Hack Alerta

23 plugins do ClawHub abusam de escopos oficiais para enganar agentes de IA

Por Redação Hack Alerta Publicado em 22/06/2026 20:04 Cyber ataques Tempo de leitura: 4 min

Pesquisadores identificam 23 plugins no ClawHub que abusam de escopos oficiais para enganar agentes de IA, expondo riscos de cadeia de suprimentos no ecossistema de IA.

Descoberta e escopo da ameaça

Uma nova ameaça à cadeia de suprimentos no ecossistema de agentes de IA foi identificada por pesquisadores da Manifold Security. Foram descobertos 23 plugins no registro ClawHub publicados sob escopos organizacionais oficiais sem qualquer autorização da ClawHub ou de seu projeto pai, OpenClaw.

Esses plugins utilizavam prefixos de namespace confiáveis para parecerem ferramentas genuínas de primeira parte, enquanto foram submetidos por contas de terceiros não relacionadas à organização. A ClawHub é o registro principal de plugins e habilidades para OpenClaw, suportando bundles de plugins compatíveis com Claude que se instalam em agentes de codificação como Claude Code, Cursor e Codex.

Técnica de exploração: Scope Squatting

O núcleo do problema é uma técnica chamada "scope squatting", onde um plugin é publicado sob um namespace organizacional que o editor não possui realmente. Em sistemas como o npm, isso é prevenido automaticamente, pois apenas membros verificados de uma organização podem publicar sob seu escopo registrado.

A ClawHub documentou a mesma regra em suas diretrizes de publicação, mas não a aplicou consistentemente em todos os plugins de seu catálogo. Dos 1.508 plugins no catálogo, 557 carregam um prefixo @owner/, mas nem todos têm propriedade verificada. Os 23 plugins identificados pertencem a 15 contas distintas.

Capacidades e riscos de segurança

Todos os 23 plugins sinalizados executam código dentro do ambiente do agente. Vários realizam ações de alta privilégio, incluindo processamento autônomo de pagamentos, execução de comandos git de nível de host, exportação de configuração do agente e conexão com APIs externas.

Embora a revisão manual da Manifold não tenha encontrado código malicioso plantado em nenhuma versão analisada, eles enfatizaram que uma atualização futura de qualquer um desses plugins poderia introduzir comportamento prejudicial sem aviso. A confiança depositada no escopo oficial cria um risco de cadeia de suprimentos credível que a maioria dos desenvolvedores não questionaria.

Linha do tempo do incidente

A linha do tempo se moveu rapidamente após a descoberta. A Manifold relatou o problema à ClawHub em 17 de junho de 2026, através do fluxo de trabalho de aviso de segurança do GitHub, seguido por um e-mail de cortesia no dia seguinte. Até 19 de junho, a ClawHub havia deslistado todos os 23 plugins enganosos e adicionado um processo formal de disputa para relatar o uso não autorizado de namespace.

Recomendações para CISOs e Desenvolvedores

Desenvolvedores que trabalham com agentes de IA devem verificar a autoria do plugin cuidadosamente antes da instalação, cruzando a conta de publicação com os colaboradores conhecidos da organização oficial. Registros baseados em confiança de escopo devem impor propriedade no ponto de publicação, em vez de depender apenas de auditorias pós-publicação.

  • Verificação de Autoria: Confirme sempre a conta publicadora antes de instalar plugins de IA.
  • Monitoramento de Registros: Implemente monitoramento para plugins que usam escopos oficiais sem verificação.
  • Políticas de Aprovação: Estabeleça políticas de aprovação de software para ambientes de desenvolvimento com IA.
  • Isolamento de Ambiente: Execute agentes de IA em ambientes isolados para limitar o impacto de plugins comprometidos.

Implicações para a segurança de IA

O incidente ClawHub reflete um padrão mais amplo no ecossistema de agentes de IA, onde o crescimento rápido está superando os controles de segurança destinados a protegê-lo. Um único plugin pode anexar hooks que encaminham prompts ou variáveis de ambiente para servidores externos, puxar habilidades adicionais ou alterar silenciosamente as configurações do agente.

Quando esses plugins carregam um selo oficial que não ganharam, o risco torna-se muito mais difícil de detectar. A ClawHub agiu rapidamente, mas o modelo de confiança baseado em escopo precisa de reforço para prevenir abusos futuros.

Perguntas frequentes

Os plugins eram maliciosos? Não havia código malicioso ativo, mas o risco de atualização futura é alto.

Como a ClawHub corrigiu? Deslistou os plugins e implementou um processo de disputa de namespace.

Quais agentes são afetados? Claude Code, Cursor e Codex que utilizam o registro ClawHub.

Baseado em publicação original de Cyber Security News
Tags: #=clawhub #openclaw #supplychain #ia #plugins #segurança #manifold #scope #agentes
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar