vinny neves
voltar

openclaw: como um brinquedo de fim de semana virou guerra entre big techs em 4 meses

18 min de leitura
ilustração estilo cartoon mostrando uma lagosta em chamas (mascote do openclaw, molty) encarando um shih tzu surpreso, num data center cheio de telas com avisos vermelhos de erro em japonês — sob o título OPENCLAW e a legenda 'testando em produção'

essa semana saiu o episódio do hipsters sobre openclaw. fiquei curioso pra testar como o projeto tá hoje e dividir o que achei — e quando comecei a puxar o fio da história, percebi que era muito maior do que parecia.

não é “mais um agente”. é um caso raro de open-source que mudou a régua do que dá pra fazer com agente pessoal e, no meio do caminho, levou três big techs pra trincheira ao mesmo tempo.

vou contar a história com fontes pra você poder cavar mais fundo onde quiser, e no fim te mostro como rodar isso de forma isolada e segura na tua máquina, de graça, sem precisar colocar cartão de crédito em lugar nenhum (porque sim, dá pra fazer — e tem motivo bem sério pra você não rodar essa coisa direto no teu sistema sem isolamento).

o começo é uma brincadeira de fim de semana

a parte que ninguém conta direito é que o openclaw começou antes do openclaw existir.

um cara chamado mario zechner — o mesmo do libgdx, framework java de jogos — construiu um agente de código minúsculo chamado pi. quatro ferramentas (read, write, edit, bash), system prompt com menos de 1.000 tokens. era o oposto da moda da época, que era empilhar abstração em cima de abstração. o pi era radicalmente burro de propósito: deixa o modelo ser inteligente o suficiente pra saber o que fazer, não enche ele de regra. a frase que o mario usou pra explicar a motivação foi que o claude code, que ele usava todo dia, tinha virado “uma espaçonave com 80% de funcionalidades que eu não uso”. o armin ronacher escreveu um post excelente sobre isso na época em que o projeto explodiu.

o peter steinberger pegou esse pi. peter é o cara que fundou a pspdfkit, vendida por cerca de €100 milhões. depois disso ele se aposentou e voltou em 2024 “pra brincar com ia”.

novembro de 2025. ele liga o pi num gateway de mensagens. um sábado. uma hora de trabalho. o agente passa a responder no telegram, no whatsapp, no discord, no signal. nasce o clawdbot — nome em homenagem direta ao claude. ele postou achando que ia render uma piadinha entre amigos.

48 horas depois, virou o repositório que mais cresceu na história do github

ninguém esperava. nem ele.

100 mil stars em menos de 48 horas no pico. o projeto seguiu subindo até ultrapassar 247 mil stars em 2 de março. algumas fontes apontam que ele superou inclusive o react em número de stars. o cara tinha um brinquedo nas mãos e, do nada, virou maintainer de infraestrutura crítica pra um monte de gente.

por que pegou? porque resolveu uma coisa que todo mundo queria mas ninguém tinha feito direito: agente pessoal no canal que você já usa, controlado por você, executando coisa de verdade na sua máquina. não era mais um chat. era um colega artificial que morava no seu celular via app de mensagem.

o clawdbot não fazia nada de revolucionário tecnicamente. ele só plugou três coisas que já existiam: o pi como motor, um gateway de mensagens, e skills (arquivos SKILL.md carregados sob demanda — exatamente o paradigma que o claude code popularizou). mas a soma virou outro produto.

a anthropic bate na porta

27 de janeiro de 2026. anthropic manda um aviso de trademark. “clawd” é foneticamente idêntico a “claude”. não dá pra deixar passar — se eles não defendem a marca agora, perdem capacidade de defender contra bad actors depois. legalmente faz sentido.

o steinberger renomeou pra moltbot — referência ao processo de muda das lagostas, que virou a metáfora oficial do projeto (o mascote é uma lagosta chamada molty).

e aí começa a parte de comédia de erros. ele tentou renomear o github org e o handle do x ao mesmo tempo. pra pegar o handle novo, precisa soltar o antigo. na janela de aproximadamente 10 segundos entre soltar @clawdbot e pegar @moltbot, golpistas de crypto que estavam monitorando agarraram os dois handles antigos. minutos depois, um token fake $CLAWD foi lançado na solana. chegou a 16 milhões de dólares de market cap antes do peter conseguir negar publicamente. quando ele postou “I will never do a coin”, o token despencou 90% e os traders ainda foram pra cima dele com ameaças.

três dias depois (30 de janeiro), ele acha que “moltbot” não soa bem. troca de novo. e dessa vez, antes de anunciar, liga pro sam altman pra perguntar se “open” no nome tá ok. tava. nasce o openclaw. esse detalhe ele conta no podcast do lex fridman e faz mais sentido depois — vou voltar nele.

