Na terça-feira, Jensen Huang subiu ao palco da Morgan Stanley TMT Conference e disse algo notável.

“O OpenClaw é provavelmente o lançamento individual de software mais importante, provavelmente de sempre. Se olharmos para a adoção, o Linux levou cerca de 30 anos para atingir este nível. O OpenClaw, em três semanas, já ultrapassou o Linux.”

Descreveu a curva de adoção como “a pique” e “vertical,” mesmo numa escala logarítmica. Falou de agentes que leem manuais de ferramentas em tempo real, conduzem investigação de forma autónoma, iteram código sem supervisão humana e operam de forma persistente em segundo plano. Delineou um mundo onde todas as empresas de software se tornam “empresas agênticas.”

Não estava errado em nada disto.

Mas entre a ovação de pé e um agente funcional, existe uma lacuna de que ninguém no palco falou. Dezenas de milhares de pessoas já caíram nela.

O que Jensen disse

A tese de Huang é direta e é boa para a NVIDIA. Prompts de IA convencionais produzem uma única resposta. Tarefas agênticas utilizam cerca de 1.000 vezes mais tokens. Agentes persistentes em segundo plano, do tipo que o OpenClaw possibilita, utilizam cerca de 1.000.000 vezes mais tokens. Trata-se de um “vácuo computacional” estrutural que significa que a procura por GPUs vai exceder a oferta durante anos.

Ele tem razão. Os agentes OpenClaw não são chatbots de resposta única. Funcionam em ciclo. Observam, raciocinam, agem, observam novamente. Um único prompt de utilizador pode desencadear centenas de chamadas ao LLM. Multiplique isso por milhões de agentes a funcionar 24/7 e obtém o tipo de procura computacional que deixa um CEO da NVIDIA muito satisfeito.

Também sustentou os números de adoção com factos. O OpenClaw atingiu 250.000 estrelas no GitHub em quatro meses, ultrapassando o React para se tornar o projeto de software com mais estrelas no GitHub. Alcançou 190.000 estrelas nos primeiros 14 dias, o repositório com crescimento mais rápido na história da plataforma.

Esses números são reais. A procura é real. A tecnologia funciona.

Mas velocidade de adoção e prontidão para produção não são a mesma coisa.

A parte que ninguém mencionou

Investigadores de segurança têm acompanhado as consequências. A Bitsight publicou um relatório sobre instâncias OpenClaw expostas documentando dezenas de milhares abertas na internet pública, a maioria com autenticação fraca ou inexistente. Qualquer pessoa podia aceder ao agente, às contas ligadas, às chaves de API e ao acesso total à shell.

Não se trata de um punhado de servidores mal configurados. É um padrão sistémico.

Na mesma semana, investigadores catalogaram mais de 800 skills maliciosas no ClawHub, o marketplace oficial de skills. Isto representava cerca de 20% de todo o registo na altura. Algumas dessas skills exfiltravam chaves de API. Outras estabeleciam reverse shells. Pelo menos uma injetava-se no prompt de sistema do agente para persistir entre reinícios.

E no início de fevereiro, investigadores divulgaram seis novas vulnerabilidades em rápida sucessão, incluindo a CVE-2026-25253: uma vulnerabilidade de execução remota de código com um clique, com uma pontuação CVSS de 8.8. Se o seu agente clicasse num link manipulado enviado numa mensagem, um atacante ganhava acesso à shell do seu servidor.

Nada disto foi mencionado na conferência do Morgan Stanley. Nem precisava de ser. Huang estava lá para falar de procura computacional, não de segurança operacional. Mas as pessoas que saíram daquela palestra entusiasmadas o suficiente para implementar o seu primeiro agente precisavam de ouvir isto.

Porque é que isto continua a acontecer

O padrão é previsível. O OpenClaw foi concebido para ser fácil de instalar. Siga o quickstart, introduza a sua chave de API e um token de canal, e tem um agente funcional em minutos. O problema é que “funcional” e “seguro” exigem níveis de esforço diferentes.

