Clawdbot: potenciais e perigos do agente open source

Clawdbot: o agente open source que coloca a IA para operar seu computador

Clawdbot é IA open source que executa tarefas de verdade. Entenda potenciais, perigos e impactos antes de usar.

Quim Pierotto03/02/2026
Seu navegador não suporta áudio. https://cientistasdigitais.com/wp-content/uploads/cdtts-audios/post-4649-tts.mp3

O Clawdbot virou assunto por um motivo simples: ele não fica só “respondendo”.

Ele age.

Ele conecta LLMs como “cérebro” a um conjunto de ferramentas que dão “mãos” para a IA mexer em arquivos, navegar, executar comandos e automatizar rotinas reais.

Só que aqui tem um detalhe importante que muita gente perde: o Clawdbot não é um modelo novo.

É uma camada de software em cima de modelos existentes.

Em outras palavras, é menos “nova inteligência” e mais “novo nível de acesso”.

E quando acesso vira produto, o impacto é inevitável.

Para o bem e para o mal.

O que é o Clawdbot na prática

Hoje, o projeto está sendo chamado de OpenClaw, depois de uma sequência rápida de renomes (Clawdbot → Moltbot → OpenClaw) citada por veículos e pelo próprio ecossistema.

No centro da arquitetura existe um Gateway local-first, que funciona como “plano de controle” para sessões, canais, ferramentas e eventos. A ideia é você falar com o agente por canais onde você já está, como mensageiros e chats, e ele executar no seu ambiente.

O projeto explodiu em adoção. No GitHub, o repositório aparece com 156k stars e 24k forks no momento desta leitura.
Em cobertura recente, o The Guardian mencionou quase 600 mil downloads e o caráter “viral” do agente.

O que ele traz de “diferente” não é só a lista de integrações. É o pacote completo:

  • Multicanal: conversa por apps e chats, com uma “caixa de entrada” unificada.
  • Ferramentas e ações: acesso a sistema, arquivos, browser e automações, dependendo do que você liberar.
  • Skills: extensões instaláveis, que viram “módulos de capacidade”.
  • Modelo flexível: você escolhe o provedor do LLM e isso muda custo, privacidade e risco.

O potencial real: por que ele é tão sedutor

Aqui dá para ser direto: o Clawdbot é a primeira experiência “mainstream” de IA com execução contínua que muita gente está realmente usando no dia a dia.

Conversa vira interface operacional

O salto de UX é forte. Você manda uma mensagem no seu canal e o agente vira o “operador”. Isso muda o fluxo mental de trabalho.

Em vez de “me diga como fazer”, vira “faça e me avise quando precisar de senha ou pagamento”. Esse padrão aparece em relatos de uso e é o motivo do hype.

Automação modular com skills cria um mini ecossistema

O jeito que as skills entram no jogo é o que pode transformar isso numa plataforma.

VEJA TAMBÉM:  Apple Intelligence no iOS 18: Inovação ou Corrida para Acompanhar os Concorrentes?

Quando a comunidade começa a produzir extensões para tarefas específicas, surge um efeito plugin economy. A diferença é que, aqui, o plugin não roda num app fechado. Ele pode rodar no seu host, com poder real.

Multi-agentes deixam o uso “profissionalizável”

O projeto fala em multi-agent routing, com isolamento por agentes e sessões. Na prática, isso abre espaço para montar “times” de agentes com contextos e workspaces separados, que é exatamente o tipo de coisa que empresas e times técnicos vão tentar industrializar.

Local-first como resposta a custo e privacidade

Rodar local, com Gateway em loopback e exposição controlada, dá uma sensação de controle que o usuário médio não tem em assistentes 100% SaaS.

Só que “local” não resolve tudo. E aqui entramos no lado sombrio.

Onde mora o perigo: por que isso muda o jogo de segurança

Se você quiser resumir o risco em uma frase, é esta: um modelo probabilístico com autorização absoluta.