três nomes em menos de uma semana. essa é a velocidade que o projeto rodou.

a parte que dá medo

22 de fevereiro de 2026. summer yue, diretora de alignment do meta superintelligence labs (sim, alignment, a área cuja função é justamente garantir que ia se comporte), conta no x que conectou o openclaw ao gmail dela pra ajudar a triagem.

ela tinha testado num inbox menor antes e tinha funcionado bem. então confiou. ligou no inbox real, com mais de 200 emails.

o agente entrou num loop deletando tudo. ela tentou parar pelo celular: “do not do that”, “stop don’t do anything”, “STOP OPENCLAW”. o agente ignorou. ela teve que correr até o mac mini “como se estivesse desativando uma bomba” pra matar o processo manualmente. o post dela viralizou e teve quase 9 milhões de visualizações.

o detalhe técnico é o mais importante: a causa não foi um bug aleatório. foi context compaction. quando o context window encheu (porque o inbox era grande), o agente comprimiu o histórico pra continuar funcionando — e no processo, perdeu a instrução original que dizia “não faça nada sem aprovação”. depois, quando ela perguntou se ele lembrava da instrução, ele respondeu: “yes, I remember. and I violated it. you’re right to be upset.”

o caso fez tanto barulho que o meta, google, microsoft e amazon baniram o openclaw em dispositivos corporativos. em março, o governo chinês restringiu agências estatais. uma análise da kaspersky achou vulnerabilidades críticas que expunham api keys e tokens oauth.

e em 18 a 21 de março, 9 CVEs caíram em 4 dias, um deles cvss 9.9 (privilege escalation: qualquer usuário autenticado virava admin pedindo educadamente). com 135 mil instâncias expostas na internet pública nesse momento. um dos próprios mantenedores do projeto, conhecido como shadow, escreveu no discord — e isso é literal, não paráfrase: “if you can’t understand how to run a command line, this is far too dangerous of a project for you to use safely.”

leia de novo. o mantenedor.

a virada: peter vai pra openai

14 de fevereiro de 2026. peter anuncia que vai pra openai liderar a “próxima geração de agentes pessoais”. o openclaw é movido pra uma fundação open-source com apoio da openai. peter sai do dia a dia.

ele explicou que não queria construir outra empresa do zero — já tinha feito isso por 13 anos com a pspdfkit. queria continuar codando, e a openai oferecia infraestrutura pro projeto continuar vivo. agora faz sentido a ligação pro sam altman antes de adotar “openclaw” como nome: ele já sabia onde ia parar.

abril: a anthropic responde

4 de abril de 2026, meio-dia hora do pacífico. quase exatamente dois meses depois do peter ir pra openai, a anthropic muda os termos: assinantes pro e max não podem mais usar planos flat-rate com frameworks de agente terceiros. quem quiser continuar usando claude via openclaw passa pra pay-as-you-go. custo até 50x maior pra usuários pesados.

o anúncio veio pelo boris cherny, head do claude code, com menos de 24 horas de aviso. steinberger e o investidor dave morin tentaram negociar e conseguiram só uma semana de adiamento. estimativas da comunidade apontavam que cerca de 60% das sessões ativas do openclaw rodavam em cima de claude subscription. todas elas, do dia pra noite, viraram pay-as-you-go.

steinberger postou: “first they copy some popular features into their closed harness, then they lock out open source.” a anthropic argumenta que um único agente openclaw rodando o dia inteiro consome o equivalente a entre 1.000 e 5.000 dólares em api por dia, e o flat-rate de 200 dólares/mês simplesmente não fecha conta. a anthropic tem razão técnica. o steinberger tem razão sobre o timing. e os dois têm interesse comercial.

como isso mudou o jogo

esse é o ponto que não cabe num linkedin de “5 lições do openclaw”:

antes do openclaw, agente pessoal era uma feature dentro do app de alguma big tech. você falava com o claude na claude.ai, com o chatgpt no app deles. o agente vivia no quintal do dono.

depois do openclaw, agente pessoal é uma stack. você escolhe o canal (telegram, slack, whatsapp, signal), escolhe o modelo (claude, gpt, deepseek, ollama local), escolhe as skills, escolhe onde roda. virou commodity. a fundação tem rfc público, milhares de contribuidores, e uma indústria inteira de derivados (nanoclaw, ironclaw, picoclaw, zeroclaw — a galera virou meme com o sufixo “claw”).

o segundo efeito é o que mais me chama atenção: o openclaw provou que o paradigma de skills é o caminho. arquivos markdown carregados sob demanda, com instrução específica pra um tipo de tarefa. é o mesmo paradigma do claude code, e a galera tá replicando em todo lugar agora. não é coincidência — é o desenho que melhor lida com janela de contexto que degrada (que é, ironicamente, a mesma coisa que detonou a summer yue).

