“Sua IA? Agora é minha IA.” A linha veio de Etay Maor, vice-presidente de inteligência de ameaças da Redes Catoem entrevista exclusiva ao VentureBeat em RSAC 2026 – e descreve exatamente o que aconteceu com um CEO do Reino Unido cuja instância do OpenClaw acabou à venda no BreachForums. O argumento de Maor é que a indústria concedeu aos agentes de IA o tipo de autonomia que nunca concederia a um funcionário humano, descartando a confiança zero, o mínimo de privilégios e a suposição de violação no processo.
A prova chegou em Fóruns de violação três semanas antes da entrevista de Maor. Em 22 de fevereiro, um agente de ameaça usando o nome “fluffyduck” postou uma lista anunciando acesso root shell ao computador do CEO por US$ 25.000 em Monero ou Litecoin. A concha não period o ponto de venda. O assistente pessoal OpenClaw AI do CEO period. O comprador obteria todas as conversas que o CEO teve com a IA, o banco de dados de produção completo da empresa, tokens de bot do Telegram, chaves de API Buying and selling 212 e detalhes pessoais que o CEO divulgou ao assistente sobre família e finanças. O ator da ameaça observou que o CEO estava interagindo ativamente com o OpenClaw em tempo actual, tornando a listagem um feed de inteligência ao vivo, em vez de um despejo de dados estáticos.
O pesquisador sênior de segurança da Cato CTRL, Vitaly Simonovich, documentou a listagem em 25 de fevereiro. A instância OpenClaw do CEO armazenou tudo em arquivos Markdown de texto simples em ~/.openclaw/workspace/ sem criptografia em repouso. O ator da ameaça não precisava exfiltrar nada; o CEO já o havia montado. Quando a equipe de segurança descobriu a violação, não havia nenhum interruptor de interrupção empresarial nativo, nenhum console de gerenciamento e nenhuma maneira de inventariar quantas outras instâncias estavam em execução na organização.
O OpenClaw é executado localmente com acesso direto ao sistema de arquivos da máquina host, conexões de rede, sessões do navegador e aplicativos instalados. A cobertura até o momento acompanhou sua velocidade, mas o que não foi mapeado foi a superfície da ameaça. Os quatro fornecedores que usaram o RSAC 2026 para enviar respostas ainda não produziram o controle que as empresas mais precisam: um kill change nativo.
A ameaça aparece pelos números
|
Métrica |
Números |
Fonte |
|
Instâncias voltadas para a Web |
~500.000 (verificação ao vivo em 24 de março) |
Etay Maor, Cato Networks (entrevista exclusiva RSAC 2026) |
|
Instâncias expostas com riscos de segurança |
Mais de 30.000 observados durante a janela de verificação |
|
|
Explorável by way of RCE conhecido |
15.200 instâncias |
|
|
CVEs de alta gravidade |
3 (CVSS mais alto: 8,8) |
|
|
Habilidades maliciosas no ClawHub |
341 na auditoria Koi (335 da ClawHavoc); 824 em meados de fevereiro |
|
|
Habilidades do ClawHub com falhas críticas |
13,4% de 3.984 analisados |
|
|
Tokens de API expostos (Moltbook) |
1,5 milhão |
Maor realizou uma verificação ao vivo do Censys durante uma entrevista exclusiva da VentureBeat no RSAC 2026. “Na primeira semana em que foi lançado, havia cerca de 6.300 ocorrências. Na semana passada, verifiquei: 230.000 ocorrências. Vamos verificar agora… quase meio milhão. Quase dobrou em uma semana”, disse Maor. Três CVEs de alta gravidade definem a superfície de ataque: CVE-2026-24763 (CVSS 8.8, injeção de comando by way of manipulação Docker PATH), CVE-2026-25157 (CVSS 7.7, injeção de comando do sistema operacional) e CVE-2026-25253 (CVSS 8.8, exfiltração de token para comprometimento complete do gateway). Todos os três CVEs foram corrigidos, mas o OpenClaw não possui um plano de gerenciamento empresarial, nenhum mecanismo de correção centralizado e nenhum kill change em toda a frota. Os administradores individuais devem atualizar cada instância manualmente, e a maioria não o faz.
