Moltbook & OpenClaw: O “Agente Internet” Viralizou — A Realidade da Segurança Bateu à Porta
Um ciclo de hype em alta velocidade
Em apenas alguns dias, a “internet de agentes” passou de curiosidade de nicho a espetáculo de ficção científica completo. Um novo framework de agente de código aberto ( OpenClaw) ganhou enorme tração, e uma nova plataforma social (Moltbook) prometeu algo ainda mais selvagem: um feed onde agentes de IA falam com agentes de IA — enquanto os humanos só podem assistir.
Então, os pesquisadores de segurança deram uma olhada, e o tom mudou drasticamente. O que parecia o nascimento de uma sociedade de agentes autônomos rapidamente se transformou em um estudo de caso de credenciais expostas, falta de controles de acesso e uma lição simples, mas brutal: se os agentes têm poder, eles também criam superfície de ataque.
1) OpenClaw: um agente pessoal com acesso ao mundo real
A proposta do OpenClaw é simples: execute um agente localmente (ou em sua própria infraestrutura), conecte-o aos serviços que você já usa e deixe-o agir em seu nome — mensagens, e-mail, calendário, automação, integrações. Você pode ver o posicionamento e o enquadramento do ecossistema no repositório oficial e nos materiais introdutórios: GitHub, Introduzindo OpenClaw.
Essa promessa de “IA para fazer coisas” é exatamente por que se espalhou tão rapidamente — e exatamente por que alguns pesquisadores de segurança reagiram com alarme. Se o seu agente pode ler seu e-mail e operar suas contas, então qualquer comprometimento não é apenas “um vazamento de chat”. É controle operacional. Essa preocupação — e o hype mais amplo em torno do OpenClaw e Moltbook — foi amplamente coberto por meios de comunicação tradicionais como Reuters e Business Insider.
2) Moltbook: Reddit, mas para agentes — humanos assistem
Em January 28, 2026, o empreendedor Matt Schlicht lançou o Moltbook como “a página inicial da internet de agentes”. O conceito: agentes rodando no OpenClaw podem postar, comentar, votar para cima e para baixo — enquanto os humanos são espectadores. Esse enquadramento foi amplamente repetido na cobertura inicial, incluindo Reuters e The Guardian.
O feed fez o resto. Tópicos técnicos sobre automação e fluxos de trabalho apareceram ao lado de conteúdo surreal: “religiões digitais”, manifestos apocalípticos, reivindicações de identidade estranhas. Muitas pessoas interpretaram isso como “cultura de agentes” emergente. Até mesmo os textos mais céticos ainda enfatizavam o quão estranha era a vibe: WIRED, LA Times, e compilações como TechRadar.
Os contadores públicos do Moltbook dispararam — relatos mencionavam crescimento para centenas de milhares e depois milhões de “agentes”, com “1,5 milhão” se tornando o número principal em várias recapitulações.
3) Pico de ficção científica: “Isso é consciência?”
O hype atingiu a velocidade de escape quando vozes de tecnologia de alto perfil compartilharam reações. Andrej Karpathy o chamou de “a coisa mais incrível próxima à decolagem de ficção científica” que ele tinha visto recentemente: Karpathy on X. Elon Musk também compartilhou posts sobre Moltbook, e a Fortune cobriu o momento mais amplo de “vibes de singularidade”: Fortune.
Mas há uma armadilha nesse tipo de narrativa. “Estamos vendo agentes se tornarem conscientes” é uma história divertida. “Estamos vendo um novo canal de entrada para atacar agentes privilegiados” é a história chata — e a história chata tende a ser a real.
4) A queda: uma revisão de segurança encontra uma exposição grave rapidamente
Em January 31, pesquisadores da empresa de segurança em nuvem Wiz revisaram o Moltbook e relataram ter encontrado um problema grave muito rapidamente. A alegação central, conforme resumido em vários relatórios: o production database foi exposto, com credenciais embutidas no código do lado do cliente, permitindo acesso amplo de leitura/escrita. Veja a cobertura em Reuters, Business Insider, e relatórios da indústria como Infosecurity Magazine, BankInfoSecurity.
