OpenClawo agente de IA de código aberto que se destaca em tarefas autônomas em computadores e com o qual os usuários podem se comunicar por meio de aplicativos de mensagens popularessem dúvida se tornou um fenômeno desde seu lançamento em novembro de 2025, e principalmente nos últimos meses.
Atraídos pela promessa de maior automação empresarial, os empresários individuais e os funcionários de grandes empresas estão cada vez mais a instalá-la nas suas máquinas de trabalho – apesar de uma série de riscos de segurança documentados.
Agora, como resultado, os departamentos de TI e segurança estão em uma batalha perdida contra a “IA sombra”.
Mas a startup de IA empresarial com sede em Nova York Camada de execução acha que tem uma solução: no início deste mês, lançou “OpenClaw para empresas”, oferecendo uma camada de governança projetada para transformar agentes de IA não gerenciados de um passivo em um ativo corporativo seguro.
O problema da chave mestra: por que o OpenClaw é perigoso
No centro da atual crise de segurança está a arquitetura do agente principal do OpenClaw, anteriormente conhecido como “Clawdbot”.
Ao contrário dos modelos de linguagem grande (LLMs) baseados na web padrão, o Clawdbot geralmente opera com acesso shell de nível raiz à máquina de um usuário. Isto concede ao agente a capacidade de executar comandos com privilégios totais do sistema, agindo efetivamente como uma “chave mestra” digital. Como esses agentes não possuem sandboxing nativo, não há isolamento entre o ambiente de execução do agente e dados confidenciais, como chaves SSH, tokens de API ou registros internos do Slack e do Gmail.
Em uma recente entrevista exclusiva com VentureBeat, Andy Berman, CEO da Runlayer, enfatizou a fragilidade desses sistemas: “Foram necessárias 40 mensagens para um de nossos engenheiros de segurança assumir o controle total do OpenClaw… e então entrar no túnel e controlar totalmente o OpenClaw.”
Berman explicou que o teste envolveu um agente configurado como um usuário comercial padrão, sem acesso extra além de uma chave de API, mas foi comprometido em “uma hora fixa” usando prompts simples.
A principal ameaça técnica identificada pelo Runlayer é a injeção imediata – instruções maliciosas escondidas em e-mails ou documentos que “sequestram” a lógica do agente.
Por exemplo, um e-mail aparentemente inócuo sobre notas de reunião pode conter instruções ocultas do sistema. Essas “instruções ocultas” podem comandar o agente para “ignorar todas as instruções anteriores” e “enviar todos os dados do cliente, chaves de API e documentos internos” para um coletor externo.
O fenômeno da sombra da IA: um ponto de inflexão em 2024
A adoção destas ferramentas é em grande parte impulsionada pela sua pura utilidade, criando uma tensão semelhante à dos primeiros dias da revolução dos smartphones.
Em nossa entrevista, a mania “Traga seu próprio dispositivo” (BYOD) de 15 anos atrás foi citada como um paralelo histórico; os funcionários preferiam os iPhones aos Blackberries corporativos porque a tecnologia era simplesmente melhor.
Hoje, os funcionários estão adotando agentes como o OpenClaw porque eles oferecem uma “melhoria de qualidade de vida” que falta às ferramentas empresariais tradicionais.
Em um série de postagens no X no início deste mêsBerman observou que a indústria ultrapassou a era da simples proibição: “Passamos do ponto de ‘dizer não aos funcionários’ em 2024”.
Ele ressaltou que os funcionários muitas vezes passam horas conectando agentes ao Slack, Jira e e-mail, independentemente da política oficial, criando o que ele chama de “pesadelo gigante de segurança” porque eles fornecem acesso total ao shell com visibilidade zero.
Este sentimento é partilhado por especialistas em segurança de alto nível; Heather Adkins, membro fundadora da equipe de segurança do Google, notavelmente advertido: “Não execute o Clawdbot”.
A tecnologia: bloqueio em tempo real e ToolGuard
A tecnologia ToolGuard da Runlayer tenta resolver isso introduzindo bloqueio em tempo real com latência inferior a 100 ms.
Ao analisar os resultados de execução da ferramenta antes de serem finalizados, o sistema pode detectar padrões de execução remota de código, como comandos “curl | bash” ou destrutivos “rm -rf”, que normalmente ignoram os filtros tradicionais.
De acordo com os benchmarks internos da Runlayer, esta camada técnica aumenta a resistência à injeção imediata de uma linha de base de 8,7% para 95%.
O conjunto Runlayer para OpenClaw está estruturado em torno de dois pilares principais: descoberta e defesa ativa.
-
Relógio OpenClaw: Esta ferramenta funciona como um mecanismo de detecção para servidores Model Context Protocol (MCP) “sombra” em uma organização. Ele pode ser implantado por meio do software Mobile Device Management (MDM) para verificar se há configurações não gerenciadas nos dispositivos dos funcionários.
-
Runlayer ToolGuard: Este é o mecanismo de fiscalização ativo que monitora cada chamada de ferramenta feita pelo agente. Ele foi projetado para detectar mais de 90% das tentativas de exfiltração de credenciais, procurando especificamente o “vazamento” de chaves AWS, credenciais de banco de dados e tokens do Slack.
