Pular para o conteúdo principal
Portfolio logo Patrick Tavares
Voltar para todos os posts

OpenClaw: Um 'JARVIS' FOSS ou um Pesadelo de Segurança?

agente de ia cibersegurança grande modelo de linguagem reflexões
Publicado em por Patrick Tavares · 5 min de leitura

Índice de conteúdo

Mostrar mais Mostrar menos

Se você passou os últimos meses em uma caverna sem Wi-Fi, talvez tenha perdido o circo mediático em torno do OpenClaw (anteriormente conhecido como Clawdbot e brevemente Moltbot).

Criado por Peter Steinberger, o projeto atingiu a marca absurda de 151.000 estrelas no GitHub1 em tempo recorde. A promessa é transformar seu computador em uma estação de trabalho autônoma controlada pelo zap zap.

Como engenheiro que já viu promessas de “AGI em um shell script” surgirem e desaparecerem, decidi dissecar o que há por baixo do capô dessa lagosta espacial.

E adivinha? É uma mistura fascinante de decisões de engenharia sólidas e uma negligência de segurança que faria qualquer diretor de segurança da informação ter um infarto.

Como já argumentei em um dos meus posts sobre agentes autônomos, estatística não substitui lógica. LLMs são motores estocásticos operando em domínios que exigem determinismo. O OpenClaw é a tentativa mais barulhenta de enjaular essa incerteza em um runtime local.

A Arquitetura: O Gateway e a Ilusão de Controle

O coração do OpenClaw é o Gateway, um daemon em Node.js que atua como o sistema nervoso central. Ele padroniza entradas de canais como WhatsApp, Telegram e Slack em um formato de mensagem unificado.

O que realmente diferencia este runtime de um simples wrapper de API é o seu Lane Queue. Enquanto outros frameworks se perdem em execuções assíncronas que geram race conditions, o OpenClaw impõe uma filosofia de “Serial por Padrão, Paralelo Explícito”.

Cada sessão tem sua própria “lane” (faixa), garantindo que o estado interno do agente permaneça consistente e que os logs sejam reproduzíveis em arquivos JSONL. É uma tentativa louvável de trazer determinismo para o caos agêntico.

Memória: Markdown é o novo Vetor?

A gestão de memória do OpenClaw é refrescante, embora simplista. Eles adotaram uma filosofia file-first, onde arquivos Markdown são a fonte da verdade2.

Em vez de depender exclusivamente de bancos de vetores opacos, o sistema utiliza uma busca híbrida via SQLite (FTS5 + sqlite-vec). Na prática, essa abordagem de busca semântica não é muito diferente do que desenvolvi no meu trabalho, embora a implementação deles seja bem mais simples.

A pontuação de recuperação é uma fusão ponderada:

Sfinal=(wvecScos)+(wlexSbm25)S_{final} = (w_{vec} \cdot S_{cos}) + (w_{lex} \cdot S_{bm25})

Onde a busca vetorial cuida das semelhanças conceituais e o BM25 garante que nomes de funções ou identificadores técnicos não se percam no “ruído semântico”.

Além disso, o sistema inclui um pre-compaction flush, que obriga o agente a destilar informações críticas para a memória durável antes que a janela de contexto do LLM seja truncada.

Automação de Navegação: Snapshots Semânticos

Outra decisão técnica interessante é o uso de Semantic Snapshots para automação web. Em vez de queimar tokens enviando screenshots de 5MB para modelos de visão caros e lentos, o OpenClaw analisa a Árvore de Acessibilidade (ARIA) do navegador.

Isso reduz o tamanho dos dados de megabytes para menos de 50KB por snapshot. Isso permite que o agente interaja com elementos via IDs de referência precisos, em vez de coordenadas de pixels estimadas.

O Elefante (ou Lagosta) na Sala: Segurança

Aqui é onde damos de cara com a realidade. O OpenClaw é, por design, uma porta aberta para o seu sistema operacional.

Pesquisadores de segurança já encontraram milhares de instâncias expostas à internet pública sem qualquer autenticação3, permitindo a execução remota de comandos (RCE) e a exfiltração de chaves de API em texto plano.

Embora o framework ofereça suporte a sandboxing via Docker, a configuração padrão muitas vezes roda na “máquina real”. Isso é feito para garantir que o agente tenha acesso aos seus arquivos e ferramentas.

Dar a um LLM (vulnerável a prompt injection) acesso total ao seu shell é o equivalente digital de deixar o seu cachorro cuidar da porta aberta de sua casa e falar: “confia no dog”.

Performance e “Tokenomics”

Não se engane: o OpenClaw é gratuito, mas o seu faturamento da Anthropic ou OpenAI não será. Usuários pesados relatam gastos de até US$ 150 por mês em tokens de API4 5.

Rodar modelos locais como DeepSeek-V3 ou Kimi em velocidade aceitável exige um hardware que custaria mais que o seu carro (entre 70GB e 600GB de VRAM). Para o mero mortal com 16GB de VRAM, modelos menores como o Qwen-3 são o máximo que você conseguirá espremer.

O Veredito

O OpenClaw é uma peça de software fascinante que reflete a era do Vibe Coding: alta velocidade de commits, rebranding reativo devido a processos judiciais e uma dívida técnica considerável.

Como ferramenta de produtividade pessoal para alguém que sabe isolar seu ambiente, é um multiplicador de forças formidável.

Para uso corporativo ou para o usuário leigo? É um desastre de segurança esperando para acontecer. Ele reforça meu post mencionado: sem guardrails determinísticos e lógica formal, agentes autônomos continuam sendo aplicações prontas para causar uma sepse no seu sistema operacional.

Instale se quiser o “JARVIS”, mas certifique-se de que sua “lagosta” esteja devidamente enjaulada em uma VM isolada e atrás de uma VPN.

Referências:

Footnotes

  1. OpenClaw. (2025). OpenClaw GitHub Repository. GitHub

  2. Kuma Blog. (2026). Deep Dive: How OpenClaw’s Memory System Works. Kuma Blog

  3. Protean Labs. (2026). Researchers Find Thousands of OpenClaw Instances Exposed to the Internet. Protean Labs

  4. K Pangan. (2026). An overview of the OpenClaw (formerly Clawd Bot) WhatsApp integration. Eesel AI

  5. OpenClaw. (2026). Burning through tokens #1949. GitHub

Post anterior
A Ilusão da Caixa Preta: APIs de ML são um convite ao roubo