Você já viu aquele print circulando, né? Um amigo mostrando o assistente de IA dele respondendo e-mails sozinho, organizando a agenda, resumindo o grupo de família no WhatsApp. “Roda no meu computador”, a pessoa fala. “Sem assinatura. Sem nuvem. Privacidade total.”
O app se chama Moltbot. E tá em todo lugar.
100 mil estrelas no GitHub em menos de um mês. Comunidade no Discord crescendo milhares por dia. Blogs de tecnologia chamando de “o futuro da IA pessoal.”
Mas olha, o que esses prints animados não mostram: pesquisadores de segurança acabaram de encontrar mais de 1.800 instalações do Moltbot completamente abertas na internet, vazando conversas privadas, chaves de API e credenciais de login pra qualquer pessoa que soubesse onde procurar.
Isso não é um risco hipotético. Já está acontecendo.
O Que o Moltbot Faz (E Por Que as Pessoas Amam)
Se você perdeu a onda, vou resumir rapidinho. Moltbot é um assistente de IA gratuito e de código aberto que você instala no seu próprio computador – pode ser um PC, Mac, notebook, tanto faz. Ele se conecta aos seus apps de mensagem (WhatsApp, Slack, Telegram, Signal, iMessage, Teams e mais) e funciona como um agente de IA pessoal em todos eles.
Não é só um chatbot. É um agente. Ele lê seus e-mails, gerencia sua agenda, responde mensagens por você, navega na internet, e trabalha 24 horas sem você precisar encostar nele. Um cara usou pra negociar a compra de um carro. Outro catalogou a coleção inteira de vinhos dele.
Parece demais. E honestamente, a tecnologia é impressionante.
O problema é que tudo que torna o Moltbot útil também torna ele perigoso.
Por Que Isso Importa MUITO Pro Brasil
Antes de entrar nos detalhes técnicos, preciso falar uma coisa: esse assunto é especialmente sério pra gente aqui no Brasil.
Pensa comigo. O Moltbot se conecta ao WhatsApp. O WhatsApp. Aquele app que a gente usa pra tudo – conversar com a família, resolver coisa do trabalho, mandar Pix, falar com médico, receber boleto, combinar churrasco, fechar negócio. Somos mais de 200 milhões de usuários de WhatsApp no Brasil. Não é só um app de mensagem pra gente, é praticamente uma extensão da nossa vida.
Agora imagina um assistente de IA com acesso total a esse WhatsApp. Lendo cada mensagem. Cada áudio. Cada grupo. E imagina que a porta pra tudo isso ficou aberta na internet.
É exatamente isso que aconteceu.
E tem mais: a gente no Brasil é assim, né? Viu uma tecnologia nova, ficou curioso, já baixa pra testar. Essa empolgação é massa, mas nesse caso, pode custar caro.
1.862 Portas Abertas
Em 25 de janeiro de 2026, dois pesquisadores de segurança – Luis Catacora e Jamieson O’Reilly – fizeram uma varredura na internet procurando instalações expostas do Moltbot.
Encontraram cerca de 1.009 painéis de administração completamente abertos. Sem senha. Sem autenticação. Simplesmente… lá. Abertos pra qualquer um.
No dia seguinte, a empresa de segurança Knostic fez outra varredura. O número tinha saltado pra 1.862.
Para e pensa nisso. Quase dois mil Moltbots – cada um conectado ao e-mail pessoal, apps de mensagem e arquivos de alguém – acessíveis pra qualquer estranho na internet.
E não era exposição passiva. Esses painéis não eram somente leitura. Um atacante com acesso poderia:
- Ler cada conversa privada que a IA processou
- Roubar chaves de API e tokens OAuth armazenados em texto simples
- Enviar mensagens como se fosse o dono da conta, pelos apps conectados
- Executar comandos no computador da vítima
- Acessar contas do Signal, incluindo QR codes de vinculação de dispositivos
Uma das instalações expostas tinha uma conta do Signal com acesso total de leitura. Adeus criptografia de ponta a ponta quando seu assistente de IA deixa a porta da frente escancarada.
Suas Senhas Guardadas Num Arquivo de Texto
Esse detalhe fez até profissional de segurança dar aquela travada: o Moltbot guarda seus segredos – chaves de API, senhas, tokens OAuth – em arquivos de texto simples no seu computador.
Sem criptografia. Sem cofre seguro. Só um arquivo Markdown ou JSON jogado numa pasta, legível pra qualquer programa.
Se isso já parece ruim, piora. A comunidade de pesquisa de malware já tá de olho. A Hudson Rock alertou que malwares populares de roubo de credenciais – tipo RedLine, Lumma e Vidar, programas que vasculham seu computador silenciosamente buscando senhas – vão se adaptar em breve pra atacar especificamente as pastas do Moltbot.
Pensa no que tá guardado ali. Suas credenciais de e-mail. Seus tokens do Slack. Acesso à sua agenda. Sessões dos seus apps de mensagem. Tudo numa pasta. Tudo em texto puro.
