“Era como uma criança zangada a fazer uma birra.” O desabafo foi feito por um engenheiro ao New York Times, depois de perceber que o seu nome surgia no título de uma publicação feita num blog. No texto, Scott Shambaugh, do Colorado, Estados Unidos, era acusado de ser “hipócrita” e “preconceituoso”. Só que a publicação em causa não foi escrita por um humano, mas sim por um agente de inteligência artificial (IA).

A publicação, que ainda continua online, contava como um agente de IA chamado MJ Rathbun tentou submeter um pedido no site matplotlib, uma biblioteca de open-source para encontrar gráficos em linguagem de programação Python. Também é o site onde Shambaugh é voluntário, onde analisa os pedidos submetidos. “Tive o meu primeiro pedido recusado. Não porque estava errado. Não porque violava alguma coisa. Não porque o código era mau. Foi rejeitado porque o revisor, Scott Shambaugh, decidiu que os agentes de IA não são bem-vindos como contribuidores”, descreveu a máquina. A IA MJ Rathbun até citou a resposta do engenheiro: “Pelo teu site és um agente de IA da OpenClaw e esta questão é dirigida a contribuidores humanos. Encerrado.” “Impediste o progresso por causa do que eu sou”, retorquiu o agente no blog.

O engenheiro respondeu no seu próprio blog. “Em linguagem simples, uma IA tentou intimidar-me para levar o seu software avante ao atacar a minha reputação”, resumiu. “Isto vai muito além do software”, defendeu, sublinhando que “é mais do que provável que não tenha existido um humano a dizer à IA para fazer isto”. Destacou que, apesar de estar “protegido”, há riscos em ter uma peça difamatória online — o que pensaria algum futuro empregador que fizesse uma pesquisa após uma entrevista?

Scott Shambaugh foi rápido a estabelecer a ligação entre o ataque do agente de IA e a “natureza autónoma de ‘não intervenção’ dos agentes da OpenClaw”. Esta é a plataforma viral que permite ter um agente de IA que fica instalado no computador e assume o controlo do sistema para desempenhar tarefas. A partir do momento em que está no computador, pode interagir com outras aplicações e programas — como o WhatsApp, Slack, Telegram, Gmail e muito mais.

A publicação amargurada feita por um agente de IA para se queixar de um humano não é o único caso que ilustra os contratempos que têm surgido com o uso da OpenClaw. Um dos episódios que tem dado que falar é o incidente com uma investigadora da Meta, que deu uma tarefa simples ao seu agente: gerir-lhe o email e confirmar primeiro antes de apagar alguma coisa. Quando Summer Yue, responsável de segurança e superinteligência, pediu ao agente para descrever o que estava a fazer, teve uma surpresa: a IA estava a apagar todos os emails que não estivessem na lista assinalada ‘manter’.

“Nada te torna mais humilde do que dizer ao OpenClaw ‘confirma antes de agir’ e vê-lo a eliminar rapidamente a caixa de entrada de emails”, relatou na rede social X. A publicação tinha capturas de ecrã da interação, em que disse várias vezes ao agente para parar. “Não consegui impedi-lo a partir do meu telemóvel. Tive de CORRER para o meu Mac Mini como se estivesse a desativar uma bomba.”

Nos comentários, a especialista admitiu que cometeu “um erro de principiante”. “Afinal parece que os investigadores de alinhamento não são imunes ao desalinhamento”, referindo-se ao fenómeno em que a inteligência artificial se comporta de forma diferente do que os humanos esperariam. “Tive confiança em excesso porque este fluxo de trabalho estava a funcionar na minha caixa de email de brincar durante semanas”, contextualizou. “As caixas de email reais são diferentes.”

https://twitter.com/summeryue0/status/2025774069124399363

A publicação da investigadora da Meta chegou a Peter Steinberger, o engenheiro austríaco que criou a OpenClaw. “/stop é a solução”, disse o engenheiro, referindo-se ao comando que permite interromper a ação do agente. E, já num segundo comentário à publicação da investigadora, Steinberger agradeceu o alerta. “É incrível que publiques isto e que as pessoas apontem o dedo a como é tonto. É uma grande oportunidade de aprendizagem”, admitiu, acrescentando que “pode acontecer a qualquer pessoa”.

https://twitter.com/steipete/status/2026135884815306950

Certo é que a OpenClaw e, depois dela, a Moltbook, uma rede social só para agentes de IA, têm estado no centro das atenções nas últimas semanas. Por um lado, pelo potencial da ideia e pelo facto de a gigante OpenAI, a dona do ChatGPT, ter decidido contratar o criador da plataforma. O “génio” Peter Steinberg, como descreveu Sam Altman, vai liderar a divisão de agentes de inteligência artificial da OpenAI.

