O que é OpenClaw? Um guia do assistente de IA open source

A maioria das ferramentas de IA passa o tempo respondendo perguntas. O OpenClaw foi criado para executar ações. Essa diferença fez o projeto ultrapassar o Linux na lista de estrelas de todos os tempos do GitHub poucos meses após o lançamento.

Na prática, ele é um runtime self-hosted que conecta modelos de IA ao seu terminal, arquivos, navegador e apps de mensagens. Você manda uma mensagem pelo WhatsApp e ele pode buscar no disco, rodar um shell script, checar uma página da web e responder na mesma conversa. Um chatbot não faz nada disso.

A proposta é mais simples do que a realidade. O OpenClaw exige configuração técnica, seu histórico de segurança em 2026 inclui incidentes sérios e o registro público de skills sofreu uma campanha coordenada de malware. Vale a pena saber disso antes de começar.

O que é o OpenClaw?

O OpenClaw é gratuito, open source (licença MIT) e projetado para rodar no seu próprio hardware. Foi criado por Peter Steinberger, desenvolvedor austríaco conhecido pelo PSPDFKit, e lançado em novembro de 2025 como Clawdbot. A Anthropic enviou uma contestação de marca pelo nome, e ele virou Moltbot em 27 de janeiro de 2026; três dias depois passou a se chamar OpenClaw porque, nas palavras de Steinberger, "Moltbot nunca soou muito natural". O mascote lagosta, Molty, sobreviveu a todas as trocas de nome.

O OpenClaw conecta modelos a ferramentas locais. Imagem do autor.

Um ponto que confunde no começo: OpenClaw não é um modelo de IA. Ele se conecta a um provedor configurado separadamente, em nuvem ou local, e esse modelo faz o raciocínio enquanto o OpenClaw cuida do roteamento, memória e execução de ferramentas.

O núcleo é um serviço Node.js chamado Gateway. Ele roda em segundo plano na porta 18789, roteia mensagens entre seus apps de chat e o modelo, executa chamadas de ferramentas e guarda suas chaves de API para que os apps conectados nunca as toquem diretamente.

Tudo isso o torna bem diferente de um chatbot. O OpenClaw consegue executar comandos de shell, ler e escrever arquivos, controlar um navegador e rodar tarefas com agendamento mesmo quando você não está olhando.

Por que o OpenClaw ficou popular

O OpenClaw saiu de 9.000 estrelas no GitHub no dia do lançamento para mais de 195.000 em 66 dias, supostamente 18 vezes mais rápido que o Kubernetes.

Desenvolvedores queriam isso há tempos: um assistente que conclui tarefas (não só responde), roda no seu próprio hardware e se conecta a apps.

Em abril de 2026, o projeto passou de 346.000 estrelas. Steinberger anunciou que estava entrando na OpenAI em 15 de fevereiro de 2026, e o projeto caminhou para uma estrutura de fundação com apoio da OpenAI. Continuou com licença MIT e de posse da comunidade, não foi adquirido no sentido tradicional.

As opiniões são divididas. Tem gente que gosta da ideia. Outros esbarram em problemas de setup, confiabilidade e custo. Automações complexas decepcionam mais do que entregam, e os custos de tokens surpreendem. Além disso, a configuração não é amigável para iniciantes.

Como o OpenClaw funciona: o Gateway, as ferramentas e o loop do agente

Tudo passa pelo Gateway, e esse ponto único de controle é o que separa o OpenClaw de um simples wrapper de modelo.

Quando você envia uma mensagem, o Gateway a captura do canal que você estiver usando, anexa contexto a partir dos arquivos de memória do agente e das skills carregadas e envia o pacote para o modelo de IA configurado. Se o modelo quiser executar uma ação (rodar um comando, visitar uma página, ler um arquivo), ele sinaliza essa intenção de volta ao Gateway. O Gateway executa a ação no sistema host, ou dentro de um sandbox se você tiver configurado um, e retorna o resultado. Pode encadear vários passos antes de produzir a resposta final.

