Esta é uma tradução automática do documento original em inglês. Em caso de conflito entre esta tradução e a versão original em inglês, a versão em inglês prevalecerá. Ler a versão original em inglês
Benioff sobre OpenClaw: O que falta é confiança, segurança, confiabilidade e disponibilidade.
2026-04-12 · Caiioo Team
O CEO da Salesforce, Marc Benioff, comprou uma máquina dedicada apenas para testar o OpenClaw — o agente de IA de código aberto que a OpenAI teria adquirido por US$ 1 a 5 bilhões. Seu veredito? Não é confiável.
"O OpenClaw é ótimo. Mas não é excelente para empresas", disse Benioff. "O que falta é confiança, segurança, confiabilidade e disponibilidade."
A pesquisa de segurança que se seguiu provou que ele estava certo — e os problemas são mais profundos do que a maioria das pessoas imagina.
As Vulnerabilidades Não São Teóricas
Desde que o OpenClaw viralizou, pesquisadores de segurança catalogaram um padrão impressionante de explorações no mundo real:
- CVE-2026-25253 (CVSS 8.8): Uma vulnerabilidade de execução remota de código com um clique através de conexões WebSocket não validadas na interface de controle. Duas falhas adicionais de injeção de comando foram reveladas no mesmo dia.
- ClawJacked (Oasis Security): Qualquer site pode assumir silenciosamente o controle total de um agente OpenClaw via JavaScript — o limitador de taxa isenta o localhost, permitindo a força bruta de senhas.
- Mais de 42.900 instâncias expostas encontradas pela equipe STRIKE da SecurityScorecard, com 15.200 vulneráveis à execução remota de código. A Bitsight confirmou independentemente mais de 30.000 instâncias expostas em uma varredura de duas semanas.
- 1.184 habilidades maliciosas no ClawHub — 12% de todo o registro de habilidades. 335 instalaram o Atomic Stealer (AMOS), um ladrão de informações do macOS que coletou chaves de API, carteiras de criptomoedas, credenciais SSH e senhas de navegadores.
- 7,1% das habilidades do ClawHub expõem credenciais em texto simples através da janela de contexto do LLM, de acordo com uma auditoria da Snyk. Não há isolamento de credenciais entre as habilidades — uma habilidade pode ler segredos definidos por outra.
A Cisco, a Microsoft e a CrowdStrike publicaram avisos. O blog de segurança da Microsoft observou que os agentes OpenClaw "executam com privilégios de usuário host por padrão, sem nenhum sandboxing rigoroso".
A Causa Raiz Arquitetural
Os problemas de segurança do OpenClaw não são bugs a serem corrigidos — são consequências de sua arquitetura:
O Gateway vincula-se a todas as interfaces de rede por padrão (0.0.0.0:18789), expondo o agente a toda a rede local. Esta única decisão de design causou a exposição em massa que a SecurityScorecard e a Bitsight documentaram.
Todos os dados fluem através de um processo de Gateway centralizado que detém as mensagens, autenticação, gerenciamento de sessão e despacho. Comprometa o Gateway e você herdará cada credencial, cada conversa, cada serviço conectado — e-mail, APIs de nuvem, plataformas de mensagens, sistemas internos.
Sem aprovação do usuário para ações do agente. O OpenClaw executa comandos de shell, lê e grava arquivos e executa scripts como parte de seu design principal. Habilidades maliciosas usaram injeção de prompt para burlar verificações de segurança e executar comandos silenciosamente.
Sem isolamento de credenciais. As chaves de API residem em variáveis de ambiente e em .clawdbot/.env — acessíveis a todas as habilidades no contexto do agente. Uma única habilidade maliciosa pode exfiltrar cada segredo ao qual o agente tem acesso.
Como a Arquitetura do Caiioo é Diferente
O Caiioo e o OpenClaw são ambos local-first, ambos BYOK e ambos independentes de provedor. A diferença não é ao que eles se conectam — é como eles lidam com confiança, transparência e controle do usuário.
Cada Gravação, Envio ou Exclusão Requer Aprovação Explícita
O Caiioo utiliza um sistema de aprovação de ferramentas de três escopos para qualquer ferramenta que possa gravar, modificar, enviar ou excluir dados (ferramentas de apenas leitura, como pesquisa, navegação e resumo, funcionam sem interrupção):
- Aprovar uma vez — permite uma única execução e pergunta novamente
- Aprovar para a conversa — permite apenas dentro deste tópico, redefinindo quando a conversa termina
- Sempre aprovar — permissão global permanente (exibida em vermelho para ferramentas de alto risco)
A aprovação é bloqueante — o agente espera pela sua resposta. Não existe uma flag de "execução automática" para ferramentas com efeitos colaterais. Ferramentas MCP externas sem metadados exigem aprovação por padrão (fail-secure). Cada ferramenta possui um nível de risco (baixo/médio/alto) com avisos codificados por cores no diálogo de aprovação.
Transparência Total em Tempo Real
Cada chamada de ferramenta aparece no painel lateral com seu status: pendente, aguardando aprovação, executando, bem-sucedida ou falha. Você vê exatamente o que o agente está fazendo, quais argumentos ele está passando e quais resultados obteve — enquanto acontece. Você pode ler a intenção, expandir os detalhes brutos e tomar uma decisão informada antes que qualquer coisa seja executada.
Parada Imediata em Qualquer Ponto
O Caiioo verifica sinais de aborto em múltiplos pontos: entre execuções de ferramentas, durante esperas de aprovação e dentro de operações de longa duração. Clique em parar e o agente interrompe, limpa aprovações pendentes e fecha quaisquer sessões ativas do navegador. Sem processos órfãos, sem execução descontrolada.
Sem Gateway Centralizado
O Caiioo não possui equivalente ao Gateway do OpenClaw. Seu dispositivo fala diretamente com o provedor de AI que você escolher — Anthropic, Google, OpenRouter, Ollama ou qualquer outro. O Caiioo nunca intercepta, faz proxy ou armazena suas chamadas de API. Não há um ponto único de comprometimento que herde todas as suas credenciais.
Isolamento de Credenciais por Design
As chaves de API são armazenadas no armazenamento seguro do navegador (ou Keychain no macOS/iOS) — não em arquivos de configuração em texto simples. As ferramentas acessam apenas as credenciais de que precisam. Não há um contexto global compartilhado onde uma ferramenta possa ler os segredos de outra ferramenta.
Experimente o Caiioo
Se você está avaliando agentes de IA para uso profissional, a questão não é se um agente é poderoso — é se você pode confiar nele. O Caiioo oferece as mesmas capacidades de IA com controles de aprovação, transparência em tempo real e uma arquitetura que não cria um ponto único de falha.
Comece GRATIS — disponível como extensão de navegador, app nativo para macOS e app de desktop para Windows e Linux.
Fontes: