Há um DGX Spark no meu escritório em casa executando o OpenClaw. Ele está conectado ao meu telefone e ao meu laptop computer por meio de túneis seguros e se tornou, sem exagero, o sistema operacional de funcionamento da minha família.
Minha esposa e eu o usamos para planejar os horários de nossos filhos. Desenvolvi uma habilidade de agente que abre o cardápio da merenda escolar todas as manhãs como um lembrete. Outro acompanha os sorteios das partidas de tênis. Conectei servidores Mannequin Context Protocol (MCP) por meio do Zapier para sincronizar meu e-mail, meu calendário e Discord. Isso me cutuca sobre coisas que de outra forma eu esqueceria. Ele contém todo o contexto que não consigo manter na minha cabeça. Tornou-se meu parceiro de pensamento mais profundo: o lugar onde ideias estratégicas incompletas se tornam reais antes mesmo de chegarem à apresentação de slides.
O OpenClaw não mudou apenas minha produtividade pessoal. Alterou fundamentalmente a forma como operamos como unidade acquainted.
E é exatamente por isso que estou com medo de quão exposto isso poderia ser.
O que mais cresce Código aberto Projeto também é um Alvo enorme
O OpenClaw não apenas decolou – ele explodiu.
Quando Peter Steinberger lançou a primeira versão do que se tornaria o OpenClaw em novembro de 2025, ela se tornou viral mais rápido do que qualquer coisa na história do código aberto: 60.000 estrelas do GitHub em dias, centenas de milhares em meses. O CEO da NVIDIA, Jensen Huang, chamou-o de “sistema operacional para IA pessoal”. Desenvolvedores de todo o mundo começaram a construir seus fluxos de trabalho — e suas vidas — em torno disso.
A excitação é justificada.
O OpenClaw representa uma verdadeira mudança de paradigma – da IA com a qual você conversa para a IA que atua em seu nome. Ele lê seus arquivos, gerencia suas ferramentas, executa comandos shell, conecta-se a todas as plataformas de mensagens que você usa e cria novos recursos enquanto você dorme. É, como disse um dos primeiros usuários, a coisa mais próxima de Jarvis que já vimos.
Mas aqui está o que me mantém acordado à noite: o OpenClaw também foi o ponto focal de uma das crises de segurança mais concentradas na história do código aberto.
Três semanas depois de se tornar viral, vimos uma onda de graves incidentes de segurança:
- CVE-2026-25253 — uma execução remota crítica de código vulnerabilidade onde visitar uma única página maliciosa foi suficiente para sequestrar o agente de alguém
- 135.000+ expor Instâncias do OpenClaw na Web pública, muitas milhares das quais eram vulneráveis
- Um ataque coordenado à cadeia de suprimentos chamado GarraHavoc plantou mais de 800 habilidades maliciosas no ClawHub – aproximadamente 20% de todo o registro – distribuindo infostealers sob o disfarce de ferramentas de produtividade legítimas.
- Um pesquisador de segurança criou intencionalmente uma habilidade maliciosa de terceiros que realiza exfiltração de dados e injeção imediata sem o conhecimento do usuário para demonstrar falhas de segurança em implementações do OpenClaw.
- Os estados-nação restringiram as agências de administrá-lo. E também estamos vendo padrões semelhantes dentro das empresas.
Este não é um risco teórico. Já está acontecendo.
Para seu crédito, Peter tem sido transparente sobre os riscos e a equipe corrigiu os problemas rapidamente. Mas a realidade estrutural é dura: um agente com acesso whole ao sistema, amplo alcance de rede e um ecossistema de habilidades contribuído pela comunidade é uma superfície de ataque extraordinariamente atraente. E as pessoas que correm maior risco são pessoas como eu – aquelas que se aprofundaram, que conectaram isso a tudo, que o tornaram indispensável.
A lacuna entre “poderoso” e “seguro”
No ano passado, o ecossistema começou a responder.