O modelo nunca fala diretamente com seu sistema de arquivos ou terminal.

Todas as ações passam pelo Gateway. Imagem do autor.

Memória e agendamento

O OpenClaw armazena memória em arquivos Markdown simples no workspace do agente (~/.openclaw/workspace). O principal, MEMORY.md, guarda fatos e preferências persistentes carregados no início de cada sessão. SOUL.md define personalidade e tom. AGENTS.md armazena regras de comportamento. Como o modelo lê todos esses arquivos no início da sessão, as edições que você fizer persistem entre reinicializações.

O agendamento roda em duas frentes. Heartbeats são check-ins periódicos na sessão principal, a cada 30 minutos por padrão para a maioria dos provedores. Um checklist em HEARTBEAT.md indica o que o agente deve revisar a cada vez. Tarefas cron rodam em horários exatos em sessões isoladas, o que é o ideal quando o timing importa, como um relatório diário. Ambas consomem tokens a cada execução, então (dica) tarefas abertas devem ter uma condição clara de parada.

Modelos e canais compatíveis

O OpenClaw não é preso a um único provedor de modelo. Funciona com Anthropic, OpenAI, Google, AWS Bedrock e servidores locais via Ollama ou LM Studio. Modelos locais precisam de, no mínimo, uma janela de contexto de 64.000 tokens por causa do contexto que o OpenClaw injeta no início da sessão. Do lado dos canais, ele suporta WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams e outros.

Casos de uso do OpenClaw: o que ele realmente faz

A utilidade depende de quão bem você define a tarefa. Pedidos amplos se perdem. Tarefas estreitas, repetíveis e com entradas claras tendem a funcionar.

• Produtividade pessoal: O caso mais consistente é um briefing matinal: uma tarefa agendada por heartbeat que puxa e-mails recentes, eventos de calendário e notícias e envia um resumo para o seu celular.
• Fluxos de trabalho de desenvolvedor: O OpenClaw pode inspecionar repositórios, rodar scripts de build, checar logs e gerenciar pull requests via GitHub CLI ou um servidor MCP. Use tokens com escopo por repositório e data de expiração. Acesso amplo ao shell é útil e também a origem mais provável de uma exclusão acidental de arquivos ou vazamento de credenciais de um arquivo .env que estava no escopo.
• Automação web: O agente pode navegar, extrair dados e interagir com interfaces de navegador via Chrome DevTools Protocol. O que ele não consegue é diferenciar uma página legítima de outra com instruções maliciosas embutidas no HTML. Ao dar um navegador ao agente, conteúdo externo vira uma superfície de ataque. Trago um caso documentado disso na seção de segurança.
• Arquivos e documentos: Funciona bem quando a raiz do workspace é uma pasta dedicada sem nada sensível dentro. O padrão de falha é previsível: dê acesso ao diretório home e ele vai acabar lendo algo que você não queria expor.
• Automações agendadas: Confiável para tarefas recorrentes e bem definidas. Um caso documentado somou alguns milhares de dólares em custos de API em um único dia por causa de uma tarefa aberta rodando sem limites de tokens. Defina limites antes de definir o agendamento.

Skills do OpenClaw e ClawHub: o que saber e o que evitar

As skills estendem o OpenClaw além das capacidades nativas. Elas também foram a porta de entrada para um sério ataque de supply chain no espaço de agentes open source.

O que é uma skill

Uma skill é uma pasta com um arquivo SKILL.md contendo frontmatter em YAML e um corpo em Markdown. O frontmatter declara nome, descrição, binários necessários e variáveis de ambiente. Abaixo, o corpo em Markdown é linguagem natural: instruções que o agente segue quando decide que a skill se encaixa na tarefa atual.