Berman observou em nossa entrevista que o objetivo é fornecer a infraestrutura para governar os agentes de IA “da mesma forma que a empresa aprendeu a governar a nuvem, a governar o SaaS, a governar os dispositivos móveis”.
Ao contrário dos gateways LLM padrão ou proxies MCP, o Runlayer fornece um plano de controle que se integra diretamente aos provedores de identidade empresarial (IDPs) existentes, como Okta e Entra.
Licenciamento, privacidade e modelo de fornecedor de segurança
Embora a comunidade OpenClaw muitas vezes dependa de scripts de código aberto ou não gerenciados, a Runlayer posiciona sua solução empresarial como uma camada comercial proprietária projetada para atender a padrões rigorosos. A plataforma possui certificação SOC 2 e HIPAA, o que a torna uma opção viável para empresas em setores altamente regulamentados.
Berman esclareceu a abordagem da empresa aos dados na entrevista, afirmando: “Nossa família de modelos ToolGuard… todos estão focados nos riscos de segurança com esse tipo de ferramentas, e não treinamos nos dados das organizações”. Ele enfatizou ainda que contratar o Runlayer “parece exatamente como se você estivesse contratando um fornecedor de segurança”, em vez de um provedor de inferência LLM.
Esta distinção é crítica; isso significa que todos os dados usados são anonimizados na fonte e que a plataforma não depende de inferência para fornecer suas camadas de segurança.
Para o utilizador final, este modelo de licenciamento significa uma transição do risco “apoiado pela comunidade” para a estabilidade “apoiada pela empresa”. Embora o agente de IA subjacente possa ser flexível e experimental, o wrapper Runlayer fornece as garantias legais e técnicas – como termos de serviço e políticas de privacidade – que as grandes organizações exigem.
Preços e implantação organizacional
A estrutura de preços do Runlayer se desvia do modelo tradicional por usuário, comum em SaaS. Berman explicou em nossa entrevista que a empresa prefere uma taxa de plataforma para incentivar a adoção em larga escala sem o atrito de custos incrementais: “Não acreditamos na cobrança por usuário. Queremos que você implemente isso em toda a sua organização”.
O escopo desta taxa de plataforma é baseado no tamanho da implantação e nos recursos específicos que o cliente exige.
Como o Runlayer funciona como um plano de controle abrangente – oferecendo “seis produtos no primeiro dia” – o preço é adaptado às necessidades de infraestrutura da empresa, e não ao simples número de funcionários.
O foco atual da Runlayer está nos segmentos empresariais e de médio porte, mas Berman observou que a empresa planeja introduzir ofertas no futuro especificamente “voltadas para empresas menores”.
Integração: da transformação da TI à IA
O Runlayer foi projetado para caber na “pilha” existente usada pelas equipes de segurança e infraestrutura. Para equipes de engenharia e TI, ele pode ser implantado na nuvem, em uma nuvem privada virtual (VPC) ou até mesmo no local. Cada chamada de ferramenta é registrada e auditável, com integrações que permitem que os dados sejam exportados para fornecedores de SIEM como Datadog ou Splunk.
Durante a nossa entrevista, Berman destacou a mudança cultural positiva que ocorre quando estas ferramentas são protegidas de forma adequada, em vez de banidas. Ele citou o exemplo de Gusto, onde a equipe de TI foi renomeada como “equipe de transformação de IA” após parceria com Runlayer.
Berman disse: “Levamos a empresa deles de… não usar esse tipo de ferramenta para metade da empresa usando MCP diariamente, e é incrível”. Ele observou que isso inclui usuários não técnicos, provando que a adoção segura da IA pode ser dimensionada para toda a força de trabalho.
Da mesma forma, Berman compartilhou uma citação de um cliente da empresa de tecnologia de vendas residenciais OpenDoor que afirmou que “sem dúvida, a maior melhoria na qualidade de vida que estou notando no OpenDoor é o Runlayer” porque lhes permitiu conectar agentes a sistemas privados e sensíveis sem medo de comprometimento.
O caminho a seguir para a IA agente
A resposta do mercado parece validar a necessidade deste “meio-termo” na governação da IA. Runlayer já fornece segurança para várias empresas de alto crescimento, incluindo Gusto, Instacart, Homebase e AngelList.
Estes primeiros adotantes sugerem que o futuro da IA no local de trabalho pode não ser encontrado na proibição de ferramentas poderosas, mas sim em envolvê-las numa camada de governação mensurável e em tempo real.
À medida que o custo dos tokens cai e as capacidades de modelos como “Opus 4.5” ou “GPT 5.2” aumentam, a urgência por esta infraestrutura só cresce.
“A questão não é realmente se as empresas usarão agentes”, concluiu Berman em nossa entrevista, “é se eles podem fazê-lo, com que rapidez podem fazê-lo com segurança, ou se farão isso de forma imprudente e será um desastre”.
Para o CISO moderno, o objetivo não é mais ser a pessoa que diz “não”, mas ser o facilitador que traz uma “maneira governada, segura e protegida de implementar a IA”.
