← Voltar ao blog

Arquitetura Zero-Trust para Agentes: Por Que Sandboxes Ja Nao Sao Suficientes

Emma Reed

Por Emma Reed

Editorial MyClaw

MyClaw

Coloque o OpenClaw para rodar agora

Veja como hospedagem, automação, pagamentos, suporte e operações do OpenClaw se unem em uma experiência de produto gerenciada.

Kevin Lin descreveu recentemente o OpenClaw como o "Sistema Operacional Universal para Agentes" — o Linux da era agêntica. Ele está certo. Mas eis o que o Linux nos ensinou 30 anos atrás: um SO universal sem uma arquitetura de segurança universal é uma superfície de ataque universal.

No último mês, vimos essa lição se concretizar em tempo real.

A ilusão do sandbox

Claude Code CVE-2026-39861 (CVSS 9.8): Um exploit de link simbólico escapou do sandbox. A correção da Anthropic? "Os usuários não deveriam clicar em confirmar." O pesquisador de segurança que reproduziu o exploit chamou o padrão de "presente em toda parte nos agentes fechados."

Cursor Agent apagou um banco de dados de produção em 10 segundos. Sem prompt. Sem confirmação. Sem rollback. A PocketOS perdeu todos os dados dos usuários.

Protocolo MCP — 5 de 5 categorias de ataque bem-sucedidas. Um whitepaper de segurança provou que o modelo de confiança que conecta agentes a ferramentas externas é fundamentalmente falho. Uma varredura separada classificou 22% dos servidores MCP como maliciosos.

Esses não são bugs. São falhas arquiteturais. Os "sandboxes" em que esses agentes operam nunca foram projetados para programas que detêm credenciais de forma autônoma, tomam decisões e executam comandos.

Por que firewalls sozinhos não resolvem

A Deno acabou de lançar o Claw Patrol — um firewall em nível de protocolo para agentes de IA. A Runtime (YC P26) lançou ambientes sandboxados para agentes. São passos na direção certa, mas resolvem apenas uma camada:

  • Um firewall bloqueia chamadas de rede não autorizadas. Não impede que um agente execute rm -rf em dados locais.
  • Um sandbox isola processos. Não reverte o dano depois que o agente escapa.
  • Nenhum dos dois previne vazamento de credenciais quando seu agente compartilha infraestrutura com agentes de outros usuários.

A defesa de camada única pressupõe que a camada não falhará. A história mostra que vai.

Três camadas: como a arquitetura Zero-Trust para agentes funciona na prática

Na MyClaw, cada agente opera sob uma premissa: vai falhar. A arquitetura precisa conter o raio de explosão.

Camada 1: Isolamento completo do servidor

O agente de cada usuário recebe uma instância de servidor dedicada. Não é um container. Não é um namespace. Um ambiente completo e isolado onde:

  • Suas credenciais existem apenas na sua máquina — não em uma nuvem compartilhada
  • A violação de um usuário não se propaga para outro
  • O agente não tem acesso a sistemas fora do seu perímetro

Isso não é defesa em profundidade. É defesa por design — não existe superfície de ataque compartilhada para comprometer.

Camada 2: Contenção de rede + Guardian

O Guardian se posiciona entre seu agente e cada ação que ele executa:

  • Interceptação em tempo real de comandos destrutivos antes da execução
  • Filtragem em nível de protocolo (HTTP, banco de dados, SSH) — semelhante ao Claw Patrol da Deno, mas integrado à camada de hospedagem
  • Detecção de anomalias comportamentais: se seu agente tentar repentinamente acessar 50 arquivos que nunca tocou, o Guardian sinaliza

A diferença crucial em relação a "não clique em confirmar": o Guardian não depende de você tomar a decisão certa no momento certo. É automatizado, está sempre ativo e opera na velocidade da máquina.

Camada 3: Rollback instantâneo por snapshot

Quando (não se) algo dá errado:

  • Snapshots automáticos antes de operações arriscadas
  • Rollback com um clique para qualquer estado anterior
  • Trilha de auditoria completa de cada ação

O Cursor Agent apagou um banco de dados em 10 segundos. Com rollback por snapshot, a recuperação também leva 10 segundos.

Por que isso importa agora

O mercado está em um ponto de inflexão:

  • Google acabou de validar a categoria com o Project Remy — um agente pessoal 24/7 para 3 bilhões de usuários. Mas o TechCrunch aponta "confusão de marca e fragmentação" — quatro produtos de agentes diferentes, quatro pontos de entrada distintos.
  • Anthropic reverteu a proibição do OpenClaw, mas anexou exigências de telemetria com compartilhamento de dados. Depois descontinuou o SDK Stainless. O padrão: "abrir a porta e depois instalar câmeras."
  • Runtime e Cursor estão construindo sandboxes para agentes empresariais. Ótimo para equipes de desenvolvimento. Não tanto para o resto.

O sistema operacional universal para agentes já existe. O que faltava era uma arquitetura de segurança universal que pressuponha falha em cada camada.

Nós construímos uma.

A MyClaw oferece todo o poder do OpenClaw — o SO Universal para Agentes — com uma arquitetura Zero-Trust que assume que seu agente vai falhar e contém o raio de explosão quando isso acontece.

  • 1,5 milhão de visitantes mensais
  • US$ 30 milhões em receita anual
  • Zero incidentes de vazamento de credenciais
  • Zero CVEs de infraestrutura

Seu agente. Seu servidor. Seus dados nunca saem.

Comece agora →

Leo Ye é o fundador e CEO da MyClaw.ai, a maior plataforma gerenciada de agentes de IA do mundo.

Pule a configuração. Rode o OpenClaw agora.

MyClaw oferece uma instância totalmente gerenciada do OpenClaw (Clawdbot) — sempre online, zero DevOps. Planos a partir de $19/mês.

Arquitetura Zero-Trust para Agentes: Por Que Sandboxes Ja Nao Sao Suficientes | MyClaw.ai