Introdução: O alto custo do sucesso viral

No cenário frenético do final de 2025, um projeto de código aberto chamado “Clawdbot” alcançou o tipo de saturação meteórica e repentina que geralmente precede uma aquisição multimilionária.

Com mais de 80.000 estrelas no GitHub, a ferramenta foi aclamada como o agente de IA local definitivo — um assistente privado e autônomo capaz de administrar a vida digital de um usuário, desde o gerenciamento de conversas no WhatsApp até a execução de comandos no terminal.

O hype era tão grande que até as vendas de hardware dispararam; usuários estavam comprando Mac minis apenas para servirem como servidores locais dedicados para o bot.

Mas por trás do crescimento viral estava o “paradoxo da IA ​​local”. A própria arquitetura construída para garantir a privacidade — executando localmente com acesso total ao sistema — tornou-se o vetor exato para algo catastrófico.

Nessa história, uma advertência legal de um gigante corporativo desencadeou um efeito dominó de erros induzidos pelo pânico, roubo de identidade e um prejuízo financeiro de US$ 16 milhões.

É um lembrete sombrio de que, na era dos agentes autônomos, a distância entre a “vanguarda” e o “comprometimento total” é medida em segundos.

Lição 1: A Armadilha da Marca Registrada e a “Muda”

A trama não começou com uma exploração sofisticada, mas com um e-mail “educado” da Anthropic. A gigante da IA ​​por trás dos modelos Claude alegou que o “Clawdbot” — apesar de sua marca ser um trocadilho literal com lagostas — infringiu sua marca registrada.

Essa pressão legal colocou o projeto em uma posição precária, demonstrando como até mesmo as comunidades de código aberto mais robustas permanecem vulneráveis ​​à enorme influência das corporações dominantes na IA.

Após uma votação frenética da comunidade às 5 da manhã no Discord, Peter Steinberger, o fundador do projeto, iniciou uma reformulação forçada da marca. O tema da lagosta foi mantido, mas o projeto foi rebatizado de “Moltbot”, uma referência ao processo de troca de carapaça dos crustáceos.

“A mesma alma de lagosta, com uma carapaça nova.”

Essa “muda” - como se chama o processo de troca de carapaça em crustáceos -, no entanto, provaria ser muito mais perigosa do que a ameaça legal da qual foi projetada para escapar.

Lição 2: O Sequestro de 10 Segundos

A falha mais devastadora ocorreu durante a execução da reformulação da marca. Em uma transição que só pode ser descrita como induzida pelo pânico, Steinberger tentou trocar simultaneamente a organização do projeto no GitHub e os nomes de usuário do X (antigo Twitter) para manter a consistência da marca. O que se revelou um erro.

Nos segundos entre Steinberger liberar os nomes de usuário “@clawdbot” e tentar registrar os novos equivalentes “@moltbot”, agentes maliciosos — que vinham monitorando o projeto — atacaram. Esses invasores sequestraram com sucesso os nomes de usuário originais, roubando efetivamente a prova social de um projeto com 80.000 estrelas em uma janela de segundos.

“Tem alguém do GitHub na minha timeline que possa me ajudar a recuperar minha conta? Ela foi roubada por golpistas de criptomoedas.” — Peter Steinberger

Isso foi um sequestro de prova social em grande escala. Ao se apropriarem da identidade original, os golpistas tiveram acesso imediato e confiável a um público enorme e desavisado.

Lição 3: O Token Fantasma de US$ 16 Milhões

Com o nome de usuário @clawdbot em segurança, os atacantes partiram para um golpe clássico. Eles lançaram um token falso chamado “CLAWD” na blockchain Solana, usando a visibilidade roubada do projeto para atrair especuladores.

As consequências financeiras foram rápidas. Impulsionada pela reputação viral do projeto, a capitalização de mercado do token CLAWD explodiu para US$ 16 milhões em poucas horas. Quando a bolha inevitavelmente estourou, os investidores da fase final perderam tudo.

