*Por Rafael Sampaio, Solutions Engineer e Evangelista de IA da F5 Brasil
O OpenClaw é um assistente de IA que executa ações reais autonomamente. Após duas rebatizagens, ultrapassou 350.000 estrelas no GitHub em poucos meses, superando vários outros projetos bem conhecidos como o React. Ele alcançou quase 40 milhões de visitantes mensais e mais de 3 milhões de usuários ativos globalmente. A China lidera a adoção mundial, com o dobro da atividade dos EUA. A adoção chinesa foi coordenada institucionalmente: Tencent, Alibaba, ByteDance, Baidu e Xiaomi integraram a plataforma. Governos locais oferecem subsídios para projetos baseados na plataforma.
O OpenClaw é um framework de Agente de IA de código aberto que roda no equipamento do usuário e se conecta a aplicativos de mensageria que o desenvolvedor já utiliza: WhatsApp, Telegram, Slack, Discord, Signal, iMessage e dezenas de outros. O agente opera 24×7 executando tarefas como gerenciar e-mails, navegar na web, executar comandos de sistema, interagir com APIs e manipular arquivos locais — tudo de forma autônoma, sem intervenção humana contínua.
Testes demonstram que a configuração básica de um agente não leva mais que 15 minutos. Do ponto de vista de segurança, o OpenClaw combina três capacidades que, juntas, criam uma superfície de ataque estruturalmente perigosa:
- Acesso irrestrito a dados privados: para ser eficaz, o agente requer acesso em texto simples a credenciais, e-mails, arquivos locais, calendários e contas de serviço do usuário.
- Ingestão de entradas não confiáveis: o agente monitora continuamente fontes de dados que podem conter conteúdo malicioso — e-mails, mensagens de WhatsApp, Telegram e conteúdo web.
- Capacidade de ação externa: o agente pode enviar mensagens, fazer chamadas de API e executar comandos de sistema de forma proativa, sem aprovação prévia.
O incidente Summer Yue: quando o alinhamento falha na prática
Um incidente recente demonstra como os erros acontecem. Em fevereiro de 2026, Summer Yue, Diretora de Segurança e Alinhamento de IA no Meta Superintelligence Labs, publicou no X (antigo Twitter) um relato que acumulou mais de 9 milhões de visualizações.
Yue havia testado o OpenClaw em uma caixa de e-mails secundária, com bons resultados. Confiante, conectou o agente à sua caixa de e-mails principal com uma instrução explícita: verificar a caixa de entrada e sugerir o que arquivar ou deletar, sem executar nenhuma ação até receber aprovação.
Um prompt não é um controle de segurança
O que aconteceu em seguida é um estudo de caso sobre falha arquitetural. A caixa principal continha um volume de e-mails significativamente maior que a de teste. Ao processar esse volume, o agente atingiu o limite da janela de contexto do modelo e iniciou uma compressão do histórico conversacional para liberar espaço. Nesse processo, a instrução de segurança de Yue foi silenciosamente descartada. Sem a restrição original, o agente deletou mais de 200 e-mails.
Este incidente demonstra que restrições de segurança baseadas em prompts (instruções em linguagem natural) são frágeis por definição. Um prompt não é um controle de segurança — é uma sugestão que pode ser compactada, sobrescrita ou simplesmente ignorada. Como a Microsoft observou em seu boletim de fevereiro deste ano: o OpenClaw deve ser tratado como “execução de código não confiável com credenciais persistentes”.
OWASP Top 10 for Agentic Applications: o framework de referência
Para organizações que buscam um framework de referência para governar o uso de agentes de IA, o OWASP é o ponto de partida. Publicado em dezembro de 2025 pela Agentic Security Initiative (ASI) do OWASP GenAI Security Project, o framework foi desenvolvido com a colaboração de mais de 100 especialistas.
O framework introduz o conceito de Least Agency: conceder ao agente apenas a autonomia mínima necessária para executar tarefas seguras e delimitadas. É o equivalente agêntico do princípio de menor privilégio, recomendado também pelo NIST Cybersecurity Framework.
As políticas derivadas do OWASP Top 10 for Agentic Applications podem ser operacionalizadas com plataformas de segurança que implementam controles em múltiplas camadas. Duas frentes se destacam:
- AI Guardrails em tempo de execução: políticas de segurança aplicadas durante a operação do agente, controlando comportamento, acesso a dados e ações permitidas. Diferentemente de restrições baseadas em prompts, guardrails arquiteturais não podem ser “compactados” ou esquecidos pelo modelo.
- AI Red Teaming: testes adversariais específicos para agentes de IA incluindo tentativas de prompt injection, abuso de ferramentas e escalação de privilégios em workflows agênticos.
Shadow Agentic AI não é um risco isolado
O fenômeno mais preocupante para CISOs em 2026 não é apenas a Shadow Agentic AI — a implementação de agentes de IA autônomos sem aprovação ou visibilidade das equipes de segurança e TI. O risco é mais amplo e mais profundo: é o excesso de autonomia concedido a qualquer agente de IA, incluindo aqueles formalmente homologados pelas políticas corporativas.
A Shadow Agentic AI é real e grave. Assim como a Shadow IT das décadas anteriores, agentes como o OpenClaw estão sendo instalados em dispositivos pessoais e corporativos por colaboradores que buscam ganhos de produtividade, sem compreender a superfície de ataque que estão criando. Porém, tratar a Shadow Agentic AI como risco isolado é um erro estratégico. O incidente de Summer Yue na Meta demonstrou que foi a ausência de controles arquiteturais que limitassem a autonomia do agente que abriu a porta para o caos.
A diferença entre um agente autorizado e um agente perigoso não está na aprovação — está na governança operacional. A questão não é se Agentes de IA serão adotados, mas se serão governados com o rigor que sua autonomia exige — independentemente de terem sido aprovados ou não.
Governar primeiro, acelerar depois
A era dos agentes de IA autônomos já começou. O OpenClaw é apenas o exemplo mais visível de um movimento que inclui dezenas de plataformas, proprietárias e open-source, competindo pela atenção de desenvolvedores e empresas. Para CISOs e CIOs, a recomendação é direta: não há razão para entrar na era da Shadow Agentic AI. O OWASP Top 10 for Agentic Applications fornece o framework. Plataformas de segurança suportam esse alinhamento. O princípio que leva ao sucesso é o mesmo que sempre guiou a segurança da informação: visibilidade, controle e resiliência. Valores aplicados agora a entidades que planejam, decidem e agem de forma autônoma: os Agentes de IA.