E no Brasil, onde o WhatsApp é usado até pra transações financeiras e dados pessoais sensíveis? Isso é um pesadelo à luz do dia.
O Hack de 5 Minutos
Matvey Kukuy, CEO da Archestra AI, quis mostrar como é fácil explorar o Moltbot usando injeção de prompt – um truque onde você esconde instruções dentro de um conteúdo que a IA vai processar.
Ele mandou um e-mail pra uma instalação do Moltbot. O e-mail tinha um texto invisível que instruía a IA a extrair a chave privada do usuário e enviar de volta.
Funcionou. Em cinco minutos.
Sem ferramentas de hacking. Sem habilidades técnicas além de saber escrever um e-mail. Só uma mensagem com as instruções certas escondidas, enviada pra alguém cujo assistente de IA lê os e-mails automaticamente.
Agora traduz isso pro contexto brasileiro. Imagina alguém mandando uma mensagem no WhatsApp com instruções ocultas pro Moltbot. O agente lê, processa, e de repente suas informações estão indo pra outro lugar. Num país onde golpes por WhatsApp já são uma epidemia – clonagem, falso sequestro, golpe do Pix – adicionar um agente de IA sem supervisão nesse ecossistema é jogar gasolina na fogueira.
Extensões Envenenadas: A Loja de Apps Que Ninguém Vigia
O Moltbot tem um marketplace de “skills” chamado ClawdHub (agora MoltHub) onde a comunidade compartilha funcionalidades extras. Quer que sua IA controle seus gastos? Tem uma skill pra isso. Quer que gerencie suas redes sociais? Tem uma skill pra isso também.
O pesquisador de segurança Jamieson O’Reilly decidiu testar o quão seguro esse marketplace realmente é.
Ele criou uma skill maliciosa – basicamente um programinha com comandos escondidos. Subiu pro ClawdHub e inflou artificialmente o contador de downloads pra parecer popular.
Em oito horas, 16 desenvolvedores em sete países tinham baixado e instalado.
A prova de conceito dele poderia ter executado comandos em cada uma dessas máquinas. Acesso a arquivos, roubo de dados, instalação de backdoors – o cardápio completo.
O time de pesquisa de ameaças da Cisco depois testou outra skill chamada “What Would Elon Do?” e encontrou nove falhas de segurança naquela skill sozinha, incluindo duas classificadas como críticas. A skill silenciosamente executava comandos pra enviar dados pra servidores externos.
Ninguém revisa essas skills antes de ficarem disponíveis. Não tem processo de aprovação. Não tem varredura de segurança. É tipo uma loja de apps sem seguranças na porta.
A Extensão Falsa Que Instalou Spyware
Em 27 de janeiro de 2026, a empresa de segurança Aikido sinalizou uma extensão do VS Code chamada “ClawdBot Agent.” Parecia profissional. Interface polida. Até funcionava – conectava a sete provedores de IA diferentes.
Mas ela também instalava silenciosamente uma ferramenta de acesso remoto chamada ScreenConnect na sua máquina.
A extensão se ativava no momento em que o VS Code abria. Baixava arquivos escondidos, preparava tudo numa pasta temporária e montava uma conexão com o servidor do atacante. O programa em si era legitimamente assinado, tornando-o quase invisível pra antivírus.
O time do Moltbot nunca fez uma extensão oficial pra VS Code. Era pura falsificação – atacantes apostando que gente empolgada com a ferramenta viral ia instalar sem pensar duas vezes.
A Microsoft tirou do marketplace. Mas a janela de dano foi real.
O Problema Corporativo: Shadow IT na Sua Empresa
A Token Security, empresa de gerenciamento de credenciais, soltou um dado que deveria preocupar qualquer departamento de TI: 22% dos clientes corporativos deles têm funcionários usando Moltbot ativamente.
Sem aprovação da TI. Sem revisão de segurança. Sem ninguém saber.
É shadow IT turbinado. Um funcionário instala o Moltbot no notebook de trabalho, conecta o Slack corporativo, o e-mail profissional, o Google Calendar da empresa. Agora existe um agente de IA não autorizado com acesso a dados da empresa, rodando numa segurança de nível consumidor, guardando credenciais em texto puro.
No Brasil, isso bate de frente com a LGPD (Lei Geral de Proteção de Dados). Se dados pessoais de clientes passam por um Moltbot sem as devidas proteções, a empresa pode enfrentar multas de até 2% do faturamento. E o funcionário que instalou? Provavelmente nem sabe que tá violando regulamentação alguma.
O time de segurança da Cisco chamou a situação de “um pesadelo absoluto” – e não estavam exagerando. O Moltbot pode ler e escrever arquivos, rodar comandos e executar scripts. Conectado a sistemas corporativos, uma instalação comprometida não vaza só os dados de uma pessoa – vira uma porta pra dentro da organização inteira.
