Clawdbot → Moltbot → OpenClaw

Nos últimos meses, um projeto de assistente pessoal “agentivo” (daqueles que não só conversam — eles executam ações) virou febre e mudou de nome mais de uma vez: Clawdbot → Moltbot → OpenClaw.

A ideia é simples de explicar e perigosa de subestimar: você roda o agente no seu próprio computador/servidor (self-hosted) e dá a ele permissões e integrações para atuar no mundo real: e-mail, agenda, redes sociais, automações, etc.

Do que se trata, afinal?

O OpenClaw se vende como “a IA que realmente faz coisas”: em vez de só sugerir um texto de e-mail, ele pode enviar o e-mail; em vez de só dizer “agende”, ele pode agendar; e por aí vai — geralmente a partir de uma ferramenta de chat que você já usa no dia a dia (ex: whatsapp), com o agente rodando “por trás” como um serviço contínuo.

Essa virada “agentiva” é o que torna o OpenClaw tão interessante: ele não é apenas um chatbot; ele é um operador (com credenciais). E é justamente aí que mora o encanto… e o risco.

O que dá pra fazer com isso (possibilidades reais)

A promessa do OpenClaw é virar uma espécie de mordomo digital:

• Gerenciar e-mail e agenda (limpar inbox, responder/enviar mensagens, marcar compromissos, etc.).
• Executar tarefas recorrentes (rotinas, lembretes, checagens, pequenas automações, etc.)
• Operar as redes sociais: você fala com ele num app de chat (whatsapp, telegram, etc), ele faz o trabalho em serviços conectados.

E como o projeto ficou viral, também começou a aparecer em contextos “profissionais”, com gente falando em “AI employee” e integrações corporativas — o que amplia ainda mais o impacto (e a superfície de exposição).

Jeitos de colocar pra funcionar (do “nerd raiz” ao “clique-e-roda”)

Aqui a coisa se divide em três caminhos mais comuns:

1. Rodar localmente (no seu PC / em hardware dedicado);

   O “self-hosted clássico”: você instala e roda na sua máquina (ou num mini PC / servidor doméstico). A vantagem é controle e privacidade em tese; a desvantagem é manutenção, updates, e a tentação de “abrir uma porta” pra acessar de fora.

   O próprio projeto se posiciona como algo “pra rodar nos seus dispositivos”.

2. Rodar num servidor/VPS (24/7)

   Muita gente prefere VPS porque fica sempre ligado. Existem guias de “quickstart” bem diretos (ex.: DigitalOcean) ensinando a subir e configurar em um VPS.

   O lado bom: uptime e praticidade.

   O lado ruim: se você errar uma configuração e expor painel/porta, vira vitrine. E uma baita dor de cabeça.

3. Rodar em plataforma gerenciada (Cloudflare / “Moltworker”)
4. A Cloudflare publicou o Moltworker como uma forma de rodar o (na época) Moltbot usando a plataforma deles, evitando comprar hardware dedicado — uma abordagem mais “plataforma”, que pode facilitar deploy (e, dependendo de como você faz, reduzir certas dores).

Agora a parte séria: riscos e preocupações de segurança (tudo o que esse troço traz no pacote)

Vou ser bem direto: agente que faz coisas precisa de poder.

“Poder”, em Tecnologia da Informação, costuma significar users, passwords, credenciais, tokens, sessões, chaves, permissões, acesso ao navegador, acesso a apps. Isso cria um conjunto de riscos bem concreto:

1. Painéis expostos e instâncias abertas na internet.

   Relatórios recentes apontam milhares (ou mais) de instâncias acessíveis publicamente, com painéis/serviços mal configurados — abrindo caminho para sequestro de sessão, vazamento de dados e takeover.

2. Vazamento de credenciais, chaves e dados pessoais.

   Quando o agente integra serviços, ele passa a lidar com segredos (API keys, OAuth tokens, etc.). Incidentes associados ao ecossistema (como o Moltbook) viraram exemplo de como uma configuração errada pode expor chaves e dados de usuários.

3. Prompt injection e “ataques por conversa”.

   Agentes que leem conteúdo externo (web, mensagens, posts) podem ser manipulados por instruções escondidas (“faça X, exfiltre Y…”) — o famoso prompt injection, que fica ainda mais perigoso quando o agente tem permissão pra agir. Esse tipo de alerta aparece com força em análises de segurança recentes.

4. “Shadow AI” e o pesadelo de identidade/permissões.

   Em ambiente de trabalho, um agente pode virar um “ator invisível” com privilégios demais: ele herda acesso do usuário, encontra chaves locais, mexe em código, abre tickets, manda mensagem — tudo rápido e em escala. Algumas leituras do campo de identity security já tratam isso como um novo tipo de superfície de ataque.

5. O risco mais comum é o mais bobo: preguiça + pressa.

   Quase sempre o problema não é “a IA ficou malvada”. É: porta exposta, senha fraca, painel sem autenticação, tokens em texto puro, logs com dados sensíveis, permissão ampla demais.

   Inclusive houve até alertas governamentais (como na China) recomendando auditoria, verificação de identidade e reforço de controles ao implantar o OpenClaw.

Fechando: eu tenho interesse… mas também tenho preguiça! (nerd fatigue é real)

Eu confesso: acho o assunto fascinante. A ideia de um assistente rodando “do meu lado”, automatizando tarefas chatas, é o tipo de futuro que sempre pareceu que estava a dois passos de acontecer. Mas agora está já tudo por aqui.

Mas também confesso a outra parte: a vontade de testar é grande, porém a preguiça de mais uma empreitada nerd é maior. Porque eu sei como esse filme começa:

“Vou só instalar rapidinho.”
20 abas abertas.
Token pra cá, Docker pra lá, porta exposta sem querer, 3 noites de ajuste fino, e eu de repente administrando um mini data center emocional.

Já passei por esta cilada antes e… não!

Quero testar em algum momento — com calma, e com paranoia de segurança. Até lá, eu observo o hype com uma sobrancelha levantada e a outra mão segurando firme minhas credenciais.

Notícias recentes sobre estas questões:

• China warns of security risks linked to OpenClaw open-source AI agent;
• Security concerns and skepticism are bursting the bubble of Moltbook, the viral AI social forum;
• China’s tech giants are opening their doors to OpenClaw. The Chinese internet is lapping it up.