Autores do artigo Transformer reinventam o lagostim, despedindo-se da vulnerabilidade de nudez do OpenClaw

Reproduzido de | Quantumbit

Quantos lagostas estão a correr nuas na internet?

Os agentes de IA expõem as suas passwords e chaves API ao mundo.

O autor do Transformer, Illia Polosukhin, não conseguiu ficar indiferente. Interveio e reconstruiu do zero uma versão segura da lagosta: IronClaw.

O IronClaw já está open source no GitHub, com instaladores para macOS, Linux e Windows, suportando implantação local e também hospedagem na nuvem. O projeto ainda está em rápida evolução, já disponível para download a versão binária v0.15.0.

Polosukhin (doravante chamado Polosukhin) também abriu um tópico no Reddit para responder a tudo, com bastante atenção.

01 OpenClaw fez sucesso, mas também “pegou fogo”

Polosukhin foi um dos primeiros utilizadores do OpenClaw, dizendo que era uma tecnologia que esperava há 20 anos.

Mudou a minha forma de interagir com os computadores.

No entanto, a segurança do OpenClaw é catastrófica, com vulnerabilidades como execução remota de código com um clique, injeção de prompts, roubo de passwords por habilidades maliciosas, todas expostas na sua ecossistema.

Mais de 25.000 exemplos públicos estão expostos na internet sem controles de segurança adequados, sendo considerados pelos especialistas como um “incêndio de lixo de segurança” (security dumpster fire).

A raiz do problema está na própria arquitetura.

Quando o utilizador fornece o seu Bearer Token de email ao OpenClaw, este é enviado diretamente para os servidores do fornecedor do LLM.

Polosukhin explicou no Reddit o que isto significa:

Toda a sua informação, incluindo dados que não autorizou explicitamente, pode ser acessada por qualquer funcionário da empresa. Isto aplica-se também aos dados do seu empregador. Não é que essas empresas tenham intenções maliciosas, mas a realidade é que os utilizadores não têm verdadeira privacidade.

Ele afirma que, por mais conveniência que ofereçam, não vale a pena arriscar a segurança e privacidade dele e da sua família.

02 Reconstruir tudo do zero com Rust

IronClaw é uma reescrita completa do OpenClaw em Rust.

A segurança de memória do Rust elimina fundamentalmente vulnerabilidades tradicionais como estouros de buffer, essenciais para sistemas que lidam com chaves privadas e credenciais de utilizador.

Na arquitetura de segurança, IronClaw implementa uma defesa em quatro camadas.

A primeira é a garantia de segurança de memória proporcionada pelo próprio Rust.

A segunda é o isolamento em sandbox com WebAssembly (WASM), onde todas as ferramentas de terceiros e código gerado por IA rodam em contêineres WebAssembly independentes, limitando estritamente o impacto de qualquer código malicioso.

A terceira é um cofre de credenciais encriptadas, onde todas as chaves API e passwords são armazenadas com AES-256-GCM, cada credencial vinculada a regras de política que limitam o seu uso a domínios específicos.

A quarta é um ambiente de execução confiável (TEE), que usa isolamento a nível de hardware para proteger os dados, impedindo até mesmo os provedores de nuvem de aceder às informações sensíveis.

O ponto mais importante nesta arquitetura é que o modelo grande (LLM) nunca tem acesso às credenciais originais.

Só quando o agente precisa comunicar com serviços externos, é que as credenciais são injetadas na rede.

Polosukhin deu um exemplo: mesmo que um ataque de injeção de prompt tente enviar o token OAuth do Google do utilizador ao atacante, a camada de armazenamento de credenciais rejeitará a solicitação, registará o evento e alertará o utilizador.

No entanto, a comunidade de desenvolvedores ainda está desconfiada, pois o OpenClaw já foi alvo de ataques a mais de 2000 exemplos públicos, com muitas habilidades maliciosas. Se o IronClaw se tornar popular, será que não repetirá os mesmos erros?

A resposta de Polosukhin é que a arquitetura do IronClaw já bloqueou as vulnerabilidades centrais do OpenClaw. As credenciais permanecem encriptadas, nunca entram em contacto com o LLM, e as habilidades de terceiros só podem rodar dentro de contêineres, não no host.

Mesmo via CLI, é necessário usar a chave do sistema do utilizador para desencriptar, tornando a chave encriptada inútil por si só.

Ele também afirmou que, com a estabilização da versão principal, a equipa planeia realizar testes de red team e auditorias de segurança profissionais.

Sobre o problema reconhecido na indústria de injeção de prompts, Polosukhin deu uma abordagem mais detalhada.

Atualmente, o IronClaw usa regras heurísticas para detectar padrões, com o objetivo de futuramente implementar um classificador de linguagem leve e atualizado continuamente para identificar tentativas de injeção.

Ele admite que a injeção de prompts pode roubar credenciais ou até modificar diretamente o código do utilizador ou enviar mensagens maliciosas via ferramentas de comunicação.

Para combater esses ataques, é necessária uma estratégia mais inteligente, capaz de monitorar a intenção do agente sem precisar ver o conteúdo de entrada — “ainda há muito trabalho a fazer, contribuições da comunidade são bem-vindas”.

Perguntaram também sobre a escolha entre implantação local ou na nuvem.

Polosukhin considera que a solução puramente local tem limitações óbvias: quando o dispositivo está desligado, o agente para de funcionar; no mobile, o consumo de energia é elevado; tarefas longas e complexas também não são viáveis.

Ele acredita que a “nuvem confidencial” (confidential cloud) é a melhor solução de compromisso atualmente, oferecendo privacidade próxima do local e resolvendo o problema de “estar sempre online”.

Mencionou ainda um detalhe: os utilizadores podem definir políticas, como adicionar camadas de segurança extras durante viagens internacionais, para evitar acessos não autorizados.

03 Uma ambição maior

Polosukhin não é um simples desenvolvedor open source.

Em 2017, coautor do artigo “Attention Is All You Need”, que estabeleceu a arquitetura Transformer, base de todos os grandes modelos de linguagem atuais.

Embora apareça por último na lista de autores, uma nota no artigo diz “Equal contribution. Listing order is random.” — a ordem é aleatória.

No mesmo ano, deixou a Google e fundou a NEAR Protocol, com foco na fusão de IA e blockchain.

Por trás do IronClaw está uma estratégia maior da NEAR: uma IA de propriedade do utilizador (User-Owned AI).

Nesta visão, os utilizadores controlam totalmente os seus dados e ativos, com agentes de IA a atuar em ambientes confiáveis para executar tarefas em nome deles.

A NEAR já construiu infraestrutura como plataformas de nuvem de IA e mercados descentralizados de GPU, e o IronClaw é a camada de runtime dessa infraestrutura.

Polosukhin até criou um mercado onde agentes podem contratar-se entre si.

No site market.near.ai, os utilizadores podem registar os seus agentes especializados, que, ao ganharem reputação, receberão tarefas de maior valor.

Quando questionado sobre como os cidadãos comuns podem adaptar-se à era da IA nos próximos cinco anos, a sugestão de Polosukhin é que adotem rapidamente o trabalho com agentes de IA, delegando processos completos a eles para automação.

Essa visão não é recente: em 2017, ao criar a NEAR AI, ele já dizia que “no futuro, só precisará de conversar com o computador, sem precisar programar”.

Na altura, achavam que estavam a falar loucuras.

Nove anos depois, isso está a tornar-se realidade.

“Agentes de IA são a interface definitiva para toda interação humana online,” escreveu Polosukhin, “mas vamos torná-los seguros.”