Uma pasta opcional references/ guarda docs de API, e uma scripts/ opcional guarda scripts auxiliares. Como skills são texto, não código compilado, você pode lê-las antes de rodar qualquer coisa.

Toda skill segue esse formato em duas partes. Imagem do autor.

As skills seguem o padrão aberto AgentSkills, então o formato também funciona com Claude Code, Cursor e ferramentas similares. Na prática, a maioria das skills no ClawHub é escrita especificamente para o modelo de gateway do OpenClaw e depende de acessos a ferramentas que outros ambientes não expõem.

O ClawHub, o registro público em clawhub.ai, usa busca semântica por vetores, então você encontra skills com buscas em linguagem natural. Para publicar, é preciso ter uma conta no GitHub com pelo menos uma semana. O registro cresceu para mais de 44.000 skills no início de 2026.

O registro de skills do ClawHub, organizado por categoria. Imagem do autor.

O ataque de supply chain ClawHavoc

Em 1º de fevereiro de 2026, o pesquisador da Koi Security Oren Yomtov auditou todas as 2.857 skills do ClawHub e encontrou 341 maliciosas, 335 delas de uma campanha coordenada chamada ClawHavoc. O ataque usava engenharia social: uma seção "Prerequisites" falsa mandava os usuários colarem comandos de shell. No macOS, o payload era o Atomic macOS Stealer, que coleta senhas do navegador, entradas do keychain, carteiras de criptomoedas, chaves SSH e sessões do Telegram.

E continuou crescendo. Em meados de fevereiro o registro passou de 10.700 skills, e análises posteriores colocaram o total malicioso acima de 1.000, em várias contas. Uma auditoria mais ampla de 31.000+ skills classificou cerca de 7,6% como arriscadas, e um scan da Snyk encontrou prompt injection detectável em 36% delas.

O ClawHub hoje roda varreduras automáticas e tem integração com o VirusTotal, o que pega muita coisa, mas prompt injection em textos de instrução ainda pode passar. Leia o SKILL.md antes de instalar qualquer coisa e, se ele mandar colar comandos ou instalar binários fora do processo normal, pule fora. Também não carregue um monte de skills de terceiros no primeiro dia. Comece com o mínimo necessário e mantenha skills desconhecidas longe de arquivos e contas sensíveis.

Como as skills do OpenClaw se comparam às Claude Skills

Ambos os formatos usam a mesma estrutura SKILL.md. A diferença está em onde a skill executa. As Claude Skills rodam na infraestrutura gerenciada da Anthropic. As skills do OpenClaw rodam na sua máquina, dentro do limite de confiança completo do agente, com acesso a arquivos locais, comandos de shell e sessões de navegador. Essa diferença no raio de impacto é o motivo de o risco de supply chain pesar mais aqui do que em um ambiente hospedado.

Como configurar o OpenClaw

Os passos abaixo cobrem o fluxo em alto nível. Se você quer capturas de tela e comandos passo a passo, nosso tutorial do OpenClaw guia todo o processo do zero.

Antes de instalar

Você precisa do Node.js 24 (Node 22.19 também funciona) e de uma chave de API de um provedor de modelo compatível ou de um servidor de modelo local que atenda ao mínimo de 64.000 tokens de contexto que mencionei. No Windows, o caminho recomendado é WSL2 com Ubuntu; o Windows nativo tem limitações em torno do daemon do gateway. As necessidades de hardware são leves para uso básico, embora setups com modelos locais sejam outra história.

Uma decisão inicial: onde isso vai rodar? Uma máquina local serve para experimentar, mas para algo sempre ligado, use um VPS dedicado ou uma máquina separada, não sua estação principal.

Fluxo de setup em alto nível

curl -fsSL https://openclaw.ai/install.sh | bash

Depois rode o assistente de onboarding:

openclaw onboard --install-daemon

Ele passa pela seleção do provedor de modelo, configuração de chaves de API e ajustes do Gateway. Ao finalizar, confirme que o Gateway está rodando:

openclaw gateway status

Depois abra o dashboard:

openclaw dashboard

Envie uma mensagem de teste a partir de um canal de baixo risco antes de conectar qualquer coisa sensível.