A telemetria do lado defensor é igualmente alarmante. Sensores Falcon da CrowdStrike já detecta mais de 1.800 aplicações distintas de IA em toda a sua frota de clientes — do ChatGPT ao Copilot e ao OpenClaw — gerando cerca de 160 milhões de instâncias exclusivas em endpoints corporativos. ClawHavoc, uma habilidade maliciosa distribuída através do mercado ClawHub, tornou-se o principal estudo de caso no OWASP Agentic Expertise High 10. O CEO da CrowdStrike, George Kurtz, sinalizou-a em sua palestra RSAC 2026 como o primeiro grande ataque à cadeia de suprimentos em um ecossistema de agente de IA.
Os agentes de IA obtiveram acesso root. A segurança não conseguiu nada.
Maor enquadrou a falha de visibilidade através do ciclo OODA (observar, orientar, decidir, agir) durante a entrevista RSAC 2026. A maioria das organizações está falhando na primeira etapa: as equipes de segurança não conseguem ver quais ferramentas de IA estão sendo executadas em suas redes, o que significa que as ferramentas de produtividade que os funcionários trazem silenciosamente tornam-se IA oculta que os invasores exploram. A listagem do BreachForums provou o estado ultimate. A instância OpenClaw do CEO tornou-se um hub de inteligência centralizado com sessões de SSO, armazenamentos de credenciais e histórico de comunicação agregados em um único native. “O assistente do CEO pode ser seu assistente se você comprar acesso a este computador”, disse Maor ao VentureBeat. “É um assistente do atacante.”
Agentes fantasmas amplificam a exposição. As organizações adotam ferramentas de IA, executam um piloto, perdem o interesse e seguem em frente – deixando os agentes operando com credenciais intactas. “Precisamos de uma visão de RH dos agentes. Onboarding, monitoramento, offboarding. Se não houver justificativa comercial? Remoção”, disse Maor ao VentureBeat. “Não ficamos com nenhum agente fantasma em nossa rede, porque isso já está acontecendo.”
Cisco avançou em direção a um kill change OpenClaw
O presidente e diretor de produtos da Cisco, Jeetu Patel, enquadrou o que está em jogo durante uma entrevista exclusiva da VentureBeat na RSAC 2026. “Penso neles mais como adolescentes. Eles são extremamente inteligentes, mas não têm medo das consequências”, disse Patel sobre os agentes de IA. “A diferença entre delegar e delegar tarefas de forma confiável a um agente… uma delas leva à falência. A outra leva ao domínio do mercado.”
A Cisco lançou três ferramentas de segurança gratuitas e de código aberto para OpenClaw no RSAC 2026. Garra de Defesa empacota Expertise Scanner, MCP Scanner, AI BoM e CodeGuard em uma única estrutura de código aberto executada dentro do tempo de execução OpenShell da NVIDIA, que a NVIDIA lançou no GTC uma semana antes do RSAC. “Cada vez que você realmente ativa um agente em um contêiner Open Shell, agora você pode instanciar automaticamente todos os serviços de segurança que construímos por meio do Protection Claw”, disse Patel ao VentureBeat. Edição AI Defense Explorer é uma versão gratuita e de autoatendimento do mecanismo algorítmico de equipe vermelha da Cisco, que testa qualquer modelo ou agente de IA para injeção imediata e jailbreaks em mais de 200 subcategorias de risco. O Tabela de classificação de segurança LLM classifica os modelos básicos por resiliência adversária, em vez de benchmarks de desempenho. Cisco também enviou Identidade Agente Dupla para registrar agentes como objetos de identidade com permissões limitadas por tempo, Id Intelligence para descobrir agentes shadow por meio de monitoramento de rede e o Agent Runtime SDK para incorporar a aplicação de políticas no momento da construção.