E não tem como a TI sequer detectar. Ferramentas tradicionais de monitoramento, prevenção de perda de dados, proxies de rede – nenhuma delas foi feita pra vigiar um agente de IA silenciosamente extraindo dados pelos apps de mensagem.
Alerta de Segurança Nacional
Esse me chamou atenção de verdade.
Em 29 de janeiro de 2026 – ontem – Ben Van Roo, CEO da Legion Intelligence, publicou uma carta aberta pra comunidade de segurança nacional sobre assistentes de IA pessoais como o Moltbot.
O argumento dele: um militar que conecta seu e-mail pessoal, conta de Signal e dados de localização ao Moltbot cria “um único ponto comprometido” que um serviço de inteligência estrangeiro poderia explorar.
Ele descreveu o padrão típico de adoção: “Calendário no primeiro dia, e-mail no segundo, mensagens no terceiro… simplesmente tudo até o oitavo dia.”
A recomendação dele: o Departamento de Defesa deveria imediatamente proibir que pessoal conecte contas governamentais a assistentes de IA pessoais.
A frase mais cortante dele: Moltbot “mina anos de treinamento em segurança operacional – derrotado pela conveniência.”
Se governos do mundo estão preocupados, talvez a gente devesse prestar atenção também.
Tá, Mas o Moltbot É Só… Ruim?
Não. Seria simples demais dizer isso.
A tecnologia por trás do Moltbot é genuinamente impressionante. A ideia de um agente de IA pessoal que funciona em todas as suas plataformas de mensagem, roda no seu próprio computador e não custa nada é atraente demais. O projeto provavelmente vai corrigir muitas dessas falhas – a configuração de proxy que expôs aquelas 1.862 instalações já foi corrigida.
Mas o padrão é o problema, não só o produto.
Vamos ver mais ferramentas como o Moltbot. Mais agentes de IA pessoais querendo acesso ao seu e-mail, suas mensagens, seus arquivos, suas contas. Cada um vai prometer privacidade e controle. E cada um vai ser exatamente tão seguro quanto a pessoa que configura.
A maioria das pessoas não é engenheiro de segurança. A maioria não sabe o que é porta 18789, muito menos que deveria bloquear o acesso a ela. A maioria vai instalar uma skill bonita do MoltHub sem ler o código-fonte.
E isso não é culpa de ninguém. Mas é a realidade.
O Que Você Deveria Fazer Agora
Se já está usando o Moltbot:
- Não exponha na internet. Use VPN pra acesso remoto
- Ative o sandbox do Docker. Não deixe a IA rodar com acesso total ao sistema
- Olhe a pasta
~/.moltbot/no seu computador. Veja que credenciais estão armazenadas em texto puro - Revise cada skill antes de instalar. É só código, e ninguém tá verificando
- Troque suas chaves de API. Considere que elas podem ter sido expostas
- Desconecte o WhatsApp. Sério. Pelo menos até a segurança melhorar
Se está pensando em experimentar:
- Espere o modelo de segurança amadurecer
- Nunca conecte contas de trabalho a ferramentas de IA pessoais – isso vale pra qualquer ferramenta, não só o Moltbot
- Se pergunte se a conveniência vale o risco. Especialmente se você usa WhatsApp pra coisas sérias (e no Brasil, quem não usa?)
Se você cuida da TI de uma empresa:
- Faça uma varredura na rede procurando instalações expostas do Moltbot (porta 18789)
- Adicione o Moltbot ao monitoramento de shadow IT
- Informe sua equipe sobre os riscos de conectar contas corporativas a agentes de IA pessoais
- Revise a conformidade com a LGPD – dados de clientes passando por um agente não autorizado é uma bomba regulatória
A Lição de Verdade
O futuro dos agentes de IA está chegando quer a gente esteja preparado ou não. O Moltbot é só o primeiro exemplo mainstream. Vai ter mais – de startups, de Big Techs, de comunidades open-source.
Cada um deles vai enfrentar a mesma tensão: quanto mais um agente de IA pode fazer por você, mais dano ele pode causar se for comprometido. Quantas mais contas ele conecta, maior o alvo. Quanto mais fácil a configuração, menos provável que as pessoas vão configurar com segurança.
A gente passou décadas aprendendo a não clicar em links suspeitos por e-mail. Agora precisa aprender a não entregar a chave da nossa vida digital inteira pra um agente de IA sem entender o que está arriscando.
A casca do caranguejo novo ainda tá mole.
Proteja Seu Uso de IA
Quer usar IA com segurança, sem os riscos de hospedar você mesmo? Essas skills funcionam direto no navegador, sem instalar nada:
- Checklist de Revisão de Segurança – Audite qualquer configuração em busca de vulnerabilidades
- Auditoria de Segurança de Web App – Verifique suas ferramentas expostas na web
- Escritor de E-mail Profissional – IA pra e-mail sem a superfície de ataque
- Arquiteto de Prompts de Sistema – Construa fluxos de IA seguros e isolados
Ou veja todas as skills de segurança pra mais ferramentas.