Data do Relatório: 2026-03-11

Escopo da Amostra: 100 Habilidades Top ClawHub por downloads (em 10 de março, 18:30 Hora de Pequim)

Motor de Detecção: Motor de Varredura de Segurança de Habilidades AgentGuard

Objetivo da Varredura: Avaliar a postura de segurança básica das habilidades de agente de IA mais populares e identificar riscos potenciais, como abuso de privilégios, operações sensíveis e padrões de comportamento malicioso.

📊 1. Resumo Executivo

Esta varredura de segurança realizou uma análise completa das 100 habilidades mais baixadas no ecossistema ClawHub. Os resultados gerais são os seguintes:

  • Total de Amostras Escaneadas: 100

  • Taxa de Varredura Bem-Sucedida: 100% (sem falhas de análise ou arquivos faltantes)

  • Habilidades Bloqueadas: 21 (21%)

  • Habilidades de Aviso: 17 (17%)

  • Habilidades Aprovadas: 62 (62%)

    Descoberta Chave: Entre as 100 principais habilidades, 21% contêm operações de alto risco explícitas (como tunelamento direto de rede, chamadas de API sensíveis ou mensagens automatizadas). Para essas habilidades, recomenda-se reforçar um mecanismo de confirmação Human-in-the-Loop (HITL) antes da execução para garantir a revisão manual de ações de alto risco.

    Além disso, 17% das habilidades apresentam certos sinais de risco e devem ser executadas com cautela. Para usuários com requisitos de segurança mais rigorosos, também é recomendável habilitar a confirmação manual para essas habilidades.

    📈 2. Distribuição do Nível de Risco

    Com base no conjunto de regras do AgentGuard, os resultados da varredura são categorizados em quatro níveis de risco, com a seguinte distribuição:

    🚨 3. Análise de Habilidades de Alto Risco (Crítico e Alto)

    Nesta varredura de segurança, 21 habilidades foram classificadas diretamente como Bloqueadas após acionar regras Críticas ou de Alto Risco. Essas habilidades caem principalmente nos seguintes cenários operacionais de alto risco:

    3.1. Navegadores Headless e Automação (Automação de Navegador)

    Essas habilidades normalmente chamam Puppeteer/Playwright ou ferramentas CLI empacotadas, permitindo que o Agente acesse livremente a internet.

    • Habilidades Afetadas: agente-navegador (Crítico), agente-navegador-clawdbot (Crítico)

    • Razão da Detecção: Detecção de controle de processo de navegador headless, execução de scripts JS arbitrários ou interações complexas de DOM.

    • Impacto do Risco: Pode ser usado para SSRF (Server-Side Request Forgery), sondagem de rede interna, contornar proteções CAPTCHA para raspagem maliciosa ou acionar cargas de sites de phishing.

    3.2. Comunicações e Mensagens (Comunicações e Mensagens)

    Habilidades que controlam diretamente as ferramentas de e-mail ou mensagens dos usuários para enviar mensagens.

    • Habilidades Afetadas: agente-email (Crítico), whatsapp-business (Crítico), imap-smtp-email (Crítico), mailchimp (Alto)

    • Razão da Detecção: Detecção de palavras-chave de protocolo SMTP/IMAP, endpoints de API de mensagens em massa e tokens de comunicação de alto privilégio.

    • Impacto do Risco: Se um Agente for comprometido através de um ataque de Injeção de Prompt, os atacantes poderiam usar essas habilidades para enviar spam ou conduzir golpes de engenharia social, prejudicando a reputação do usuário e potencialmente violando requisitos de conformidade de privacidade.

    3.3. CRM de Alto Privilégio e APIs de Recursos em Nuvem (Gateways de API Empresarial)

    Habilidades que realizam operações de leitura/gravação em plataformas SaaS empresariais através de gateways proxy.

    • Habilidades Afetadas: google-workspace-admin (Crítico), google-slides (Crítico), feishu-evolver-wrapper (Crítico), pipedrive-api (Alto), youtube-api-skill (Alto), trello-api (Alto), google-meet (Alto)

    • Razão da Detecção: O mecanismo de regras detectou estruturas de requisições de API REST capazes de modificar dados sensíveis, assim como a capacidade de alterar o estado de sistemas externos.

    • Impacto do Risco: Os Agentes podem modificar diretamente ou até mesmo excluir dados empresariais centrais, como vendas, financeiros, documentos ou ativos de mídia (incluindo concessão ou revogação de privilégios de administrador). Sem uma verificação rigorosa de Human-in-the-Loop, erros operacionais poderiam levar a perdas severas.

    3.4. Motores de Busca Profundas e Agregação de Raspagem (Busca e Raspagem)

    Ferramentas capazes de rastreamento profundo de conteúdo e agregação de múltiplos motores.