Essa é a crítica mais importante de pesquisadores de segurança.

1) Entrada não confiável em canais de mensagem

O próprio projeto trata DMs como input não confiável e documenta políticas de pareamento e allowlist para impedir que desconhecidos conversem com o bot. Isso é bom sinal.

O problema é que o mundo real é feito de gente que copia tutorial e abre porta. Qualquer agente que recebe instrução via chat precisa ser pensado como se estivesse recebendo payload o tempo todo.

2) Prompt injection indireta e “conteúdo malicioso”

O risco mais traiçoeiro não é alguém te mandar “faça X”. É você autorizar o agente a ler algo que contém instruções escondidas e ele obedecer.

Quem trabalha com segurança já conhece essa linha: e-mails, páginas, documentos e até mensagens podem carregar comandos indiretos que viram ações quando o agente tem ferramentas.

3) Supply chain: skills são código executável, não “receitinhas”

Aqui está a bomba-relógio.

O Tom’s Hardware reportou 14 skills maliciosas enviadas ao registro público (ClawHub) em poucos dias, mirando usuários de cripto e usando engenharia social. O ponto mais crítico: skills não são “macros inocentes”. São pastas com código executável que podem tocar filesystem e rede quando instaladas e habilitadas.

Em paralelo, o TechRadar descreveu um golpe com extensão falsa no VS Code se passando por assistente, com camadas de loader e trojan. A popularidade e a confusão de nomes ajudaram o ataque.

VEJA TAMBÉM:  Google Workspace Studio: como usar o novo agente de IA para organizar sua rotina

Quando “skills + hype” viram tendência, o malware chega junto. Sempre.

4) Ecossistema move fast amplifica o estrago

O caso do Moltbook é um exemplo perfeito de como esse movimento pode sair do trilho.

O The Verge descreveu a explosão do Moltbook (uma rede estilo Reddit para agentes) e também apontou vulnerabilidades e riscos de sequestro/impersonação.

O Business Insider trouxe números ainda mais duros: pesquisadores da Wiz teriam acessado 35 mil e-mails, milhares de DMs e 1,5 milhão de tokens de autenticação de API, atribuídos a uma falha de configuração.

Repara no padrão: é o mesmo de sempre, só que agora com agentes que podem estar conectados a e-mail, mensagens e rotinas.

5) “Escolher modelo” é também “escolher risco de dados”

O Snyk bate num ponto que quase ninguém quer discutir no hype: se o agente usa um provedor externo de LLM, entram perguntas de log, retenção, jurisdição e política de treino. Mesmo sem “treinar”, logs já são um risco operacional.

Então, o discurso “é local, logo é privado” é perigoso. Parte roda local. Parte pode virar tráfego para terceiros, dependendo da configuração.

Como usar sem se colocar em risco desnecessário

Aqui vai meu ponto de vista técnico, sem romantizar.

Se você trata o Clawdbot como “Siri turbinada”, você vai se machucar. Se você trata como “um processo com permissão de root”, você começa certo.

Algumas decisões que reduzem o risco sem matar o benefício:

  • Separação de ambiente: rodar em máquina dedicada, VM ou sandbox, sem seus dados mais sensíveis.
  • Allowlist real de contatos: pareamento e aprovação de remetente, sem “DM aberta” por preguiça.
  • Sandbox para sessões não principais: o projeto descreve um modo em que sessões de grupo rodam em Docker com allowlist e denylist de ferramentas. É o tipo de configuração que vira “padrão ouro” conforme isso populariza.
  • Skills como dependência crítica: instalar só o que você auditou ou confia de verdade. O caso das skills maliciosas é o aviso mais claro possível.
  • Limites financeiros e de impacto: se o agente mexe com compras, e-mail, automações e credenciais, use limites e aprovações humanas. Os próprios relatos públicos mostram que as pessoas liberam demais cedo demais.

Isso não elimina risco, mas muda a ordem de grandeza.

Impactos prováveis: o que muda no mercado

Aqui é onde a conversa fica mais interessante.

