padrao — a maioria dos frameworks processa conteudo externo no mesmo contexto das instrucoes de sistema. O isolamento da sandbox e tratado como um detalhe de implementação em vez de um limite crítico de seguranca. Os dados em repouso raramente são criptografados. Os modelos de permissoes são consultivos em vez de aplicados. Estes não são bugs do OpenClaw especificamente; são padroes repetidos atraves de todo o ecossistema de agentes. A industria precisa de uma mudanca fundamental: tratar a seguranca de agentes de IA como uma disciplina de engenharia de primeira classe, não como uma caixa a marcar antes do lancamento.

Como executar o AiSec em seus proprios sistemas de IA

O AiSec e open source e esta disponivel em github.com/fboiero/AiSec. Executa-lo contra seus proprios sistemas de agentes de IA leva minutos, não dias. O framework e projetado para ser autocontido — você não precisa modificar seu sistema alvo ou instalar agentes em infraestrutura de produção. O AiSec opera externamente, sondando o alvo atraves das mesmas interfaces que um atacante usaria.

• Clonar o repositorio: git clone https://github.com/fboiero/AiSec.git && cd AiSec
• Instalar dependencias: pip install -e . (Python 3.10+ requerido)
• Configurar seu alvo: editar config/target.yaml com os endpoints, autenticação e parâmetros de escopo do seu sistema de IA
• Executar a varredura completa: aisec scan --target config/target.yaml --frameworks all --output report.json
• Gerar relatorios de conformidade: aisec report --input report.json --format pdf --frameworks owasp-llm,nist-ai-rmf,eu-ai-act
• Para integração CI/CD: aisec scan --target config/target.yaml --fail-on critical,high --output-format junit

A varredura executa todos os 35 agentes em paralelo por padrao, completando uma análise completa em menos de 5 minutos para a maioria dos sistemas de IA. Você também pode executar agentes individuais para testes direcionados — por exemplo, aisec scan --agents PromptInjectionAgent,SandboxEscapeAgent para uma avaliação focada nas suas superficies de ataque mais criticas. A saida inclui orientacao detalhada de remediacao para cada descoberta, priorizada por severidade e mapeada para os frameworks de conformidade relevantes para sua organização.

Na Xcapit, a seguranca de IA não e uma atividade secundaria — e central a tudo que construimos. O AiSec surgiu de nossas práticas de seguranca internas, refinadas ao longo de anos construindo agentes de IA para clientes empresariais nos setores fintech, energia e governo. Tornamo-lo open source porque acreditamos que todo o ecossistema se beneficia quando as ferramentas de seguranca de IA são acessiveis a todos, não apenas a organizacoes que podem pagar auditorias de seguranca de seis digitos. Se você quer ir mais fundo — configuracoes personalizadas do AiSec para sua arquitetura específica, monitoramento continuo de seguranca para suas implantacoes de IA, ou um engagement completo de red team — nossa equipe de ciberseguranca pode ajudar. Visite xcapit.com/services/cybersecurity para iniciar a conversa.