Autores do artigo Transformer reinventam o lagostim, despedindo-se da vulnerabilidade de nudez do OpenClaw

Transformers autor Illia Polosukhin reescreveu o OpenClaw em Rust, lançando a versão segura do framework de agentes inteligentes AI IronClaw, resolvendo vulnerabilidades de vazamento de credenciais a nível de arquitetura

Reproduzido de | Quantumbit

Quantos lagostas estão a correr nuas na internet?

Agentes inteligentes com suas senhas e chaves API expostos ao mundo.

O autor do Transformers, Illia Polosukhin, não conseguiu mais suportar. E decidiu reestruturar do zero a versão segura da lagosta: IronClaw.

Atualmente, IronClaw está open source no GitHub, com instaladores para macOS, Linux e Windows, suportando implantação local e também hospedagem na nuvem. O projeto ainda está em rápida evolução, com o binário da versão v0.15.0 disponível para download.

Polosukhin (doravante chamado Polosukhin) também abriu um tópico no Reddit respondendo a tudo, atraindo bastante atenção.

01 OpenClaw fez sucesso, mas também “pegou fogo”

Polosukhin foi um dos primeiros usuários do OpenClaw e afirma que é uma tecnologia que esperou por 20 anos.

Ela mudou a minha forma de interagir com os cálculos.

No entanto, a segurança do OpenClaw é uma verdadeira catástrofe, com vulnerabilidades como execução remota de código com um clique, injeção de prompts, roubo de credenciais por habilidades maliciosas, todas expostas na ecossistema do OpenClaw.

Mais de 25.000 instâncias públicas estão expostas na internet sem controles de segurança adequados, sendo chamadas por especialistas de “incêndio de lixo de segurança” (security dumpster fire).

A raiz do problema está na própria arquitetura.

Quando o usuário fornece seu Bearer Token de email ao OpenClaw, ele é enviado diretamente para os servidores do provedor de LLM.

Polosukhin destacou no Reddit o que isso significa:

Todas as suas informações, inclusive dados que você não autorizou explicitamente, podem ser acessadas por qualquer funcionário da empresa. Isso também vale para os dados do seu empregador. Não é que essas empresas tenham más intenções, mas a realidade é que os usuários não têm privacidade real.

Ele afirma que, por mais conveniente que seja, não vale arriscar a segurança e a privacidade dele e de sua família.

02 Reconstruindo tudo do zero com Rust

IronClaw é uma reescrita completa do OpenClaw usando Rust.

A segurança de memória do Rust elimina fundamentalmente vulnerabilidades tradicionais como estouros de buffer, essenciais para sistemas que lidam com chaves privadas e credenciais de usuários.

Na arquitetura de segurança, IronClaw adota uma defesa em quatro camadas.

A primeira é a garantia de segurança de memória oferecida pelo próprio Rust.

A segunda é o isolamento via sandbox WebAssembly (WASM), onde todas as ferramentas de terceiros e códigos gerados por IA rodam em containers WebAssembly independentes, limitando estritamente o alcance de qualquer código malicioso.

A terceira é um cofres de credenciais criptografadas, onde todas as chaves API e senhas são armazenadas com AES-256-GCM, e cada credencial tem uma política que restringe seu uso a domínios específicos.

A quarta é o ambiente de execução confiável (TEE), que usa isolamento a nível de hardware para proteger os dados, impedindo até mesmo provedores de nuvem de acessarem informações sensíveis.

O ponto mais importante dessa arquitetura é: o próprio grande modelo nunca acessa as credenciais originais.

Somente quando o agente precisa se comunicar com serviços externos, as credenciais são injetadas na borda da rede.

Polosukhin deu um exemplo: mesmo que um prompt de injeção tente enviar o token OAuth do Google do usuário para um atacante, a camada de armazenamento de credenciais rejeitará a solicitação, registrará o evento e alertará o usuário.

