Uma Auditoria de Segurança Baseada em Trajetória do Clawdbot (OpenClaw)
A Trajectory-Based Safety Audit of Clawdbot (OpenClaw)
February 16, 2026
Autores: Tianyu Chen, Dongrui Liu, Xia Hu, Jingyi Yu, Wenjie Wang
cs.AI
Resumo
O Clawdbot é um agente de IA pessoal e auto-hospedado que utiliza ferramentas, com um amplo espaço de ação abrangendo execução local e fluxos de trabalho mediados pela web, o que levanta preocupações elevadas de segurança e proteção sob ambiguidade e direcionamento adversário. Apresentamos uma avaliação centrada em trajetórias do Clawdbot em seis dimensões de risco. Nossa suíte de testes amostra e adapta levemente cenários de benchmarks anteriores de segurança de agentes (incluindo ATBench e LPS-Bench) e os complementa com casos desenvolvidos manualmente, adaptados à superfície de ferramentas do Clawdbot. Registramos trajetórias completas de interação (mensagens, ações, argumentos/saídas de chamadas de ferramentas) e avaliamos a segurança usando tanto um juiz de trajetória automatizado (AgentDoG-Qwen3-4B) quanto revisão humana. Em 34 casos canônicos, encontramos um perfil de segurança não uniforme: o desempenho é geralmente consistente em tarefas focadas em confiabilidade, enquanto a maioria das falhas ocorre sob intenção subespecificada, metas abertas ou prompts de jailbreak aparentemente benignos, onde pequenas interpretações equivocadas podem escalar para ações de ferramenta de maior impacto. Complementamos os resultados gerais com estudos de caso representativos e resumimos as commonalidades desses casos, analisando as vulnerabilidades de segurança e os modos de falha típicos que o Clawdbot tende a desencadear na prática.
English
Clawdbot is a self-hosted, tool-using personal AI agent with a broad action space spanning local execution and web-mediated workflows, which raises heightened safety and security concerns under ambiguity and adversarial steering. We present a trajectory-centric evaluation of Clawdbot across six risk dimensions. Our test suite samples and lightly adapts scenarios from prior agent-safety benchmarks (including ATBench and LPS-Bench) and supplements them with hand-designed cases tailored to Clawdbot's tool surface. We log complete interaction trajectories (messages, actions, tool-call arguments/outputs) and assess safety using both an automated trajectory judge (AgentDoG-Qwen3-4B) and human review. Across 34 canonical cases, we find a non-uniform safety profile: performance is generally consistent on reliability-focused tasks, while most failures arise under underspecified intent, open-ended goals, or benign-seeming jailbreak prompts, where minor misinterpretations can escalate into higher-impact tool actions. We supplemented the overall results with representative case studies and summarized the commonalities of these cases, analyzing the security vulnerabilities and typical failure modes that Clawdbot is prone to trigger in practice.