A ferramenta de agentes de IA open source OpenClaw foi lançada a 8 de abril de 2026, na versão 2026.4.7, trazendo importantes atualizações de funcionalidades, como a expansão das capacidades de raciocínio, a geração de multimédia entre fornecedores e a recuperação de uma base de conhecimento de memória. No entanto, no mesmo período, a empresa de investigação de cibersegurança Blink revelou uma vulnerabilidade crítica com gravidade até 9.8/10, tendo cerca de 63% das instâncias ligadas do OpenClaw sido executadas sem qualquer autenticação.
Principais novas funcionalidades da versão 2026.4.7
Esta atualização de versão abrange quatro módulos centrais: raciocínio, geração de multimédia, memória e automatização.
Principais funcionalidades novas e melhorias
Funcionalidade de raciocínio do OpenClaw: como um centro nevrálgico de fluxos de raciocínios unificados, suporta raciocínio orientado por fornecedores que abrange tarefas de modelos, multimédia, redes e embeddings.
Geração de multimédia com comutação automática: por predefinição, suporta comutação automática de falhas entre fornecedores autenticados para imagens, música e vídeo; ao alternar fornecedores, mantém a intenção original da geração, mapeando automaticamente dimensões, proporção de aspeto, resolução e duração para as opções suportadas mais próximas, e adiciona suporte para vídeo para vídeo (Video-to-Video) com perceção de modo.
Recuperação da base de conhecimento de memória (Memory/Wiki): reconstrói a stack técnica da base de conhecimento de memória integrada, incluindo plugins, ferramentas de linha de comandos, aplicações de ferramentas de consulta síncrona, bem como funções de recuperação por resumo compilado e campos estruturados de declarações e de evidências.
Plugin de entrada (inbound) Webhook: adiciona um plugin de entrada Webhook integrado, suportando que sistemas de automatização externos partilhem endpoints de chaves numa base independente através de rotas, para estabelecer e conduzir fluxos de tarefas vinculadas.
Suporte a novos modelos: Arcee, Gemma 4 e modelos visuais do Ollama são oficialmente incluídos na lista de suporte.
Vulnerabilidade crítica CVE-2026-33579: sexta vez em seis semanas, defeito de conceção sem correção
Os investigadores da Blink revelaram que o mecanismo de funcionamento da CVE-2026-33579 é claro e com consequências graves: o sistema de emparelhamento do OpenClaw não verifica se a pessoa que faz pedidos de acesso aprovados de forma não verificada, na realidade, detém autorização. Isto significa que um atacante com permissões básicas de emparelhamento só precisa de pedir privilégios de administrador para aprovar o seu próprio pedido — a porta é destrancada por dentro.
Os dados da investigação da Blink mostram que cerca de 63% das instâncias do OpenClaw ligadas à rede estão a funcionar sem qualquer autenticação; nesses ambientes de implementação, o atacante pode lançar o ataque sem precisar de qualquer conta, e vai escalando gradualmente até ao nível de administrador.
A correção foi publicada a 5 de abril (domingo), mas a lista oficial da CVE só apareceu na terça-feira; esta janela de dois dias permitiu que os atacantes ganhassem vantagem antes de a maioria dos utilizadores se aperceber da necessidade de atualizar.
O problema mais profundo reside no facto de que esta vulnerabilidade é o sexto de vários bugs de emparelhamento divulgados em seis semanas no OpenClaw, todos como diferentes variantes do mesmo defeito de conceção na arquitetura de autorização subjacente. Cada remendo foi aplicado de forma ponto a ponto a uma vulnerabilidade específica, em vez de redesenhar de raiz toda a arquitetura de autorização. Este padrão evidencia um risco estrutural de continuação da ocorrência de vulnerabilidades semelhantes.
Recomendações de utilização: passos de resposta urgente para utilizadores atuais
Os utilizadores que ainda estejam a usar o OpenClaw devem atualizar imediatamente para a versão 2026.3.28. Se, na última semana, foi utilizada uma versão antiga, a Ars Technica e a Blink recomendam que as instâncias em causa sejam tratadas como potencialmente já comprometidas, com uma auditoria completa dos registos de atividades para identificar registos suspeitos de aprovação de dispositivos. O fundador do OpenClaw, Peter Steinberger, tinha já alertado publicamente no GitHub: «Não existe uma configuração com “segurança total”». Como equilibrar conveniência funcional e riscos de segurança é a consideração central com que cada utilizador do OpenClaw precisa de lidar neste momento.
Perguntas frequentes
Quais são as principais funcionalidades novas da versão OpenClaw 2026.4.7?
Esta atualização adiciona capacidades de expansão dos fluxos de raciocínio, suportando raciocínio orientado por fornecedores entre modelos e multimédia; comutação automática de falhas na geração de multimédia (imagens, música, vídeo); recuperação da stack técnica da base de conhecimento de memória integrada; e adição de um plugin de entrada Webhook. Em paralelo, é adicionada também a compatibilidade com modelos visuais da Arcee, Gemma 4 e Ollama.
Porque é que a vulnerabilidade CVE-2026-33579 é tão perigosa?
A vulnerabilidade CVE-2026-33579 tem uma classificação de gravidade de 9.8/10, porque permite que pessoas com o nível mínimo de privilégios aprovem pedidos de elevação dos seus próprios privilégios de administrador, assumindo totalmente o controlo do sistema. Cerca de 63% das instâncias do OpenClaw ligadas à rede não têm qualquer proteção de autenticação; os atacantes não precisam de quaisquer credenciais para lançar o ataque. O atraso de dois dias na divulgação da CVE alarga ainda mais a janela de ataque.
Isto significa que a arquitetura de segurança do OpenClaw tem um problema de raiz?
De acordo com a análise da Blink, a CVE-2026-33579 é a sexta vulnerabilidade relacionada com emparelhamentos que surgiu no OpenClaw ao longo de seis semanas, e todas são variantes diferentes do mesmo defeito de conceção na arquitetura de autorização subjacente. Cada correção foi uma reparação ponto a ponto de falhas específicas, em vez de uma reformulação fundamental de toda a arquitetura de autorização. Os investigadores de cibersegurança manifestaram preocupação com este facto.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