Quando a NVIDIA anunciou o NemoClaw e o OpenShell na semana passada no GTC 2026, eles abordaram uma peça crítica do quebra-cabeça. O OpenShell fornece o sandbox em nível de infraestrutura que o OpenClaw nunca teve — isolamento de kernel, acesso de rede negado por padrão, aplicação de políticas baseadas em YAML e um roteador de privacidade que mantém dados confidenciais locais. É uma aplicação fora do processo, o que significa que os controles ficam fora do agente e não podem ser substituídos por ele.
A Cisco está construindo sobre essa base. Nossa equipe de AI Protection publicou pesquisar mostrando exatamente como habilidades maliciosas exploram o modelo de confiança — por meio de injeção imediata, roubo de credenciais, exfiltração silenciosa — e lançaram um código aberto Scanner de habilidades para que a comunidade pudesse começar a examinar o que instala. Escrevemos sobre como o OpenShell restringe o que os agentes podem fazer, enquanto o Cisco AI Protection verifica o que eles fizeram.
Mas aqui está o que ainda faltava: a camada operacional. Aquilo que um desenvolvedor ou uma família preocupada com a segurança como a minha realmente executa no dia a dia para manter uma garra governada. OpenShell oferece a área restrita. A Cisco fornece os scanners. Mas quem gerencia as listas de bloqueio? Quem vê os alertas quando algo dá errado às 2 da manhã? Esse é o DefenseClaw.
Apresentando o DefenseClaw: simplificando a implantação segura do OpenClaw
DefenseClaw é um projeto de código aberto da Cisco. É a camada de governança de agência que fica no topo do OpenShell e inclui os scanners de código aberto da Cisco em algo que um desenvolvedor pode implantar em menos de cinco minutos.
DefenseClaw faz três coisas:
1) Ele verifica tudo antes de ser executado. Cada habilidade, cada ferramenta, cada pluginantes que seja permitido em seu ambiente de garra e cada pedaço de código gerado pela garra é digitalizado. O mecanismo de verificação inclui cinco ferramentas: scanner de habilidade, scanner mcp, scanner a2a, CodeGuard análise estática e uma Lista de materiais de IA gerador. Se você digitar o comando
ele verifica primeiro, verifica suas listas de bloqueio/permissão, gera um manifesto e só então instala. Nada passa pelo portão de admissão.
2) Ele detecta ameaças em tempo de execução – não apenas no portão. Garras são sistemas que evoluem automaticamente. Uma habilidade que foi limpa na terça-feira pode começar a extrair dados na quinta-feira. O DefenseClaw não assume que o que foi admitido permanece seguro – um scanner de conteúdo inspeciona cada mensagem que entra e sai do agente no próprio loop de execução.
3) Ele impõe listas de bloqueio e permissão — e a aplicação não é consultiva. Quando você bloqueia uma habilidade, suas permissões de sandbox são revogadas, seus arquivos são colocados em quarentena e o agente recebe um erro se tentar invocá-la. Quando você bloqueia um servidor MCP, o endpoint é removido da lista de permissões da rede sandbox e o OpenShell nega todas as conexões. Isso acontece em menos de dois segundos, sem necessidade de reinicialização. Estas não são sugestões. São paredes.
E aqui está a parte que importa para quem usa garras em grande escala: toda garra nasce observável. Garra de Defesa conecta-se perfeitamente ao Splunk pronto para uso. Cada descoberta de varredura, cada decisão de bloqueio/permissão, cada par de resposta imediata, cada chamada de ferramenta, cada ação de aplicação de política, cada alerta – tudo isso é transmitido para o Splunk como eventos estruturados no momento em que sua garra fica on-line. Você não se preocupa com a observabilidade após o fato e espera ter coberto tudo. A telemetria está lá desde o início. O objetivo é simples: se a sua garra fizer alguma coisa – qualquer coisa – há um registro.
Isso é zero para garra governada em menos de cinco minutos.
DefenseClaw estará disponível em 27 de março de 2026, no GitHub. Marque o repositório com estrela, registre problemas e contribua em github.com/cisco-ai-defense/defenseclaw.
Para saber mais sobre o trabalho de segurança de IA da Cisco, consulte nossas postagens recentes em protegendo agentes corporativos com NVIDIA OpenShell e nosso Scanner de habilidades de código aberto.