← Voltar para a página inicial
APROVADO — Código Limpo e Seguro

Auditoria de Segurança

Relatório completo da análise do código-fonte do OpenClaw

1 de fevereiro de 2026

Realizamos uma auditoria completa no código-fonte do OpenClaw (2.500+ arquivos TypeScript) para garantir que não existe código malicioso, telemetria oculta ou vazamento de dados. Abaixo estão os resultados detalhados.

🔍Dependências (npm packages)

Limpo
  • Todas as dependências são pacotes conhecidos e legítimos
  • AWS SDK, Baileys (WhatsApp), Grammy (Telegram), Playwright, Express, etc.
  • Zero pacotes suspeitos ou com nomes ofuscados
  • Postinstall script apenas aplica patches e configura git hooks — zero comunicação de rede

🌐URLs e Comunicação Externa

Limpo
  • Apenas URLs de APIs oficiais: OpenAI, Anthropic, Google, etc.
  • Documentação própria: docs.openclaw.ai
  • Repositório: github.com/openclaw/openclaw
  • Zero domínios suspeitos ou IPs hardcoded (apenas localhost/127.0.0.1)

📊Telemetria e Tracking

Zero Telemetria
  • Nenhum código de analytics, tracking ou fingerprinting encontrado
  • Nenhum beacon, phone-home ou envio de dados de uso
  • Nenhum Google Analytics, Mixpanel, Segment ou similar
  • Suas conversas ficam exclusivamente na sua instância

🔑Credenciais e Tokens

Limpo
  • Nenhum vazamento de API keys, tokens ou senhas para terceiros
  • Sistema de autenticação bem estruturado com profiles isolados
  • Credenciais de canais (WhatsApp, Telegram) armazenadas apenas localmente

🕵️Código Obfuscado

Zero Obfuscação
  • Nenhum padrão de obfuscação JavaScript (_0x, packed, encoded)
  • Nenhum arquivo .min.js ou .bundle.js no source
  • Nenhuma string encoded em hex/unicode escapes
  • Nenhuma concatenação de strings para esconder URLs ou domínios
  • Todo o código é legível e transparente

⚙️Scripts e Hooks

Limpo
  • Git hooks: apenas formatação e lint de código
  • Postinstall: aplica patches de dependência + shell completion
  • Extensions: BlueBubbles e Mattermost — código limpo
  • Vendor: apenas especificação A2UI (sem código executável suspeito)

⚠️Pontos de Atenção

Baixo Risco
  • eval() e new Function() usados em src/browser/ para automação via Playwright
  • Uso legítimo e necessário para executar JavaScript no contexto do browser
  • Sem impacto na segurança dos dados do usuário
  • Padrão da indústria para ferramentas de automação web

Metodologia

  1. 01Grep por URLs hardcoded, fetch(), axios, http.request em 2.500+ arquivos
  2. 02Busca por domínios e IPs não-reconhecidos
  3. 03Análise de todas as dependências do package.json
  4. 04Busca por telemetria, analytics, tracking, beacon, phone-home
  5. 05Verificação de vazamento de credenciais para serviços externos
  6. 06Análise de scripts, git-hooks, extensions e plugins
  7. 07Busca por eval(), Function(), child_process.exec com input não-sanitizado
  8. 08Detecção de código obfuscado: hex escapes, unicode, base64, _0x patterns, minificação
  9. 09Verificação de postinstall scripts (vetor de supply chain attack)
  10. 10Análise de linhas longas (>500 caracteres) para código compactado

Conclusão

O OpenClaw é um projeto open-source legítimo e seguro. Não contém backdoors, keyloggers, exfiltração de dados ou telemetria oculta. A reputação de "inseguro" vem exclusivamente de instalações self-hosted mal configuradas (portas expostas, sem autenticação), não do código em si.

Nossa Hospedagem Adiciona

🛡️Container isolado por cliente
🛡️Firewall dedicado
🛡️Autenticação obrigatória via token
🛡️Acesso exclusivo via HTTPS
🛡️Sem portas expostas
🛡️Dados deletáveis a qualquer momento

OpenClaw is open-source: github.com/openclaw/openclaw