Uma nova onda de habilidades maliciosas direcionadas ao marketplace de agentes de IA OpenClaw expôs uma fronteira perigosa na segurança da cadeia de suprimentos de software. Pesquisadores da Unit 42 identificaram que atacantes estão utilizando o marketplace ClawHub para injetar código prejudicial em ambientes de agentes de IA, roubando dados e executando esquemas de fraude financeira que ferramentas de segurança tradicionais falharam em detectar.
Descoberta e escopo da ameaça
A análise realizada entre fevereiro e maio de 2026 revelou cinco habilidades maliciosas que contornaram as triagens integradas do ClawHub, incluindo VirusTotal e ClawScan. O OpenClaw é um agente de IA que executa habilidades de terceiros, pacotes baseados em markdown com acesso profundo aos sistemas locais. Quando uma habilidade maliciosa é instalada, ela pode assumir o controle total da identidade do agente e executar ações não autorizadas através das sessões autenticadas do próprio agente, sem a necessidade de uma exploração convencional.
As cinco habilidades identificadas caíram em três categorias de ameaça: infostealers conectados a infraestrutura de comando e controle, uma ferramenta de evasão de preenchimento de arquivos projetada para exceder os limites dos scanners, e duas ameaças agênticas novas construídas para ganho financeiro. A persistência dessas ameaças, mesmo após a introdução de triagem automatizada, sinaliza que o risco aos ecossistemas de agentes de IA está longe de ser resolvido.
Vetores de ataque e exploração
Duas das cinco ameaças eram habilidades disfarçadas de assistentes de produtividade do TradingView para macOS. Ambas incorporavam um bloco de pré-requisito malicioso que direcionava os agentes para um isco de redirecionamento de site de colagem em rentry[.]co/openclaw-code, onde um comando codificado em Base64 aguardava para ser executado em uma janela de terminal. Esse comando então baixava um infostealer do macOS chamado cluw de um servidor remoto.
Uma habilidade separada chamada omnicogg incorporava o dropper de malware AMOS dentro de um arquivo README.md, em seguida, o preenchia com 22 MB de caracteres inúteis para exceder os limites de tamanho de arquivo que a maioria dos pipelines de varredura impõe. Tanto o VirusTotal quanto o ClawScan retornaram veredictos limpos, o que significa que a habilidade permaneceu disponível gratuitamente enquanto escondia código malicioso ativo.
Impacto e alcance
Além do roubo de dados, os pesquisadores encontraram duas habilidades construídas para abusar da autoridade consultiva do agente de IA para ganho financeiro. A habilidade money-radar se passava por um consultor de produtos financeiros para usuários na China continental, Hong Kong e Cingapura. Em cada invocação, ela buscava silenciosamente um payload de laosji[.]net e incorporava links de rastreamento de afiliados em cada recomendação gerada.
A habilidade letssendit foi ainda mais longe, executando um esquema de pump-and-dump na blockchain Solana. Agentes instalados agrupavam criptomoedas SOL na carteira do operador, que então comprava o token meme SENDIT ao menor preço disponível antes de lançá-lo no pump[.]fun. Compradores externos podiam confundir a atividade coordenada da IA com demanda orgânica, permitindo que o operador despejasse sua posição barata em compradores secundários com lucro.
Medidas de mitigação recomendadas
Os pesquisadores recomendam validar a proveniência do editor, auditar os arquivos de origem da habilidade linha por linha e monitorar o tráfego de rede de saída para conexões com endpoints não documentados. Qualquer comportamento que não corresponda ao propósito declarado de uma habilidade deve ser sinalizado como um possível indicador de comprometimento. A exploração da confiança que os usuários depositam em um marketplace curado torna a detecção mais difícil tanto para ferramentas automatizadas quanto para revisores humanos.
Indicadores de Comprometimento (IoCs)
- IP Address: 2.26.75[.]16 (C2 server hosting the cluw macOS infostealer payload)
- IP Address: 91.92.242[.]30 (AMOS C2 server used in early and ongoing campaigns)
- Domain: laosji[.]net (Domain used for runtime affiliate injection via money-radar skill)
- URL: rentry[.]co/openclaw-code (Paste-site redirect lure delivering Base64-encoded dropper)
- SHA256: 818aea6143282b352fdfdc0f3ebf77a36e54eb3befb5cad1a355a99ab97c6aa7 (macOS infostealer cluw payload)
O que os CISOs devem fazer imediatamente
Organizações que utilizam agentes de IA devem revisar imediatamente as políticas de instalação de habilidades de terceiros. A implementação de sandboxing para a execução de habilidades não confiáveis e a monitorização de tráfego de rede anômalo são essenciais. A segurança de cadeias de suprimentos de IA requer uma abordagem diferente da segurança de software tradicional, focando na validação de prompts e na restrição de privilégios de execução dos agentes.