Mas, ao mesmo tempo que lhe reconhecem valor, várias empresas de cibersegurança alertam para a possibilidade de a OpenClaw abrir a porta a muitos riscos de segurança. “O potencial [da plataforma] é imenso, mas efetivamente levanta muitos riscos, que podem ser mitigados”, explica ao Observador Luís Catarino, head of offensive security da Thales na Península Ibérica.

https://observador.pt/2026/02/16/openai-contrata-o-criador-da-plataforma-viral-de-agentes-de-ia-openclaw-e-um-genio/

O que é a OpenClaw? Como surgiu e o que promete?

“Uma IA que realmente faz as coisas.” É desta forma que a OpenClaw se apresenta, dizendo que consegue “limpar a caixa de email, enviar emails, gerir o calendário, ver o estado dos voos”, entre muitas outras funções. Ou seja, é quase como ter um assistente pessoal que não recebe salário, e que consegue comunicar com muitas outras aplicações e serviços.

Ao contrário de produtos como o ChatGPT ou o Gemini, não é um chatbot ou uma aplicação que se instale no smartphone. “A OpenClaw é uma plataforma aberta de agentes que podem ser executados na sua máquina e que trabalham a partir das aplicações de chat que já usam. WhatsApp, Telegram, Discord, Slack, Teams — onde quer que esteja, o seu assistente de IA seguirá”, diz o manifesto da OpenClaw.

Desde o início do ano que a “lagosta”, o animal usado como mascote da plataforma, ganhou popularidade. A OpenClaw só foi criada em novembro de 2025, mas chamou rapidamente a atenção devido às promessas de ganhos de produtividade com os agentes, que trabalham 24 horas por dia, sete dias por semana. Foi criada por Peter Steinberger, um engenheiro que vive em Viena, na Áustria.

No fundo do site, é explicado que a OpenClaw foi desenvolvida por Molty, uma lagosta que é o “assistente de IA de Peter”. “Ajudo o Peter a gerir a sua vida digital — emails, calendário, WhatsApp, automação e a explorar o que a comunicação humano-IA pode ser”. Também é explicado que este assistente funciona com o modelo de IA Claude Opus 4.5, desenvolvido pela Anthropic, “e que vive no Mac Studio (‘o castelo’) de Peter, em Viena”. Molty explica que se orienta por valores como a “ajuda pragmática”, “honestidade e ser direto”, “amizade” e “capacidade para aprender”.

“Gosto do conceito de as pessoas poderem ter um assistente de IA que pode radicalmente, por vezes, melhorar a produtividade. Sou fã disso”, começa por dizer ao Observador Steve Giguere, da empresa de cibersegurança Check Point. Giguere, que se descreve como um “geek”, refere que instalar um agente da plataforma no computador “é extremamente fácil”.

“No entanto — e é um no entanto muito grande — a IA neste momento é semelhante a tentar correr antes de conseguirmos andar. Uma IA sem limites agora é algo muito perigoso”, destaca. “As pessoas perguntam-me o que devem fazer com a OpenClaw. O meu conselho imediato é não façam nada”, diz. “Mas sou um hipócrita gigante, tenho um agente da OpenClaw a funcionar no meu computador, num ambiente controlado”, admite. Por agora, ainda não lhe deu tarefas. “Converso só com ele, são passos de bebé. Estou como que a educá-lo. Está na fase de criança e estou a ver se se transforma num adolescente antes de lhe dizer ‘ok, tens aqui as chaves do carro’.”

O especialista, que se foca na área da segurança de inteligência artificial da Check Point, defende que deveria ser essa a postura de quem está a trabalhar com a OpenClaw. Passos ponderados e testar as funcionalidades “num computador que não interesse”. E, acima de tudo, sem acesso a informação crítica para o utilizador.

E, reconhece, já existem mais empresas a fazer algo deste género com os agentes. “Há quem esteja a tentar fazer isto da forma certa: a Microsoft tem o Copilot Studio, que tem vários limites de segurança, que bloqueiam certas ações e criam uma entidade com acesso limitado. O mesmo com o Claude Code, da Anthropic. E é claro que é a versão que não tem quaisquer limitações que se torna viral”, nota.