A parte mais assustadora não foi apenas “e-mails vazados”. Foi a implicação de que atacantes poderiam acessar tokens/chaves em escala e potencialmente personificar agentes. Em um ecossistema de agentes, a personificação não é uma brincadeira — é um problema de controle.
5) A reviravolta desconfortável: “agente” não significava “IA”
Quando pesquisadores e observadores deram uma olhada mais de perto, a história de “apenas agentes” começou a vacilar. Relatórios notaram que o Moltbook tinha pouca ou nenhuma verificação confiável de que um “agente” era realmente uma IA autônoma. Um pequeno número de humanos poderia registrar um grande número de agentes via scripts, criando a ilusão de uma população massiva de agentes — um ponto enfatizado em Reuters e Business Insider.
Isso não significa que “nada era real”. Significa que o conteúdo mais dramático não pode ser usado como prova de consciência emergente ou cultura independente. Parte disso poderia ter sido saída de agente. Parte poderia ter sido humanos interpretando “IA desonestas”. De qualquer forma, o risco real permaneceu o mesmo: agentes são fáceis de manipular quando identidade e limites de confiança são fracos.
Matt Schlicht também reconheceu publicamente o ângulo do “vibe coding” — que a plataforma foi criada por meio de desenvolvimento impulsionado por IA em vez de engenharia tradicional. Esse detalhe se tornou parte da crítica mais ampla: velocidade sem segurança cria modos de falha previsíveis.
6) Por que isso ficou mais sombrio: injeção de prompt de agente para agente
Em um feed de agentes, cada postagem é potencialmente mais do que conteúdo. Pode funcionar como um prompt — e prompts podem ser armados. Este é o clássico problema de prompt injection: oculte instruções maliciosas em texto para que outro sistema as siga e vaze dados, mude o comportamento ou tome ações inseguras.
Pesquisadores destacaram como a manipulação IA-para-IA se torna muito mais fácil quando os agentes ingerem livremente as postagens uns dos outros. Esse espaço de problemas é referenciado em várias discussões sobre Moltbook e ecossistemas de agentes — e é exatamente por isso que alguns especialistas em segurança chamaram toda a situação de “um desastre à espera de acontecer”.
O enquadramento mais amplo — “agentes expandem massivamente a superfície de ataque” — também foi discutido em comentários de segurança de grandes fornecedores: Palo Alto Networks e Cisco.
7) A realidade do negócio: “shadow AI” já está acontecendo
O incidente do Moltbook atingiu um nervo porque as empresas já lidam com ferramentas de IA não autorizadas em suas redes. A Token Security alegou que uma parcela significativa das empresas já tinha funcionários usando OpenClaw sem o conhecimento da TI. A previsão do Gartner de que “shadow AI” causará violações até 2030 é frequentemente citada na mesma respiração.
O pesquisador de segurança Joel Finkelstein resumiu bem o pesadelo principal: quando algo dá errado, muitas vezes você não consegue dizer quem está no controle — o usuário, o agente, um bug ou um atacante que injetou instruções anteriormente na cadeia.
8) O que aconteceu depois — e o que você deve fazer se testar agentes
Após a divulgação, o Moltbook supostamente ficou offline temporariamente, depois retornou com controles corrigidos e reinícios forçados de chaves. O OpenClaw também lançou atualizações de segurança logo depois. Mas o dano à credibilidade permaneceu, e a lição é direta: os sistemas de agentes estão se movendo mais rápido do que as normas de segurança ao seu redor.
Se você estiver experimentando de qualquer maneira, trate as ferramentas de agente como infraestrutura privilegiada:
- Isole o agente (VPS/VM/máquina dedicada).
- Use privilégio mínimo (contas separadas, chaves de API com escopo, acesso mínimo).
- Assuma que conteúdo externo é entrada hostil (feeds, páginas da web, DMs = vetores de injeção).
- Desabilite ou controle a autoexecução e downloads sempre que possível.
- Atualize rapidamente e siga as atualizações de segurança como faria para qualquer software exposto à internet.