Na manhã de uma terça-feira de janeiro de 2026, um pesquisador de segurança publicou um exploit de prova de conceito no GitHub. O título era discreto: “OpenClaw WebSocket Origin Bypass”. O impacto, nem tanto.
O exploit era elegante na sua simplicidade. Um atacante podia criar uma página web maliciosa com algumas linhas de JavaScript. Quando um usuário do OpenClaw visitava essa página, o JavaScript se conectava silenciosamente à instância do OpenClaw rodando na máquina local e executava comandos arbitrários. Sem autenticação. Sem interação do usuário além de clicar no link. Acesso total à máquina.
CVE-2026-25253 recebeu nota 8.8 na escala CVSS. A comunidade de segurança classificou como crítico. O time do OpenClaw chamou inicialmente de “limitação conhecida da arquitetura WebSocket”. A distância entre essas duas descrições diz tudo sobre como a crise se desenrolou.
A linha do tempo
O primeiro CVE caiu em 14 de janeiro. Em menos de 48 horas, varreduras do Shodan revelaram mais de 42.000 instâncias do OpenClaw expostas publicamente na internet. Muitas eram implantações corporativas com acesso a sistemas de arquivos internos, bancos de dados e credenciais armazenadas em variáveis de ambiente.
Antes do primeiro patch ser lançado, o CVE-2026-26327 apareceu: um bypass de autenticação que permitia atacantes pular o login completamente em instâncias expostas. Duas vulnerabilidades críticas na mesma semana, ambas exploráveis remotamente.
Depois veio o problema do ClawHub. Pesquisadores de segurança começaram a auditar o marketplace oficial de skills do OpenClaw e descobriram que 41,7% das skills publicadas continham vulnerabilidades. O XDA Developers publicou um artigo intitulado “Por favor, parem de usar o OpenClaw”. Viralizou.
Por que isso não foi apenas má sorte
Essas vulnerabilidades não foram aleatórias. Foram a consequência previsível de decisões arquiteturais específicas tomadas anos antes, quando o OpenClaw era um projeto de fim de semana e segurança não era a prioridade principal.
O modelo de confiança do WebSocket foi o primeiro problema. A interface web do OpenClaw aceita conexões WebSocket sem validar o cabeçalho Origin. Essa é uma classe de vulnerabilidade bem documentada —Cross-Site WebSocket Hijacking— conhecida desde 2012. A correção é simples: verificar o cabeçalho Origin. Mas corrigir isso no OpenClaw quebraria o ecossistema de plugins, então foi adiado repetidamente até se tornar o CVE-2026-25253.
O segundo problema foram as permissões no nível do sistema operacional. Quando você instala uma skill do OpenClaw, ela roda com as mesmas permissões que o próprio processo do OpenClaw. Não há sandboxing, não há modelo de capacidades. Cada skill que você instala tem implicitamente acesso a tudo.
O terceiro problema foi a cadeia de suprimentos do JavaScript. O node_modules do OpenClaw contém mais de 1.200 pacotes. As skills maliciosas do ClawHub exploraram isso publicando pacotes com nomes similares aos populares —typosquatting.
Como é o design seguro de verdade
O ZeroClaw foi construído com um conjunto diferente de premissas. Não “vamos adicionar segurança depois”, mas “as restrições de segurança moldam a arquitetura desde o primeiro dia”.
O sistema de ownership do Rust elimina classes inteiras de vulnerabilidades em tempo de compilação. Buffer overflows, use-after-free, data races são erros de compilação, não bugs que precisam ser corrigidos.
O emparelhamento de gateway substitui a autenticação por senha para acesso remoto. O ZeroClaw requer emparelhamento criptográfico entre o cliente e o gateway. Um atacante que encontrar sua instância do ZeroClaw na internet não consegue fazer nada sem a chave de emparelhamento.
O modelo de lista de permissões negado por padrão significa que cada ferramenta, caminho de arquivo e endpoint de rede precisa ser explicitamente permitido. O padrão é sem acesso; você concede exatamente o que precisa.
E a arquitetura de binário único elimina completamente a superfície de ataque da cadeia de suprimentos. Não há node_modules, não há registro de pacotes, não há dependências transitívas para auditar.
Como fazer a migração
Se você usa o OpenClaw atualmente, comece fazendo backup dos seus dados —o histórico de conversas e a configuração ficam em `~/.openclaw/`.
Instale o ZeroClaw com um único comando:
```bash curl -fsSL https://raw.githubusercontent.com/zeroclaw-labs/zeroclaw/main/scripts/bootstrap.sh | bash ```
Execute a ferramenta de migração em modo dry-run primeiro:
```bash zeroclaw migrate openclaw --dry-run ```
Quando estiver satisfeito com a prévia, execute a migração de verdade:
```bash zeroclaw migrate openclaw ```
Isso transfere sua memória, configuração e configurações de canais. O processo completo geralmente leva menos de dez minutos.
O que a indústria deveria aprender
Agentes de IA lidam com credenciais, acessam sistemas de arquivos, executam código e rodam 24/7. São infraestrutura, não scripts. Precisam do mesmo rigor de segurança que servidores web.
Segurança não pode ser adicionada depois sobre uma arquitetura permissiva. Precisa ser projetada desde o início. Quando não é, você acaba com 42.000 instâncias expostas e um CVE com nota 8.8.
A questão não é se seu agente de IA vai ser alvo de ataques. É se sua arquitetura foi construída para aguentar quando isso acontecer.