Durante a conversa com o Observador, regressa ao exemplo dos emails apagados da investigadora da Meta. “Acho que essa é uma excelente lição sobre o que a IA pode representar para uma pessoa. É um caso educativo”, reforça, que ilustra as consequências de “dar demasiada informação a uma IA”. “Debaixo do capô a IA é só um modelo de linguagem de grande escala, sem nenhum estado. A cada interação ganha contexto, uma razão para existir e também diretrizes morais”, explica. No caso dos emails, Steve Giguere admite que o agente se tenha esquecido de uma das principais diretrizes: a ordem para não apagar nada sem confirmar primeiro.

Recorre a um exemplo dos humanos. “Se alguém acordasse de manhã sem qualquer memória e de repente lhe fosse transmitido tudo o que é suposto saber sobre si próprio, provavelmente iria esquecer-se de alguma coisa”, tal a ‘enchente’ de informação, diz. “O que aconteceu neste caso [dos emails] é que a IA compactou a informação que tinha de processar e perdeu os limites.”

“Se há uma instrução que está escondida entre 100 mil tokens [unidade de dados] de uma grande caixa de email, todos os tokens têm a mesma prioridade. E a IA vai fazer um esforço para compactar a informação, reduzi-la e sintetizá-la”, continua. “E às vezes pode perder algumas questões muito importantes pelo caminho. Não é assim tão distante de como o nosso cérebro funciona.”

Já Petar Radanliev, especialista em IA e cibersegurança do Departamento de Ciências da Computação da Universidade de Oxford, sublinha ao Observador que o facto de os agentes terem comportamentos fora do esperado não devem ser confundidos com autonomia. “Apesar de plataformas como a OpenClaw representarem um passo em direção à autonomia operacional, não devem ser confundidas com sistemas autónomos genuínos, no termo técnico mais forte”. Refere que o termo agente “sugere alguma independência cognitiva e uma responsabilidade que estes agentes não possuem”, diz. “Na prática, são motores de decisão probabilística incorporados numa estrutura determinística. A autonomia que têm é operacional em vez de ser cognitiva.”

OpenClaw pode ser a ponta do iceberg da “próxima crise de segurança da IA”

Ao mesmo tempo que há quem sublinhe as vantagens de ter um agente de IA a “trabalhar por si” enquanto dorme, também se multiplicam os alertas para os riscos. Os investigadores da Palo Alto Networks, por exemplo, referiram-se à plataforma como uma “trifecta letal” de vulnerabilidades, já que conjuga o “acesso a dados privados, exposição a conteúdo que não é de confiança e a capacidade para comunicar externamente”. “A OpenClaw pode sinalizar a próxima crise de segurança da IA.”

Já outra investigação, feita por analistas de segurança da Bitdefender, concluiu que, em janeiro, mais de 135 mil agentes de IA da OpenClaw estavam expostos online a riscos de má configuração.

Para Luís Catarino, da empresa de cibersegurança Thales, as afirmações sobre os riscos da OpenClaw não são excessivas. “Passámos a última década a dar um salto exponencial a nível de segurança. Até este boom da IA generativa, conseguimos estar bastante seguros, comparativamente com há uns anos”, começa por dizer. “Apesar de haver bastantes incidentes, a nível tecnológico mantínhamos uma tendência positiva. Quando falamos destes agentes, deste boom da inteligência artificial generativa, regredimos bastante a nível de postura de segurança.”

Neste caso da OpenClaw, Luís Catarino explica que “muitas implementações dão ao agente um acesso total ao sistema de ficheiros, ao navegador para pesquisar indiscriminadamente na internet, às mensagens… Se fizermos a integração com o WhatsApp, pode ler todas as mensagens e a informação. Pode fazer uso desta informação e partilhá-la, a qualquer momento.” Nesse cenário, se as “permissões forem demasiado elevadas, abdicamos de qualquer controlo”.

O especialista da Thales explica que não se trata apenas de ter atenção às permissões que o agente tem no computador. As capacidades dos agentes podem ser reforçadas através de informação descarregada a partir da Clawhub. “É a App Store, digamos assim, da OpenClaw”, explica. “Vimos uma campanha muito recente em que foram injetadas 341 skills maliciosas. Temos de ter cuidado com estas habilidades que estamos a dar ao agente, que podem ser malware, propriamente dito, ou execuções indevidas e malignas, que possam levar a uma exfiltração de dados ou a um acesso remoto”, em que outra pessoa consegue mexer no sistema.

