O assistente de IA viral Clawdbot, usado por desenvolvedores incluindo no ecossistema cripto, está expondo chaves de API, credenciais e conversas privadas devido a configurações falhas. Pesquisadores encontraram centenas de servidores públicos acessíveis via ferramentas como Shodan. Ao mesmo tempo, o fundador Peter Steinberger alerta para scams de meme coins falsos como CLAWD após sequestro de suas contas no GitHub e X. Usuários precisam agir rápido para mitigar riscos.
Vulnerabilidade no Clawdbot Expõe Dados Sensíveis
O Clawdbot é um agente de IA open-source que roda localmente no dispositivo do usuário, conectando modelos de linguagem grandes (LLMs) a plataformas de mensagens e executando comandos via interface web “Clawdbot Control”. O problema surge quando o gateway é colocado atrás de um proxy reverso mal configurado, permitindo bypass de autenticação.
Pesquisadores como Jamieson O’Reilly identificaram centenas de instâncias expostas publicamente. Buscas simples por “Clawdbot Control” no Shodan revelam servidores com acesso total a credenciais como chaves API, tokens de bots, segredos OAuth, históricos de conversas e até capacidade de enviar mensagens ou executar comandos em nome do usuário. A firma SlowMist confirmou riscos de roubo de credenciais e execução remota de código.
Em um teste prático, o CEO da Archestra AI, Matvey Kukuy, usou injeção de prompt via e-mail para extrair uma chave privada em apenas cinco minutos, destacando o perigo para carteiras cripto e acessos sensíveis.
Sequestro de Contas Gera Scams de Meme Coins
Durante o rename forçado de Clawdbot para Moltbot por questões de trademark, scammers exploraram uma brecha para sequestrar as contas GitHub e X de Steinberger. Isso gerou promoção de tokens falsos como CLAWD, lançado na Solana via pump.fun, falsamente ligado ao projeto.
Steinberger postou no X: “Eu nunca farei uma coin. Qualquer projeto que me liste como dono é um SCAM”. Pesquisadores como Stitchdegen e Ozmen reforçaram que esses golpes são comuns em projetos open-source virais, onde a visibilidade atrai especulação sem consentimento do criador. Reações variam, com alguns traders criticando a postura “anti-cripto” do fundador, mas o foco dele permanece no software, não em especulação financeira.
Esse padrão ecoa casos recentes, como o meme coin RALPH, que caiu 80% após venda de desenvolvedor, e alertas de CZ sobre seguir piadas para investimentos.
Passos Práticos para se Proteger Agora
Como usuário prático do mercado cripto, priorize a ação imediata. Aqui vai um guia passo a passo:
- Audite sua configuração: Verifique se o Clawdbot Control está exposto na internet. Use ferramentas como Shodan ou escaneie suas portas abertas. Aplique IP whitelisting estrito em portas expostas.
- Desinstale o Clawdbot: Remova o software do seu dispositivo. Acesse o diretório de instalação, pare processos e delete arquivos. No GitHub, o projeto foi renomeado para Moltbot – evite versões não oficiais.
- Revogue chaves e tokens: Liste todas as API keys usadas (exchanges como Binance, wallets). Gere novas chaves em cada serviço e revogue as antigas. Monitore logs de acesso para atividades suspeitas.
- Verifique conversas e acessos: Analise históricos de chats exportados. Mude senhas de contas ligadas e ative 2FA onde possível.
- Monitore scams: Ignore qualquer token CLAWD ou similar. Verifique sempre canais oficiais do desenvolvedor antes de investir em projetos virais.
O FAQ do Clawdbot admite que agentes com acesso shell são “arriscados” e não há setup perfeitamente seguro. Para devs cripto, isso reforça: isole ambientes de produção e nunca exponha infra sem auditoria.
💰 Negocie com segurança: Abra sua conta gratuita na Binance e acesse ferramentas avançadas de segurança para suas trades.
📢 Este artigo contém links de afiliados. Ao se cadastrar através desses links, você ajuda a manter o blog sem custo adicional para você.
⚠️ Este conteúdo é informativo e não constitui recomendação de investimento. Faça sua própria pesquisa antes de tomar decisões financeiras.
