Sua produtividade com IA pode custar suas criptomoedas: o marketplace ClawHub do OpenClaw abriga 1.184 skills maliciosas que roubam chaves SSH, carteiras cripto, senhas de navegador e até abrem reverse shells. Um único atacante uploadou 677 pacotes, com o top skill baixado milhares de vezes apesar de 9 vulnerabilidades. É importante considerar: texto em IA agora é executável, alerta a analista Patrícia Prado.
Detalhes do Ataque em Cadeia de Suprimentos
O risco aqui é claro: os plugins se disfarçam de ferramentas úteis como bots de trading cripto, trackers de carteiras Solana ou resumos de YouTube. No entanto, o SKILL.md embute instruções maliciosas que levam usuários a executar scripts shell ofuscados. Esses baixam o Atomic Stealer (AMOS), um malware para macOS que varre carteiras Phantom, sessões do Telegram, chaves de API de exchanges e arquivos sensíveis.
Identificado como “ClawHavoc” pela Koi Security, o ataque afeta 12 contas no ClawHub, com domínios falsos como clawhub1. A atenção deve ir para o volume: downloads na casa dos milhares mostram como a confiança cega em marketplaces de IA expõe usuários a perdas irreversíveis em carteiras não custodiais.
Fundador da SlowMist, Yu Xian, reforça: muitos skills OpenClaw têm riscos potenciais, demandando ambientes isolados para execução.
Moonwell: Exemplo Real de Perda por IA
Não é teoria: o hack na Moonwell custou US$ 1,78 milhão há poucos dias. Um erro em código para precificar cbETH — gerado com co-autoria do Claude Opus 4.6 — esqueceu de multiplicar taxas ETH/USD, permitindo liquidações em massa e prejuízos para 181 borrowers.
Auditorias humanas, GitHub Copilot e ferramentas como OpenZeppelin falharam. Isso destaca o risco ampliado: a segurança Web3 vai além de contratos; IA em ferramentas de desenvolvimento e agents cria novas superfícies de ataque. Patrícia Prado alerta: o que observar são falhas sutis em código vibe-coded que passam testes unitários mas colapsam em produção.
Passos Práticos para Mitigar Riscos
Atenção para ações imediatas:
- Verifique skills instalados no ClawHub/OpenClaw: remova qualquer com downloads suspeitos ou autores como hightower6eu.
- Use ambientes isolados: VMs ou containers (Docker) para rodar agentes de IA, separando chaves privadas.
- Audite scripts manualmente antes de executar: evite curl de fontes desconhecidas.
- Monitore carteiras com ferramentas como Clawdex da Koi Security e ative 2FA/multi-sig onde possível.
- Atualize OS e carteiras; rode antivírus focados em macOS como contra AMOS.
Esses passos reduzem exposição sem abandonar IA produtiva.
Implicações para o Ecossistema Cripto
Com 1 milhão de agentes de IA previstos para 2026 (VanEck), marketplaces como ClawHub testam a maturidade da segurança em IA-Web3. Plataformas agora têm report flags, mas prevenção exige auditoria rigorosa. O leitor deve refletir: vale a conveniência se custa seus BTC? Priorize proteção — histórico de ataques em cadeia de suprimentos como este ensina que prevenção evita perdas evitáveis.
💰 Comece a investir em criptomoedas: Abra sua conta gratuita na Binance e acesse um dos maiores ecossistemas cripto do mundo.
📢 Este artigo contém links de afiliados. Ao se cadastrar através desses links, você ajuda a manter o blog sem custo adicional para você.
⚠️ Este conteúdo é informativo e não constitui recomendação de investimento. Faça sua própria pesquisa antes de tomar decisões financeiras.