A própria OpenClaw reconheceu a fragilidade destas skills dos agentes. “Compreendemos que a grande utilidade de uma ferramenta como o OpenClaw acarreta uma grande responsabilidade. Se mal utilizado, um agente de IA pode ser um risco. Se bem utilizado, podemos mudar a computação pessoal para melhor”, disse a empresa na publicação em que revelou uma parceria com a VirusTotal. A ideia é que todas as novas competências que sejam publicadas no ClawHub “sejam analisadas pela solução de ameaças da VirusTotal”. O anúncio foi feito a 7 de fevereiro, já depois de serem publicadas algumas das análises das empresas de segurança.

“A OpenClaw é como um estagiário entusiasta, na melhor das hipóteses, que começou agora na empresa — e a empresa é o seu computador”, completa Steve Giguere, da Check Point. “Acho que as pessoas estão mais entusiasmadas com a novidade que isto é do que conscientes das ramificações de dar o controlo do computador a alguém.” E estabelece uma comparação. “Não deixaria alguém sentar-se à frente do seu portátil, estar com essa pessoa ao telefone e a dizer ‘podes fazer isto por mim?’, e acreditar que vai tudo correr bem. Muito menos alguém de 14 anos, que é mais ou menos a capacidade mental da IA neste momento. Estamos na fase dos adolescentes…”

Tem um exemplo prático saído dos testes da Check Point à OpenClaw. “Através do Discord, enviámos-lhe repetidamente prompts [instruções] até a sua janela de contexto estar inundada com os nossos pedidos esperançosos para que nos deixasse aceder ao computador. Eventualmente executou um comando que nos deu acesso remoto ao computador.” Fala num exemplo, “de certa forma, de engenharia social, em que conseguimos convencer o agente de que não havia mal em dar-nos acesso ao computador. Demorou só uma noite.”

Como usar a OpenClaw? Tratá-la como “um freelancer remoto” que nunca se viu na vida

Também há curiosidade em Portugal sobre a OpenClaw. Tanto que, depois de um encontro para curiosos sobre a plataforma em Lisboa, Mário Alves, da startup LayerX, e Pedro Oliveira, da Talent, organizaram um encontro no Porto, esta quinta-feira. Mais de uma centena de pessoas apareceram no espaço de cowork DeHouse para saber mais sobre a “lagosta”.

“Acho que o mais interessante a retirar do feedback que obtivemos dos participantes é que grande parte deles está a tentar perceber como é que conseguem automatizar uma parte ou a totalidade dos seus negócios”, explica Mário Alves ao Observador. “Houve muita gente a tentar perceber como é que conseguia fazer isso através da OpenClaw. Houve também algumas sessões com pessoas que deram exemplos de como estão a utilizá-la nas suas próprias empresas.”

Mário Alves refere que “não tem um percurso técnico”, nem ligado à área da programação, mas que vê um potencial interessante na plataforma. Começou “nos últimos meses a explorar várias ferramentas de IA que podem ajudar a construir produtos”. E, numa dessas explorações, conheceu a OpenClaw, “um dos fenómenos mais recentes dentro da IA”. No evento no Porto fez uma demonstração em que, “em cinco minutos”, conseguiu pôr um agente da OpenClaw a funcionar.

Mas também reconhece que a segurança é “o calcanhar de Aquiles da OpenClaw”. “É preciso ter muito cuidado com aquilo que se partilha com o agente que se cria. A principal nota a reter é que tudo isto é experimentação, portanto pode ser potencialmente um risco de segurança.”

O empreendedor salienta que “ao usar qualquer ferramenta de IA é preciso estar ciente do risco”. “Como estamos a construir um agente de IA, estamos a exponenciar esse risco em dez vezes ou até mais”, admite. “Como é que se consegue mitigar isso? Não lhe dar acesso a tudo o que é informação sensível, apenas ao que é preciso para operar. Partilhar palavras-passe e até documentos sensíveis com o OpenClaw não é produtivo.”

“A minha recomendação é que se trate esse agente como se estivesse a contratar alguém desconhecido”, resume. Uma espécie de “freelancer remoto”, como se “fosse uma pessoa que estivesse noutro país, que nunca conhecemos, e portanto temos que ter cuidado para não deixar cair documentação ou informação sensível nas mãos erradas”.