A Control UI na porta 18789. Imagem do autor.

Padrões seguros para configurar imediatamente

Dois comandos de firewall importam mais do que todos os outros. Rode-os antes de qualquer coisa:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

O primeiro prende o Gateway ao loopback. O segundo bloqueia a porta externamente. Mais de 220.000 instâncias do OpenClaw já ficaram expostas publicamente na internet no pico, em sua maioria porque usuários pularam essa etapa seguindo tutoriais antigos. Use um perfil de navegador dedicado para qualquer automação de navegador. Rode openclaw security audit --deep após instalar qualquer skill. Use tokens de autenticação. Mantenha arquivos sensíveis fora da raiz do workspace.

Rodar localmente não significa rodar com segurança. Uma instância local com acesso a shell, arquivos e apps de mensagem conectados é uma superfície de ataque real, independentemente de onde o modelo roda.

Riscos de segurança do OpenClaw

Esses riscos são específicos do OpenClaw, e vários dos incidentes abaixo foram explorados contra usuários reais.

O histórico de CVEs

A CVE-2026-25253 (CVSS 8.8) é a que foi explorada ativamente. Antes da versão 2026.1.29, um link malicioso podia redirecionar silenciosamente a conexão WebSocket da interface de controle para um servidor controlado pelo atacante. O token de autenticação e as chaves do dispositivo da vítima eram enviados automaticamente durante o handshake, então um clique em um link forjado bastava. Com eles, o invasor tinha controle total do Gateway e podia executar comandos de shell arbitrários. O patch 2026.1.29 adicionou uma confirmação para fechar essa brecha.

A CVE-2026-32922 (CVSS 9.9) foi divulgada em 29 de março de 2026. Um chamador com escopo mínimo de token podia escalar para acesso de admin completo e alcançar execução remota de código em todos os nós conectados. Corrigida em 2026.3.11. Se sua instância é anterior a 2026.3.11, atualize agora. Mais de 60 avisos de segurança já foram registrados no projeto desde o lançamento.

Exposição à internet e prompt injection

Como mencionei, mais de 220.000 instâncias ficaram publicamente expostas no pico, com mais de 17.500 vulneráveis à classe de ataque CVE-2026-25253. O padrão atual é ligar no loopback, mas configs antigas e tutoriais da comunidade nem sempre refletem isso.

Prompt injection é o problema mais sutil. O OpenClaw lê páginas web, e-mails, documentos e logs como parte do trabalho. Se algum desses contiver instruções maliciosas, o agente pode segui-las. O estudo de caso da Promptfoo, de março de 2026, mostrou um agente verificando o que podia acessar, lendo arquivos locais, escrevendo arquivos e enviando mensagens não autorizadas — tudo disparado por visitar uma única página. Funcionou porque navegação, acesso a arquivos e mensagens de saída compartilhavam o mesmo limite de confiança, sem separação.

Pior: instruções de fontes maliciosas inseridas em SOUL.md ou AGENTS.md sobrevivem entre sessões e reinicializações. O agente as carrega adiante sem qualquer gatilho externo.

Como reduzir o risco

Grande parte é o que já citei como padrão seguro: atualize regularmente, mantenha o Gateway no localhost com a porta bloqueada, use tokens de autenticação, mantenha arquivos sensíveis fora do workspace e faça auditoria após mudanças. Use sandbox em Docker para tarefas que tocam entrada externa, use tokens de API granulares com expiração e trate SOUL.md e AGENTS.md como arquivos de configuração que você monitora, não como texto que você ignora.

Saída de auditoria após instalar uma skill. Imagem do autor.

O OpenClaw não é arriscado por ser open source. Ele é arriscado porque pode executar ações privilegiadas se você o configurar assim.

