Europa Press/Contacto/Thomas Fuller
MADRID 5 fev. (Portaltic/EP) - As extensões de “skills” ou habilidades para o OpenClaw, o assistente de inteligência artificial (IA) de código aberto capaz de executar todas as funções dentro de um computador, ocultaram uma série de softwares maliciosos ou “malware”.
O OpenClaw, originalmente conhecido como Clawdbot e posteriormente como Moltbot, ganhou grande popularidade em questão de semanas, apesar dos riscos que representava dar a uma IA a capacidade de executar qualquer tarefa dentro do equipamento.
Aos ataques do tipo “prompt injection”, erros na interpretação de comandos ou exclusão de conteúdo sensível, deve-se acrescentar uma nova ameaça: extensões com habilidades maliciosas.
A plataforma de presença de malware OpenSourceMalware descobriu que 28 habilidades maliciosas foram publicadas na plataforma de habilidades ClawHub entre 27 e 29 de janeiro, além de 386 extensões maliciosas carregadas entre 31 de janeiro e 2 de fevereiro.
A OpenSourceMalware explicou que essas habilidades “se passam por ferramentas de automação de criptomoedas e distribuem malware que rouba informações de ativos criptográficos”, como chaves API de troca, chaves de carteiras privadas, credenciais ou senhas do navegador.
O vice-presidente de produto da 1Password, Jason Miller, classificou o ClawHub como uma “superfície de ataque”, onde a “habilidade” mais baixada era uma do “Twitter”. Miller comentou que, quando tentou baixá-la, encontrou links do tipo “aqui” “este link”, que pareciam normais, mas escondiam um software malicioso que roubava informações do macOS, afetando também as sessões do navegador e os cookies, senhas e dados de preenchimento automático, tokens e chaves API, entre outros.
Diante dessas brechas de segurança, o criador do OpenClaw, Peter Steinberg, anunciou em uma mensagem no X (antigo Twitter) que incorporaram a opção de “denunciar habilidades”, com a qual os usuários podem alertar sobre essas habilidades maliciosas.
Além disso, Steinberg indicou que apenas os usuários do GitHub (cuja conta não tenha sido criada recentemente) podem enviar essas habilidades para o ClawHub. “Com o tempo, isso tornará o local muito mais seguro”, afirmou.
Esta notícia foi traduzida por um tradutor automático