A Bitget alertou os utilizadores esta semana após a sua equipa de segurança ter descoberto plugins maliciosos no ClawHub, o repositório comunitário para o assistente de IA OpenClaw. A bolsa afirmou que as entradas estavam disfarçadas de “habilidades” úteis, mas, em vários casos, incentivavam as pessoas a colar comandos no terminal ou a descarregar utilitários que instalavam silenciosamente malware projetado para roubar credenciais de contas, chaves API e dados de carteiras.
A mecânica é simples e eficaz. Uma habilidade guia o utilizador por um breve processo de configuração e pede-lhe para executar um comando obfuscado; esse comando busca e executa um script remoto, que então vasculha a máquina em busca de sessões de navegador, chaves guardadas e outros segredos. Em vários casos reportados, uma habilidade maliciosa apareceu brevemente na página principal do ClawHub, aumentando a probabilidade de utilizadores não técnicos seguirem as instruções sem perceberem o risco.
Equipes de segurança que têm escaneado o mercado afirmam que a escala é alarmante. Auditorias a milhares de habilidades revelaram mais de trezentas entradas que se comportam de forma maliciosa, muitas delas entregando cargas úteis de roubo de informações, como variantes do Atomic Stealer e trojans relacionados. Essas descobertas enquadram o incidente como uma campanha coordenada de envenenamento da cadeia de abastecimento, em vez de alguns uploads acidentais de má qualidade.
De Conveniência a Compromisso
Analistas dizem que os atacantes confiaram fortemente na engenharia social, publicando habilidades que se apresentavam como ajudantes de negociação de criptomoedas ou utilitários de carteiras, instruindo os utilizadores a realizar passos de configuração que pareciam rotineiros. Em vários incidentes, habilidades carregadas dentro de uma janela enganaram os utilizadores ao imitar ferramentas legítimas, uma técnica que ajudou a propagação do malware antes de os defensores removerem as listagens.
Parte do problema é o poder da plataforma. O OpenClaw funciona localmente e pode executar comandos shell de forma legítima, ler ficheiros e interagir com redes em nome do utilizador; essa capacidade possibilita automações úteis, mas também dá a uma habilidade maliciosa acesso direto a dados sensíveis. O projeto OpenClaw e vários fornecedores de segurança começaram a implementar escaneamentos automáticos, incluindo verificações no VirusTotal e bloqueio de pacotes suspeitos, mas os investigadores afirmam que as verificações automáticas devem ser combinadas com uma revisão humana mais rigorosa, regras de publicação mais restritivas e avisos mais claros aos utilizadores finais.
Para os traders e bolsas, a mensagem é imediata e prática. A Bitget pediu aos clientes que parassem de usar ferramentas, plugins ou bots de terceiros para conectar às contas de negociação e que utilizassem apenas a aplicação ou o site oficial para depósitos, levantamentos e negociações. A bolsa também aconselhou quem tenha chaves API autorizadas para um plugin a revogá-las, alterar as passwords e ativar a autenticação de dois fatores para reduzir a possibilidade de comprometimento de uma conta.
O episódio serve como um lembrete de que conveniência e superfície de ataque muitas vezes crescem juntas. IA ao estilo agente pode automatizar tarefas tediosas e aumentar a produtividade, mas ecossistemas comunitários que permitem código não verificado criam vias atraentes para atacantes. Até que os mercados adotem processos de verificação mais rigorosos e as plataformas construam salvaguardas mais robustas, os utilizadores devem tratar as habilidades de terceiros como código não confiável, recusar-se a executar comandos de terminal desconhecidos, rotacionar chaves API regularmente e isolar operações de carteiras em dispositivos bem protegidos. Esses hábitos continuam a ser a melhor defesa a curto prazo enquanto o ecossistema evolui.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