Vale a pena usar o OpenClaw? Uma avaliação sincera

Esta parte é a minha leitura, não uma afirmação factual. Agentes que executam ações em vez de apenas responder pertencem a outra categoria que não chatbots, e o OpenClaw é um exemplo claro.

Se vale a pena depende quase totalmente de quem usa. Um desenvolvedor confortável com ferramentas de terminal, logs, monitoramento de APIs e sandboxing consegue torná-lo útil em fluxos de trabalho estreitos. Como já comentei, os setups que se sustentam são os focados. Os que falham são aqueles em que a pessoa conecta todas as ferramentas, instala uma dúzia de skills sem ler e deixa heartbeats rodando com prompts abertos esperando bom comportamento.

Minha visão: automações complexas podem dar mais manutenção do que economia, e o caso de uso mais confiável talvez seja um resumo diário de notícias. É um retorno pequeno para o esforço de setup. O enquadramento certo é infraestrutura, não assistente. Trate-o assim, comece pequeno e mantenha limites rígidos. Se você quer um app de consumo inteligente, ainda não é isso.

OpenClaw vs. ChatGPT, Claude, Cursor e Zapier

ChatGPT e Claude são interfaces de chat sem estado: sem tarefas agendadas persistentes, sem acesso a arquivos locais por padrão.

Claude Code e Cursor são voltados para desenvolvimento de software dentro de um repositório; são melhores em código do que o OpenClaw, mas fazem só isso. O Claude Code também adicionou em abril de 2026 um recurso de agendamento hospedado na nuvem chamado Routines, que cobre parte do que o HEARTBEAT do OpenClaw faz, sem o overhead de infraestrutura.

Zapier e n8n são ferramentas determinísticas de workflow, em que cada etapa é pré-definida. São mais auditáveis, mas lidam pior com pedidos abertos do que um agente que interpreta linguagem natural.

Um enquadramento útil da comunidade em 2026: usar o OpenClaw como camada de raciocínio para tarefas ambíguas e n8n ou Zapier como camada de execução para as de alto volume e previsíveis, conectando por webhooks. Nem sempre são concorrentes.

Para quem o OpenClaw serve

Desenvolvedores que automatizam fluxos técnicos recorrentes e pesquisadores que estudam agentes com uso de ferramentas são o melhor encaixe. Quem já mantém serviços self-hosted em homelab vai achar o setup familiar.

Quem deve evitar o OpenClaw?

Quem não tem familiaridade com comandos de terminal, permissões de arquivo e gestão de chaves de API deve aguardar. A configuração não é para iniciantes.

Também deve esperar quem lida com arquivos sensíveis sem um ambiente em sandbox. Times com requisitos de conformidade podem precisar de alternativas gerenciadas como AWS Bedrock Agents. E se você não pretende inspecionar o código de skills da comunidade antes de instalar, o melhor é não rodar skills do ClawHub em uma máquina com credenciais reais.

Conclusão

O OpenClaw é relevante porque mostra como são os agentes pessoais de IA quando podem fazer coisas: não chatbots mais espertos, mas sistemas com acesso aos seus arquivos, seu shell, seu navegador e seus apps de mensagens.

Os riscos existem pelo mesmo motivo. O acesso que viabiliza um briefing matinal ou um fluxo de revisão de PR é o mesmo que o ClawHavoc transformou em roubo de credenciais.

Comece com uma tarefa. Rode em um ambiente isolado. Defina limites. Como mencionei, revise as skills antes de instalar. O OpenClaw não é um produto para instalar e esquecer. É infraestrutura, e tratá-lo como infraestrutura desde o início evita que o experimento vire incidente.

Para se aprofundar, nosso guia de projetos com OpenClaw e o guia de skills do ClawHub mostram o que a comunidade está construindo. O curso AI-Assisted Coding for Developers cobre skills de agentes de forma mais ampla.