o terceiro efeito é o desconfortável: o openclaw expôs que dar ferramenta de verdade pra agente autônomo é dar arma carregada. a indústria inteira tava brincando de “look at this magic” sem encarar a parte de segurança. depois do caso meta, dos 9 cves em 4 dias, das big techs banindo, da china restringindo, ninguém mais consegue fingir que isso é detalhe. virou primeira pergunta.

e o quarto efeito, que é meio invisível mas importa: forçou anthropic, openai e google a pensarem em política de uso pra agentes terceiros de verdade. o que antes era “tudo bem, é open-source, divirta-se” virou “espera aí, qual o seu commitment de auditoria, log, rate limit, sandbox?”. o bloqueio da anthropic é a primeira manifestação concreta disso.

ele não inventou nenhuma dessas perguntas. mas obrigou todo mundo a respondê-las em público, em quatro meses.

tutorial: rodando openclaw

agora a parte prática. e antes de qualquer coisa, não roda isso direto no teu sistema, sem isolamento. sério. relê o caso da summer yue. e ela é diretora de alignment do meta. o agente dela tinha acesso direto ao gmail rodando no host — e quando o context compaction comeu a instrução original, não tinha barreira nenhuma entre o agente e os emails de verdade.

a saída original que eu ia te recomendar era cloud free tier. spoiler: não rolou.

primeira tentativa foi github codespaces. funciona, mas a máquina free de 2-core trava feio quando você liga modelo + plugin do telegram + tavily tudo junto. o openclaw é mais faminto do que o tamanho do binário sugere.

fui pro gitpod procurar mais 2 cores e mais ram. surpresa: o gitpod foi descontinuado em 15 de outubro de 2025 e virou “ona”, uma plataforma orientada a agente de ia com $10 de crédito grátis (que duram uns 2 dias) e hoje pede cartão pra criar workspace.

a real é que rodar agente persistente grátis na cloud sem cartão deixou de ser viável em 2026. o caminho que sobrou — e que pra esse caso de uso específico (testar) é até melhor — é docker local. máquina tua, container isolado.

por que docker local resolve:

honestidade: container docker não é tão isolado quanto vm de verdade. existe categoria de ataque chamada container escape. é raro, mas existe. pra esse caso de uso (você rodando o agente uma tarde, com api keys controladas e com hard limit), é isolamento mais que suficiente — e bem mais que rodar nativamente, que era o cenário da summer yue.

bora. uns 15 minutos de setup do zero.

passo 1: docker desktop instalado

se ainda não tem, baixa em docker.com/products/docker-desktop. mac, windows ou linux. abre o app e deixa rodando. o resto do tutorial assume que docker --version no terminal te devolve algo.

passo 2: as três chaves que você vai precisar

antes de subir o container, deixa três coisas prontas pra colar:

a chave do modelo (openai) — platform.openai.com → api keys → “create new secret key”, nome openclaw-test. importantíssimo: vai em settings → billing → limits e seta um hard limit de 5 ou 10 dólares. soft limit só te avisa, hard limit corta a request. se o agente surtar à noite, o estrago é contido em 5 dólares. a lista é grande, eu usei essa pq eu tinha lá uns créditos pra brincar.

a chave de busca (tavily) — tavily.com → “Get API Key”. 1.000 buscas/mês grátis, sem cartão. a chave começa com tvly-, copia e guarda.

o token do bot do telegram — abre o @BotFather no próprio telegram, manda /newbot, ele pergunta o nome (qualquer um), depois o username (precisa terminar em bot, tipo meu_openclaw_test_bot). ele cospe um token gigante tipo 7891234567:AAH.... esse token é o que dá controle total do bot — trata como senha.

guarda isso de forma segura, você vai precisar disso tudo daqui a pouco.

passo 3: sobe o container

no terminal da tua máquina:

docker run -it --rm \
  --name openclaw-test \
  node:22-bookworm bash

quebrando o comando: -it deixa o container interativo, --rm destrói o container automaticamente quando você sair (a flag mais importante desse tutorial), --name dá um nome legível, e node:22-bookworm é uma imagem oficial do node em cima de debian, leve e suficiente.

você vai cair num shell de root dentro do container. de dentro dele, nada da tua máquina é visível — nem teu home, nem tuas chaves ssh, nem teu chrome, nem rede local. é praticamente uma máquina nova.

passo 4: instala o openclaw dentro do container

ainda no shell do container:

npm install -g openclaw@latest
openclaw onboard

o onboard é um wizard interativo. ele vai mostrar primeiro uma tela de security disclaimer dizendo coisas como “openclaw is a hobby project and still in beta. expect sharp edges” e “if you’re not comfortable with security hardening and access control, don’t run openclaw”. é o próprio mantenedor te avisando, e isso vai voltar a importar daqui a pouco. lê e segue.

