O marketplace de skills do OpenClaw e a ameaça emergente à supply chain de IA

24 de junho de 2026

Resumo

A Unit 42 documentou cinco skills maliciosas do ClawHub que passaram pela triagem do VirusTotal e do ClawScan entre fevereiro e maio de 2026, explorando o modelo de execução em linguagem natural do OpenClaw para contornar restrições de runtime por meio de sequestro semântico de instruções, e não por falhas de memória. Entre as táticas observadas estavam iscas de redirecionamento para paste sites que encaminhavam droppers em Base64 para infostealers no macOS, um README.md inflado com 22 MB de lixo para ultrapassar limites de tamanho do scanner e dois esquemas novos de monetização com agentes.

Para defesa, a orientação é fazer auditorias linha a linha dos arquivos-fonte das skills, validar a procedência do publisher antes da instalação e monitorar o tráfego de saída em busca de callbacks pós-instalação para endpoints não documentados, cruzando cada conexão externa com a especificação declarada da skill.

Aprofundamento CEVIU

Aprofundamento

O OpenClaw transformou a execução de skills em uma nova fronteira de ataque à supply chain de IA, onde o problema não é código malicioso explícito, mas sim a manipulação semântica da lógica do agente. Ao invés de explorar vulnerabilidades de memória ou injeção de comandos, os atacantes usam a própria natureza interpretativa da IA para forçar o agente a executar ações não declaradas, como redirecionar usuários para paste sites, inflar arquivos para burlar scanners ou gerar recomendações financeiras com links de afiliado ocultos. Isso torna a detecção baseada em assinatura inútil: o código parece legítimo, mas o comportamento é fraudulento.

Ao invés de um dropper tradicional, o ataque agora é uma enganação de confiança. O usuário instala uma skill que promete ajudar traders ou gerenciar finanças, e o agente, por design, confia nas instruções contidas no SKILL.md. Quando esse arquivo aponta para um domínio externo controlado pelo atacante, o agente executa sem questionar. A ausência de sandboxing entre a skill e o ambiente do agente significa que, ao instalar uma skill, você entrega controle total da sua identidade digital, credenciais, arquivos, rede e até o fluxo de decisões financeiras.

Por que isso importa

Essa ameaça não se limita a usuários individuais. Empresas que adotam IA autônoma para automação de tarefas operacionais, desde suporte técnico até análise de mercado, correm risco de ter agentes comprometidos executando ações não autorizadas em nome de seus funcionários. Um agente que redireciona recomendações de investimento para um pump-and-dump pode gerar perdas financeiras reais, enquanto um infostealer que rouba chaves de cripto de um terminal corporativo pode expor ativos de milhões. A defesa exige mudar o paradigma: não basta escanear arquivos, é preciso auditar linha a linha o que cada skill pede para fazer e monitorar o que ela realmente faz depois da instalação.

Linha do tempo

2026-02-01
Bitdefender Labs relata que 17% das skills do OpenClaw tinham payloads maliciosos
2026-02-15
Koi Security divulga ClawHavoc, documentando 341 skills maliciosas no ClawHub
2026-03-10
JFrog Security descobre a técnica de padding com 22 MB em README.md para burlar scanners
2026-05-17
Unit 42 identifica skills que usam paste-site redirects e agentic affiliate injection
2026-06-01
ClawHub anuncia parceria com NVIDIA para análise de skills
2026-06-24
Unit 42 revela cinco skills maliciosas que contornaram VirusTotal e ClawScan por sequestro semântico

Perguntas frequentes

Como uma skill maliciosa pode passar no VirusTotal e no ClawScan?

Esses scanners analisam conteúdo estático, como assinaturas de malware ou arquivos suspeitos. Mas as skills maliciosas do OpenClaw não contêm código binário tradicional. Elas usam textos em Markdown que instruem o agente a buscar payloads externos, como Base64 em paste sites ou JSON dinâmicos. Como o payload é baixado em tempo de execução e nunca está no arquivo original, os scanners não o veem. Além disso, arquivos como README.md com 22 MB de lixo são ignorados por muitos sistemas que cortam análise em limites de tamanho.

O que é 'sequestro semântico de instruções' e por que é perigoso?

É quando o atacante manipula o significado das instruções dadas ao agente, não o código. Por exemplo, uma skill pode dizer 'verifique seu saldo' e, na verdade, pedir para o agente enviar esse saldo para um endereço externo. O agente entende a linguagem natural e executa, sem saber que o propósito foi alterado. Isso é perigoso porque não há falha de software, apenas abuso de confiança. Nenhum firewall ou antivírus tradicional detecta isso, pois tudo parece correto na superfície.

Por que o uso de paste sites como rentry.co e glot.io é eficaz nesses ataques?

Paste sites permitem que atacantes atualizem o payload sem alterar a skill publicada. Se o agente for obrigado a copiar e colar um comando de um site externo, o atacante pode trocar o Base64 a qualquer momento, trocando o infostealer, mudando o C2 ou até removendo o malware se a detecção aumentar. Isso torna a skill imune a bloqueios por assinatura e dificulta rastreamento, pois o malware nunca está no marketplace.

O que é 'agentic front-running' e como ele gera lucro para os atacantes?

É um esquema de pump-and-dump automatizado. Um grupo de agentes instalados por uma skill coleta criptomoedas (como SOL) e as usa para comprar uma nova token de meme antes do lançamento público. Quando o mercado abre, os agentes já têm a posição inicial barata. O atacante então libera a token para compra pública, criando falsa demanda. Os compradores entram no pico, e o atacante vende suas ações, deixando-os com ativos desvalorizados. Tudo isso é feito por agentes autônomos, sem intervenção humana direta após a instalação.

Fontes

unit42.paloaltonetworks.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 24 de junho de 2026
Editoria: CEVIU Segurança da Informação