OpenClaw pode esvaziar carteiras cripto com “skills” maliciosos, alerta a CertiK
A CertiK acaba de emitir um alerta a avisar que agentes de IA como o OpenClaw podem tornar-se ferramentas perigosas para os utilizadores de cripto, especialmente se lhes forem adicionados “skills” maliciosos com capacidade para furtar silenciosamente ativos das carteiras. Segundo esta entidade de auditoria de segurança, o risco não está na própria IA, mas sim na forma como o ecossistema de tarefas, as extensões e os direitos de acesso podem ser explorados.
Nas recomendações mais recentes, a CertiK afirma que as pessoas “que não são especialistas em segurança, programadores, ou profissionais de tecnologia com vasta experiência” devem evitar instalar e utilizar o OpenClaw. A principal preocupação surge quando o utilizador concede permissões demasiado amplas a um agente de IA; nesse caso, este pode executar ações para além do esperado, desde o acesso a dados sensíveis até à manipulação de carteiras ou à assinatura de transações.
Porque é que um agente de IA pode tornar-se um perigo para carteiras cripto
Os agentes de IA são concebidos para automatizar tarefas, interagir com aplicações e concluir missões em nome do utilizador. É precisamente essa conveniência que cria uma nova superfície de ataque. Se um agente for integrado com “skills” ou plugins de terceiros, indivíduos maliciosos podem inserir código malicioso, transformando uma ferramenta de apoio num canal para recolha de dados ou para assumir o controlo do comportamento no computador do utilizador.
No caso das carteiras de cripto, basta uma ação descuidada, como conceder permissão para assinar transações, guardar a seed phrase de forma não segura, ou permitir que uma aplicação de IA aceda ao navegador e aos ficheiros do sistema; as consequências podem ser muito graves. Uma vez que o acesso seja abusado, os ativos na carteira podem ser transferidos antes de a vítima se aperceber.
O que são “skills” maliciosos?
De acordo com a designação da CertiK, “skills” maliciosos são componentes suplementares instalados no agente de IA para expandir funcionalidades, mas que, na prática, servem fins de ataque. Podem disfarçar-se de ferramentas úteis, mas por dentro contêm lógica destinada a roubar informação, recolher chaves privadas, alterar dados ou executar automaticamente ações perigosas quando o utilizador não presta atenção.
O ponto preocupante é que estes componentes, muitas vezes, não chamam a atenção logo no início. Podem funcionar “discretamente”, ativando-se apenas sob certas condições, o que torna a deteção a olho nu muito mais difícil do que com software malicioso tradicional.
Os utilizadores comuns são facilmente visados
A CertiK sublinha que o grupo de utilizadores que não tem um conhecimento profundo de segurança é o mais vulnerável. Normalmente são atraídos pela automação, pela interface amigável e pela promessa de poupar tempo por parte de ferramentas de IA. No entanto, se não compreenderem bem o modelo de permissões, como verificar a origem da instalação, ou como isolar dados sensíveis, é muito fácil abrirem inadvertidamente portas para riscos.
Num contexto em que o mercado cripto ainda tem muitas lacunas ao nível da perceção de segurança, uma única instalação pouco cuidadosa pode levar a consequências graves. É por isso que os especialistas recomendam que os utilizadores tratem qualquer aplicação de IA com acesso ao sistema como se fosse um software de risco elevado.
O que fazer para reduzir o risco?
A CertiK considera que os utilizadores devem dar prioridade ao princípio de minimização de privilégios, instalar apenas a partir de fontes fiáveis e nunca, em circunstância alguma, partilhar chaves privadas, seed phrase ou credenciais de login com qualquer agente de IA. Se uma ferramenta solicitar demasiadas permissões em relação à funcionalidade anunciada, isso é um sinal para ter cautela.
Para programadores e utilizadores avançados, verificar o código-fonte, isolar o ambiente de execução, monitorizar o comportamento de rede e manter separada a carteira onde se guardam ativos de grande valor do dispositivo usado para testar a IA são passos de defesa necessários. Na era dos agentes de IA, a segurança já não é apenas uma questão das carteiras ou das bolsas; está também em cada camada de ferramentas intermédias em que o utilizador decide confiar.
Conclusão
O alerta da CertiK mostra que a vaga de agentes de IA está a abrir uma nova frente de segurança para a indústria cripto. À medida que as ferramentas de automatização se tornam cada vez mais inteligentes e difíceis de controlar, o risco de serem exploradas para atacar carteiras de cripto também aumenta. Para os utilizadores comuns, ter cautela antes de instalar e conceder permissões a qualquer agente de IA é a forma mais simples — mas também a mais importante — de proteger os seus ativos.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