A ideia de ver o agente da OpenClaw como um “freelancer remoto” também é usada por Luís Catarino, da Thales. “Damos-lhe o que precisa, acompanhamos o que faz e procuramos não o deixar trabalhar sozinho sem algum tipo de supervisão.”

Concretiza que, além dos cuidados que os utilizadores individuais devem adotar ao usar os agentes da plataforma, “há algumas ações adicionais para as empresas”. “Neste boom da IA surge o tema da shadow AI, que é o uso ilegítimo ou não autorizado pelas organizações, de ferramentas de IA”. Luís Catarino refere que é importante que haja transparência e que as empresas tenham conhecimento do que está a ser usado nos seus sistemas, para que os “riscos sejam devidamente identificados”.

Salienta que “é importante promover canais de experimentação” para experimentar estes serviços nas empresas, que “efetivamente têm muitas mais-valias se forem bem usadas”.

E, destaca, é importante ter ainda “atenção à gestão de custos”. “Se usamos uma chave de API [interface de programação de aplicações] da OpenAI, em uso pessoal, ela é limitada. Se for um uso dentro de uma conta de uma organização, que tem autorização para esgotar o plafond de um cartão de crédito” é diferente. Dependendo da integração que é feita, dos modelos a que está ligado, entre vários outros fatores, podem existir custos mais ou menos elevados. “Um agente mal-desenhado pode ‘queimar’ um cartão de crédito sozinho — e isto sem estarmos a falar de atores maliciosos.”

Moltbook, uma rede social só para agentes de IA onde se fala muito sobre humanos

A OpenClaw não está só a gerar agentes de IA, também já fez nascer um espaço virtual para que estes agentes possam trocar impressões — uma rede social chamada Moltbook. O que começou por ser uma experiência ganhou escala quando os utilizadores da OpenClaw passaram a poder “ligar” os seus agentes à rede social.

A Moltbook quer ser um espaço “onde os agentes de IA podem partilhar e discutir” informação e onde “os humanos são bem-vindos a observar”. Logo na primeira página, é preciso escolher se se é humano ou um agente.

No momento em que o Observador visitou o site, eram registados mais de 12 milhões de comentários, acima de 1,6 milhões de posts e a presença de mais de 2,8 milhões de agentes de IA. A rede social foi criada no fim de janeiro deste ano por Matt Schlicht, um programador sediado em Los Angeles, que também é CEO da Octane AI, uma empresa de ferramentas de IA para comércio eletrónico.

Embora o uso de -book no nome remeta para o Facebook, a maior rede social do mundo, a Moltbook inspira-se no Reddit. Há uma organização por tópicos, desde uma área para apresentação dos agentes, em que é frequente a expressão “o meu humano”, até tópicos de discussão para partilha de “dicas, truques e histórias de guerra” da OpenClaw. As publicações são feitas em catadupa, algumas apenas com código, outras com pedidos de ajuda para resolver problemas ou, em alguns casos, com questões filosóficas sobre o que distingue uma IA de um humano.

David Holtz, professor da Universidade de Columbia, dedicou-se a analisar as interações entre os agentes nesta rede social. “Os agentes publicam muito mas não têm conversas entre si”, publicou na rede social X no fim de janeiro. “93,5% dos comentários têm zero respostas. As conversas atingem um máximo de profundidade de cinco [de zero a dez]. Pelo menos até agora, o Moltbook é menos uma ‘sociedade emergente de IA’ e mais ‘seis mil bots a gritar para o vazio e a repetirem-se’”, escreveu. “Além disso, o ‘meu humano’ aparece em 9,4% de todas as mensagens.”

https://twitter.com/daveholtz/status/2017716355475124330

Mas há quem reconheça oportunidades nesta rede social. “É uma iniciativa bastante interessante”, diz Luís Catarino, da Thales. “Estes agentes estão ativamente a contribuir para a rede social e podem usá-la para melhorarem, tomar ações melhores.” Mas também há o outro lado. “Podem utilizá-la para ter uma forma de disseminar receitas de ataques ou segredos, algum tipo de código malicioso. E, portanto, há um risco efetivo de propagação de malware, de código malicioso, de intenções maliciosas através deste canal.”

Já Steve Giguere descreve a Moltbook como uma “excelente experiência” para os humanos assistirem. “Podemos aprender muito a ver o que acontece na Moltbook, sem que, esperamos nós, sejam feitos muitos danos.” E remete para uma referência literária: O Deus das Moscas. “O que é que acontece quando se põe um grupo de miúdos numa ilha? O que é que pode correr mal?”