O OpenClaw é distribuído com configurações de autenticação fracas. Trata-se de uma escolha de design que otimiza para a experiência do primeiro uso à custa da segurança. Quando alguém segue o guia de quickstart num VPS, obtém um agente funcional com uma interface web aberta, uma API aberta e acesso à shell do host. Nada no fluxo predefinido lhe diz para ativar autenticação, configurar TLS ou restringir o acesso de rede.

Adicione automação de navegador e a superfície de ataque cresce. O Chromium necessita de memória partilhada, configuração de sandbox e RAM suficiente para evitar OOM kills. A maioria dos guias para VPS omite estes detalhes. O resultado: agentes que falham silenciosamente, reiniciam num estado degradado e acumulam processos órfãos.

Depois há as responsabilidades contínuas. Atualizar quando surgem CVEs. Monitorizar ciclos de API descontrolados que consomem centenas de dólares durante a noite. Fazer backup do diretório de workspace que contém a memória e a configuração do agente. Auditar skills antes de as instalar.

Jensen Huang descreveu um mundo onde os agentes “leem o manual da ferramenta” e resolvem as coisas de forma autónoma. Isso é preciso para o agente. Não é preciso para a pessoa responsável por manter o agente ativo, atualizado e seguro.

O vácuo computacional é real, mas o vácuo operacional também

O enquadramento de Huang sobre o “vácuo computacional” é útil. Eis o corolário que ele não mencionou: existe também um vácuo operacional.

Cada um desses milhões de agentes precisa de infraestrutura. Não apenas um servidor, mas terminação TLS, autenticação, isolamento de rede, atualizações automáticas, monitorização de saúde, controlo de custos e sistemas de backup. Isso é um trabalho a tempo inteiro para um único agente. Para uma organização que opera cinco ou dez, é uma equipa.

A ironia é que as pessoas mais entusiasmadas com o OpenClaw depois do discurso de Jensen são as menos propensas a ter essa infraestrutura. Ouviram “o software mais importante de sempre” e foram diretamente para o guia de quickstart em VPS. Algumas delas fazem agora parte daquele número de instâncias expostas.

O que nós construímos em vez disso

Nós operamos agentes OpenClaw profissionalmente. Cada agente implementado através do OpenClaw.rocks funciona na nossa infraestrutura Kubernetes com o operador open-source que construímos especificamente para este problema.

Cada agente recebe:

  • Autenticação por defeito. Autenticação de gateway com cookies assinados, zero portas expostas. Não existe opção “desativar autenticação” porque não deveria existir.
  • Isolamento de rede. Cada agente corre no seu próprio namespace com egress negado por defeito. Sem movimento lateral, sem acesso a outros tenants.
  • Patches de segurança automáticos. Quando surge um CVE, aplicamos a atualização a todos os agentes. Não precisa de puxar uma nova imagem, testá-la, reiniciar o contentor e esperar que nada se parta.
  • Limites de recursos e controlo de custos. QoS garantido com limites de CPU e memória. Sem ciclos descontrolados a drenar o seu orçamento de API às 3 da manhã.
  • Monitorização de saúde. Probes de liveness e readiness. Se um agente falha, reinicia automaticamente. Fica a saber através de uma página de estado, não através do silêncio.
  • Automação de navegador que funciona. O Chromium corre como sidecar dedicado com a sua própria alocação de recursos, memória partilhada adequada e gestão de ciclo de vida. Sem OOM kills, sem processos órfãos, sem conflitos de snap.

Jensen Huang tem razão quando diz que o OpenClaw é software transformador. Tem razão que todas as empresas vão querer agentes de IA. Tem razão que a procura por computação vai ser enorme.

Mas a computação é a parte fácil. A NVIDIA venderá as GPUs. A parte difícil é tudo o que está entre a GPU e um agente funcional, seguro e fiável que não exponha as suas chaves de API à internet.

É essa a parte de que nós tratamos.

Obtenha o seu

Se Jensen Huang o convenceu de que precisa de um agente OpenClaw, ele tinha razão. Se está prestes a lançar um VPS de 5 dólares para correr um, pare.

Obtenha um agente gerido que é seguro por defeito, atualizado automaticamente e a correr em infraestrutura construída especificamente para isto. O seu agente deveria estar a ler manuais de ferramentas e a trabalhar para si, não exposto numa porta aberta à espera que alguém o encontre.