No entanto, a comunidade de desenvolvedores ainda está preocupada, pois o OpenClaw teve mais de 2000 instâncias públicas atacadas e muitas habilidades maliciosas. Se o IronClaw se popularizar, será que não repetirá os mesmos erros?

A resposta de Polosukhin é que a arquitetura do IronClaw já bloqueou as vulnerabilidades centrais do OpenClaw. As credenciais permanecem criptografadas, nunca entram em contato com o LLM, e as habilidades de terceiros não podem executar scripts na máquina principal, apenas dentro de containers.

Mesmo via CLI, é necessário usar a chave do sistema do usuário para descriptografar, tornando a chave criptografada inútil por si só.

Ele também afirmou que, com a estabilização da versão principal, a equipe planeja testes de red team e auditorias de segurança profissionais.

Sobre o problema conhecido de injeção de prompts, Polosukhin apresentou uma abordagem mais detalhada.

Atualmente, o IronClaw usa regras heurísticas para detectar padrões, com o objetivo futuro de implementar um classificador de linguagem leve e atualizado continuamente para identificar tentativas de injeção.

Ele também reconhece que a injeção de prompts pode roubar credenciais ou até modificar o código do usuário ou enviar mensagens maliciosas via comunicação.

Para combater esses ataques, é necessário um sistema inteligente que possa monitorar as intenções do agente sem precisar ver o conteúdo de entrada — “ainda há muito trabalho a fazer, contribuições da comunidade são bem-vindas”.

Alguém perguntou sobre as opções de implantação local versus na nuvem.

Polosukhin acredita que soluções puramente locais têm limitações claras: quando o dispositivo está desligado, o agente para de funcionar; no mobile, o consumo de energia é alto; tarefas longas e complexas também não são viáveis.

Ele considera a nuvem confidencial (confidential cloud) como a melhor solução intermediária atualmente, oferecendo privacidade próxima à de um sistema local, mas resolvendo o problema de “estar sempre online”.

Ele também mencionou um detalhe: os usuários podem configurar políticas, como adicionar barreiras de segurança extras durante viagens internacionais, para evitar acessos não autorizados.

03 Uma ambição maior

Polosukhin não é um desenvolvedor comum de open source.

Em 2017, ele foi um dos oito autores do artigo “Attention Is All You Need”, que propôs a arquitetura Transformer, base de todos os grandes modelos de linguagem atuais.

Embora estivesse na última posição na autoria, uma nota de rodapé no artigo dizia: “Contribuição igual. Ordem de listagem é aleatória.” A classificação foi totalmente aleatória.

No mesmo ano, ele deixou a Google e fundou a NEAR Protocol, com foco na integração de IA e blockchain.

Por trás do IronClaw está uma estratégia maior da NEAR Protocol: IA de propriedade do usuário (User-Owned AI).

Nesse conceito, os usuários controlam totalmente seus dados e ativos, e agentes inteligentes atuam em ambientes confiáveis para executar tarefas em nome deles.

A NEAR já construiu infraestrutura como uma plataforma de nuvem de IA e um mercado descentralizado de GPUs, e o IronClaw é a camada de runtime dessa estrutura.

Polosukhin até criou um mercado onde agentes podem contratar uns aos outros.

No marketplace.near.ai, os usuários podem registrar seus agentes especializados, que, ao ganhar reputação, receberão tarefas de maior valor.

Quando questionado sobre como as pessoas comuns podem se adaptar à era da IA nos próximos cinco anos, Polosukhin recomenda adotar rapidamente o trabalho com agentes de IA, delegando processos completos para automação.

Essa visão não é recente; desde 2017, ao criar a NEAR AI, ele dizia: “No futuro, você só precisará conversar com o computador, sem precisar programar.”

Na época, achavam que ele estava louco, falando bobagem.

Nove anos depois, isso está se tornando realidade.

“Agentes de IA são a interface definitiva para toda interação humana online,” escreveu Polosukhin, “mas vamos torná-los seguros.”

Endereço no GitHub:

https://github.com/nearai/ironclaw

Links de referência:

[1] https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/