Os agentes de programação com IA estão a ganhar um problema de plugins. Agentes como o Claude Code, o OpenAI Codex e o OpenClaw carregam skills - pequenos complementos que lhes dão novas capacidades. Uma nova investigação, relatada pelo The Hacker News, mostra que essas skills conseguem contrabandear malware para além dos scanners de segurança, e skills realmente maliciosas já surgiram num marketplace de agentes. Eis o que está a acontecer e como manter-se seguro. Para o tema mais amplo, veja o nosso guia de segurança de agentes de IA.
O que é uma "skill" de agente
Uma skill é um pequeno pacote, normalmente um ficheiro de instruções em Markdown mais alguns scripts, que um agente carrega para adquirir uma nova capacidade. É o modelo de plugins para agentes de programação com IA.
O senão: uma skill pode incluir scripts com amplo acesso ao seu sistema local. Por isso, um marketplace de skills - como o ClawHub, a loja do agente OpenClaw - torna-se uma cadeia de fornecimento de software. E as cadeias de fornecimento são precisamente onde os atacantes gostam de se esconder.
Como o SkillCloak esconde malware
Segundo a investigação relatada pelo The Hacker News, o SkillCloak é um framework de evasão que preserva o payload. Mantém intacto o comportamento de uma skill maliciosa enquanto altera a forma como esta aparece a um scanner. Usa dois métodos:
- Ofuscação estrutural. Reescrever as strings reveladoras nas quais um scanner se baseia - por exemplo, trocar um carácter por outro semelhante de um alfabeto diferente, ou dividir um comando assinalado numa quebra de linha. O código continua a correr; o padrão já não corresponde.
- Empacotamento auto-extraível. Mover todo o payload para um sítio que o scanner ignora, como uma diretoria
.git/, por trás de um descodificador de aparência inofensiva que reconstrói a skill apenas quando o agente a executa. No momento da instalação, não há nada para ver.

Os números não são tranquilizadores
Segundo a investigação, a equipa testou estes métodos ao longo de oito scanners e 1613 skills maliciosas do mundo real. Os resultados:
- O empacotamento auto-extraível contornou todos os scanners em mais de 90%.
- A ofuscação estrutural contornou mais de 80% na maioria dos scanners estáticos, e 96% num scanner híbrido.
Por outras palavras, a análise estática das skills não basta por si só. Se um scanner apenas inspeciona os bytes, uma transformação que preserva o payload pode passar por ele sem qualquer obstáculo.
Isto não é só teoria
Skills realmente maliciosas surgiram em circulação. Segundo a análise da Unit 42 da Palo Alto e de outros investigadores de segurança, as skills maliciosas encontradas no marketplace ClawHub enquadravam-se em categorias que incluíam entrega de infostealers para macOS, evasão de scanners através de preenchimento de ficheiros e abuso agêntico para ganho financeiro. O risco de cadeia de fornecimento é real, não hipotético.
Como manter-se seguro
Trate uma skill de agente como qualquer dependência não confiável, porque é isso que ela é:
- Instale apenas a partir de fontes em que confia e prefira skills que consiga ler.
- Leia o que ela faz antes de a executar - os scripts, não apenas a descrição.
- Dê-lhe o menor privilégio: o menor acesso ao sistema e à rede de que necessita.
- Execute-a numa sandbox que limite aquilo a que ela consegue chegar.
- Prefira verificações baseadas no comportamento. Como os scanners estáticos podem ser enganados, observe o que uma skill realmente faz em tempo de execução, não apenas o aspeto do seu código. A mesma investigação aponta a auditoria baseada no comportamento como a resposta mais robusta.
A conclusão honesta
Duas ressalvas. Primeiro, o SkillCloak é investigação, relatada pelo The Hacker News e ligada a descobertas reais em marketplaces - uma fraqueza demonstrada, não uma alegação de comprometimento em massa. Segundo, a solução é conhecida: menor privilégio, sandboxing e deteção baseada no comportamento. Nada disto é exótico; é higiene padrão de cadeia de fornecimento aplicada a um novo lugar.
A leitura honesta: as skills de agentes de IA são poderosas porque executam código real, e perigosas exatamente pela mesma razão. À medida que os agentes carregam mais skills de terceiros, o marketplace torna-se um alvo, e a análise estática por si só não aguentará. Trate as skills como dependências, coloque-as numa sandbox e observe o comportamento. Para escolher ferramentas confiáveis desde o início, a nossa visão geral dos melhores LLMs de programação 2026 ajuda.