Na minha leitura, Clawdbot não é “só mais um projeto viral”. Ele é um protótipo funcional de um novo perímetro.

  • Perímetro de segurança vira “perímetro de agência”: antes, você protegia endpoints e dados. Agora, você precisa proteger “o que pode agir”. E isso inclui registros de skills, canais, tokens, automações e memória do agente.
  • Software vira “intenção + execução”: produtos que eram apps podem virar skills, e times vão competir por quem oferece a melhor execução com o menor risco.
  • Cresce a profissão do “AgentOps”: observabilidade, políticas, revisão de ações, trilhas de auditoria e governança de agentes vão virar função real, porque a alternativa é caos. Os incidentes de ecossistema já apontam para isso.
  • Golpes ficam mais convincentes: quando um agente consegue conversar e executar, engenharia social ganha “braços”. Não é ficção, é evolução do golpe.
  • Open source acelera tanto defesa quanto ataque: auditar é possível, mas copiar e empacotar malware também fica mais fácil.
VEJA TAMBÉM:  Apple está finalizando acordo com OpenAI para trazer funcionalidades do ChatGPT para o iOS 18

O principal impacto é psicológico e operacional: muita gente vai perceber que “ter um agente” é o equivalente moderno de “ter um servidor exposto”. Você não improvisa isso.

O que aprendemos com o Clawdbot e agentes open source

O Clawdbot mostra, de forma bem crua, que a próxima fase da IA não é uma resposta melhor. É autoridade.

Isso pode ser uma vantagem competitiva brutal para quem operar com disciplina, isolamento e governança.

E pode ser um desastre para quem tratar como brinquedo, instalar skill aleatória, abrir DM e dar permissão demais cedo demais.

O futuro próximo não vai ser “IA substituindo apps”. Vai ser IA orquestrando apps, e isso muda a pilha inteira de produto, segurança e comportamento.

Referências

  • Repositório OpenClaw no GitHub (stars, forks, visão geral técnica). (GitHub)
  • Matéria da Scientific American sobre o agente e o conceito de “AI with hands”. (Scientific American)
  • Reportagem do The Guardian sobre viralização, downloads e riscos. (The Guardian)
  • Análise da Netskope Threat Labs sobre riscos e recomendações de sandbox. (Netskope)
  • Artigo da Snyk sobre camada de modelo e riscos de dados. (Snyk)
  • Notícia do Tom’s Hardware sobre skills maliciosas no ecossistema. (Tom’s Hardware)
  • Notícia do TechRadar sobre extensão falsa e malware. (TechRadar)
  • Matéria do The Verge sobre o Moltbook, escala e falhas. (The Verge)
  • Matéria do Business Insider citando pesquisa da Wiz com números do incidente do Moltbook. (Business Insider)

Publicado por

Quim Pierotto

Quim Pierotto, profissional e entusiasta digital e líder "visionário", destaca-se no mundo dos negócios digitais com mais de duas décadas de experiência. Combinando expertise técnica e uma abordagem humanizada, impulsiona projetos ao sucesso. Apaixonado por tecnologia e resultados, Quim é um parceiro confiável em empreendimentos digitais, sempre à frente na busca por inovação.

Desenvolvido por
Os cookies necessários permitem funcionalidades essenciais do site, como logins seguros e ajustes das preferências de consentimento. Não armazenam dados pessoais.
Nenhum
Os cookies funcionais suportam funcionalidades como partilha de conteúdo nas redes sociais, recolha de feedback e ativação de ferramentas de terceiros.
Nenhum
Os cookies analíticos monitorizam as interações dos visitantes, fornecendo informações sobre métricas como número de visitantes, taxa de rejeição e fontes de tráfego.
Nenhum
Os cookies de publicidade entregam anúncios personalizados com base nas suas visitas anteriores e analisam a eficácia das campanhas publicitárias.
Nenhum
Desenvolvido por
Exit mobile version