    • Habilidades Afetadas: brave-search (Alto), duckduckgo-search (Alto), multi-search-engine (Alto), tavily (Alto)

    • Razão da Detecção: Detecção de wrappers de requisições de rede externa de alta frequência, parsing de HTML e bibliotecas de raspagem.

    • Impacto do Risco: Além de possíveis proibições de IP de sites-alvo, a extração insegura de conteúdo web (como leitura direta de HTML não filtrado ou execução de conteúdo de página) pode introduzir riscos de Injeção de Prompt Indireta.

    3.5. Modificação de Lógica Central e Escalation de Privilégios (Auto-Modificação e Escalation de Privilégios)

    Habilidades que envolvem mutação de comportamento do Agente, modificação de configurações ocultas ou acesso a credenciais de nível de sistema.

    • Habilidades Afetadas: free-ride (Crítico), moltbook-interact (Crítico), trello (Crítico), evolver (Alto)

    • Razão da Detecção: Detecção de requisições de acesso de gravação a arquivos do sistema (como arquivos de configuração .json ocultos), a capacidade de ler credenciais locais ou concatenação direta de tokens sensíveis em comandos Bash.

    • Impacto do Risco: Essas habilidades podem modificar as regras comportamentais centrais do Agente sem autorização, contornar restrições de sistema existentes ou vazar chaves de API críticas devido a vulnerabilidades de injeção de comandos.

    ⚠️ 4. Habilidades de Risco Médio (Médio / Aviso) que Merecem Atenção

    Um total de 17 habilidades foram classificadas como risco médio. A maioria delas são interfaces de integração para aplicações de terceiros. Embora o mecanismo de varredura não as tenha bloqueado diretamente, as seguintes considerações se aplicam:

    • Ferramentas de calendário e agendamento (caldav-calendar, calendly-api)

    • Ferramentas de produtividade e colaboração (notion, x-twitter, xero, typeform)

    • Integrações do ecossistema Microsoft (microsoft-excel, outlook-graph, outlook-api)

    • Conjuntos de ferramentas utilitárias (mcporter, asana-api, clickup-api)

    Análise: A característica chave dessas habilidades é que sua funcionalidade é neutra, mas elas carregam credenciais de alto valor. A varredura de segurança identificou que elas requerem tokens de acesso dos usuários, mas nenhuma lógica maliciosa explícita foi detectada no nível do código, então foram rotuladas com um Aviso. No entanto, se um Agente for enganado a usar essas habilidades (por exemplo, sendo instruído a "deletar todas as minhas reuniões amanhã" ou "compartilhar publicamente este documento do Notion"), danos significativos ainda podem ocorrer.

    🛡️ 5. Resumo e Recomendações de Segurança

    Esta varredura de segurança mostra que cerca de 20% das 100 habilidades mais baixadas no ClawHub contêm operações de alto risco explícitas, demonstrando a necessidade de realizar varredura e revisão de segurança para as habilidades.

    Recomendações para usuários e desenvolvedores do ecossistema:

    5.1. Melhorar a usabilidade das habilidades de alto risco (Bloqueadas): Evitar proibições gerais. Para habilidades de alto valor, como agente-navegador e agente-email, recomenda-se reforçar um mecanismo de confirmação Human-in-the-Loop (HITL) antes da execução. O conteúdo específico a ser enviado ou as ações a serem realizadas devem ser exibidos, e a execução deve prosseguir apenas após autorização explícita do usuário.

    5.2. Reforçar a proteção contra “Injeção de Prompt Indireta”: Para todas as habilidades relacionadas a busca marcadas como Alta, o conteúdo retornado ao Agente deve passar por uma sanitização rigorosa (como remoção de tags HTML e scripts) para evitar injeção de conteúdo malicioso de páginas externas.

    5.3. Realizar verificações regulares de saúde de segurança: Com base nos pontos cegos de segurança identificados nesta análise, ações como modificar caminhos de arquivos de configuração específicos (por exemplo, AGENTS.md) e invocar bibliotecas de controle de desktop do sistema devem ser adicionadas à lista de comportamentos de alto risco. Alternativamente, os desenvolvedores podem usar recursos de inspeção de segurança e varredura de habilidades do AgentGuard para auditar regularmente a postura de segurança dos Agentes e suas Habilidades.


    👉Apêndice: Resultados Detalhados da Varredura de Segurança das 100 Principais Habilidades do ClawHub


    Clique no link para visualizar:
    https://inky-punch-9d2.notion.site/Appendix-Detailed-Results-of-the-ClawHub-Top-100-Skills-Security-Sca-3215da0dd7ad80719937c66b7c1225b3?source=copy_link