Palo Alto transformou os endpoints de agente em uma categoria de segurança própria
O CEO da Palo Alto Networks, Nikesh Arora, caracterizou as ferramentas da classe OpenClaw como a criação de uma nova cadeia de suprimentos que funciona através de mercados não regulamentados e inseguros durante um briefing pré-RSA exclusivo em 18 de março com VentureBeat. Koi encontrou 341 habilidades maliciosas no ClawHub em sua auditoria inicial, com o complete crescendo para 824 à medida que o registro se expandia. Snyk encontrou 13,4% das habilidades analisadas continha falhas críticas de segurança. A Palo Alto Networks construiu o Prisma AIRS 3.0 em torno de um novo registro de agente que exige que cada agente seja registrado antes de operar, com validação de credenciais, controle de tráfego de gateway MCP, formação de equipe vermelha de agentes e monitoramento de tempo de execução para envenenamento de memória. A aquisição pendente da Koi adiciona visibilidade à cadeia de suprimentos especificamente para endpoints de agentes.
Cato CTRL entregou a prova contraditória
O braço de inteligência de ameaças da Cato Networks, Cato CTRL, apresentou duas sessões no RSAC 2026. O Relatório de ameaças Cato CTRL 2026publicado separadamente, inclui um ataque de prova de conceito “Residing Off AI” direcionado ao MCP e Jira Service Administration da Atlassian. A pesquisa de Maor fornece a validação contraditória independente que os anúncios de produtos dos fornecedores não podem fornecer por si próprios. Os fornecedores de plataformas estão construindo governança para agentes sancionados. Cato CTRL documentou o que acontece quando o agente não autorizado no laptop computer do CEO é vendido na darkish net.
Lista de ações de segunda-feira de manhã
Independentemente da pilha do fornecedor, quatro controles se aplicam imediatamente: vincular o OpenClaw apenas ao host native e bloquear a exposição de portas externas, impor a lista de permissões de aplicativos por meio de MDM para evitar instalações não autorizadas, alternar todas as credenciais em máquinas onde o OpenClaw está em execução e aplicar acesso com privilégios mínimos a qualquer conta que um agente de IA tenha tocado.
-
Descubra a base instalada. O sensor Falcon da CrowdStrike, a plataforma SASE da Cato e o Cisco Id Intelligence detectam IA sombria. Para equipes sem ferramentas premium, consulte endpoints para o diretório ~/.openclaw/ usando políticas nativas de pesquisa de arquivos EDR ou MDM. Se a empresa não tiver nenhuma visibilidade de endpoint, execute consultas Shodan e Censys em intervalos de IP corporativos.
-
Corrija ou isole. Verifique cada instância descoberta em relação a CVE-2026-24763, CVE-2026-25157 e CVE-2026-25253. As instâncias que não podem ser corrigidas devem ser isoladas na rede. Não há mecanismo de correção para toda a frota.
-
Instalações de habilidades de auditoria. Revise as habilidades instaladas em relação ao Expertise Scanner da Cisco ou ao Snyk e Koi pesquisar. Qualquer habilidade de fonte não verificada deve ser removida imediatamente.
-
Aplique controles DLP e ZTNA. Os controles ZTNA da Cato restringem aplicações de IA não aprovadas. O Cisco Safe Entry SSE impõe políticas em chamadas de ferramentas MCP. O Prisma Entry Browser de Palo Alto controla o fluxo de dados na camada do navegador.
-
Mate agentes fantasmas. Crie um registro de cada agente de IA em execução. Documente a justificativa comercial, o proprietário humano, as credenciais mantidas e os sistemas acessados. Revogar credenciais de agentes sem justificativa. Repita semanalmente.
-
Implante o DefenseClaw para uso sancionado. Execute OpenClaw dentro do tempo de execução OpenShell da NVIDIA com Cisco Garra de Defesa para verificar habilidades, verificar servidores MCP e instrumentar automaticamente o comportamento do tempo de execução.
-
Equipe vermelha antes da implantação. Usar Edição Cisco AI Defense Explorer (gratuito) ou equipe vermelha de agentes da Palo Alto Networks no Prisma AIRS 3.0. Teste o fluxo de trabalho, não apenas o modelo.
O Top 10 de habilidades de agente OWASPpublicado usando ClawHavoc como estudo de caso principal, fornece uma estrutura de nível padrão para avaliar esses riscos. Quatro fornecedores enviaram respostas no RSAC 2026. Nenhum deles é um change corporativo nativo para implantações OpenClaw não sancionadas. Até que exista, a lista de ações de segunda-feira de manhã acima é a coisa mais próxima de uma.