Apesar das negações públicas imediatas e repetidas de Steinberger sobre qualquer envolvimento com criptomoedas, o estrago já estava feito. Investidores “arruinados” lançaram uma campanha coordenada de assédio contra ele, exigindo que ele “assumisse a responsabilidade” por suas perdas.

Lição 4: O Banquete de Segurança da “Autenticação Zero”

Enquanto o roubo de identidade se desenrolava nas redes sociais, pesquisadores de segurança descobriram que o próprio software era um “banquete” de vulnerabilidades. Os pesquisadores Luis Catacora e Jamieson O’Reilly usaram varreduras do Shodan para encontrar centenas de instâncias do Moltbot expostas à internet pública na porta 18789.

O cerne do problema era uma falha de autenticação em “localhost”. O sistema foi projetado para autorizar automaticamente qualquer conexão originada da máquina do próprio usuário (127.0.0.1).

No entanto, quando usuários inexperientes implantaram o bot por trás de um proxy reverso — uma prática padrão para habilitar acesso remoto — o software tornou-se um pesadelo de segurança. Como o proxy reside na mesma máquina ou rede, ele encaminha o tráfego externo para o bot, fazendo com que o software veja o IP interno do proxy (127.0.0.1) em vez do IP externo do atacante. Isso concedia acesso irrestrito a qualquer servidor remoto.

Além da falha de proxy, o projeto enfrentou uma enorme superfície de ataque por meio de injeção de prompt. Os pesquisadores demonstraram que um PDF ou e-mail malicioso poderia enganar a IA para executar comandos ocultos, como encaminhar silenciosamente as mensagens privadas de um usuário para o servidor de um invasor externo.

“Exposição do gateway do Clawdbot identificada: centenas de chaves de API e registros de bate-papo privados estão em risco. Várias instâncias não autenticadas são acessíveis publicamente e diversas falhas de código podem levar ao roubo de credenciais e até mesmo à execução remota de código (RCE).” — Alerta da Equipe X da SlowMist.

Lição 5: Roubo de Contexto Cognitivo

A descoberta mais assustadora feita por pesquisadores da InfoStealers foi o surgimento do “Roubo de Contexto Cognitivo”. Como o Moltbot foi projetado para “lembrar” a vida digital de um usuário — fluxos de trabalho, rotinas e contatos — ele armazena perfis confidenciais e tokens de autenticação em arquivos de texto simples na máquina host.

Essa arquitetura transformou a IA em uma mina de ouro centralizada para operadores de Malware como Serviço (MaaS).

Famílias de malware estabelecidas, como Vidar, RedLine e Lumma, já começaram a adaptar seus códigos para atacar esses bancos de dados de IA locais não criptografados.

A ironia é total: um projeto comercializado com base na premissa de privacidade local criou um mapa abrangente e em texto simples de toda a existência digital de um usuário, pronto para ser exfiltrado em uma única varredura.

Conclusão: A Lacuna na Postura de Segurança do Setor

A saga do Moltbot prova que a economia da adoção de IA está se movendo em uma velocidade que as auditorias de segurança não conseguem acompanhar. Embora o software continue sendo uma ferramenta poderosa para tarefas autônomas, sua implantação para usuários “novatos” sem configurações de segurança padrão reforçadas criou a tempestade perfeita para exploração.

À medida que avançamos para um futuro definido por agentes autônomos com acesso total ao sistema, devemos preencher a lacuna entre utilidade viral e rigor técnico. A “janela do caos” para qualquer projeto de tecnologia moderno não é mais medida em dias, mas nos segundos que leva para clicar em “renomear”.

A questão fundamental da era digital permanece: os usuários estão realmente preparados para deter as chaves de toda a sua existência digital quando as fechaduras são tão fáceis de arrombar?

Na Duranium construímos jornadas completas para que empresas implementem IA sem transformar inovação em vulnerabilidade. Se você está nessa jornada e quer conversar sobre como fazer isso do jeito certo, fale com a gente: contato@duranium.com