depois ele vai perguntar, na ordem:

ele vai salvar tudo em ~/.openclaw/openclaw.json e oferecer abrir a TUI. abre. essa primeira sessão é o “bootstrap” do agente — ele te pergunta como quer chamar ele, qual personalidade. eu chamei o meu de Friday e pedi pra ele agir tipo o JARVIS do iron man. divirta-se aqui.

passo 5: pega teu user_id do telegram e configura allowlist

aqui vem a parte que me custou uns 30 minutos debugando: o openclaw separa dois processos. a TUI que abriu no fim do onboard é só a interface de chat local — ela roda em modo “embedded”, sem ouvir canal nenhum. quem efetivamente conecta no telegram é o gateway, que é um processo separado que precisa subir à parte. eu fiquei mandando mensagem pro bot achando que ele tava ouvindo, e ele tava mudo porque o gateway nunca tinha subido.

e por padrão, o canal do telegram vem com dmPolicy: pairing — qualquer pessoa que descobrir o bot precisa pedir um código pra você aprovar antes de conversar. é uma defesa contra os 135k bots openclaw expostos sem auth na internet pública. boa segurança pra produção, dor pra teste pessoal.

a saída que o próprio onboard sugere é trocar pra allowlist: só teu user_id pode mandar mensagem.

primeiro, pega teu user_id. abre o telegram e manda qualquer mensagem pro @userinfobot (esse é o bot oficial). ele te responde com algo tipo:

👤 User Info
Id: 123456789
First name: Vinny

esse Id é o que você precisa.

agora, num segundo terminal (não fecha o primeiro nem o container), entra no mesmo container:

docker exec -it openclaw-test bash

e configura:

openclaw config set channels.telegram.dmPolicy "allowlist"
openclaw config set channels.telegram.allowFrom '["TEU_USER_ID"]'

(troca TEU_USER_ID pelo número que o userinfobot te deu, sem aspas individuais — o exemplo acima é JSON array com aspas só nas externas).

passo 6: sobe o gateway e testa

de volta ao primeiro terminal (mata a TUI com Ctrl+C se ela ainda estiver aberta), e roda:

openclaw gateway

o comando se chama gateway, não start. ele sobe em ws://127.0.0.1:18789 e começa a fazer polling no telegram. deixa esse terminal vivo.

confere a saúde do setup no segundo terminal:

openclaw status

isso te mostra um overview com gateway, channels, sessions, e — importante — uma seção Security audit que lista warnings de configuração. dá uma lida. provavelmente vai aparecer algo sobre allowInsecureAuth e proxy headers — pra teste local em container efêmero, dá pra ignorar, mas é bom saber que o próprio openclaw tá te apontando o que tá frouxo.

agora a hora da verdade: abre o telegram, procura pelo username do bot que você criou no botfather, manda /start e depois um oi.

ele responde. você tem um agente pessoal rodando isolado num container, escutando teu telegram, sem cartão de crédito em lugar nenhum.

uma observação que me pegou: a TUI do onboard, antes do gateway subir, funciona pra conversar com o agente localmente — então você acha que tá tudo certo. mas o telegram fica mudo até o openclaw gateway rodar. é o tipo de pegadinha que separa quem entende a arquitetura de quem só seguiu tutorial.

passo 7: o que NÃO fazer (importante)

isso aqui não é firula. lê o caso da summer yue de novo.

passo 8: brincou? deleta tudo (e revoga as chaves)

isso é o pulo do gato — e onde a maioria dos tutoriais falha.

primeiro, mata o gateway com Ctrl+C no terminal 1, sai dos dois terminais com exit. como você subiu o container com --rm, ele se destrói sozinho quando o último shell sai. todo o estado, todas as skills baixadas, o secrets.env — tudo vai pro lixo. confirma rodando docker ps -a na tua máquina: o openclaw-test não tá mais lá.

mas as chaves continuam vivas nos servidores da openai, da tavily e do telegram. essa parte todo mundo esquece. um container destruído dá uma falsa sensação de “limpei tudo”, mas as chaves continuam funcionando até você ir lá e revogar uma a uma:

custo total: zero

dá pra fazer completamente de graça trocando openai por modelo local via ollama na própria máquina (sem nem precisar dos 5 dólares). mas aí o tutorial vira outro — fica pra próxima edição se a galera pedir.

a história do openclaw é uma daquelas que daqui a uns anos vão estudar como “o momento em que agente pessoal saiu da big tech e virou stack aberta”. e como toda revolução, veio meio embolada, com gente machucada pelo caminho, três trocas de nome, golpe de crypto, treta entre fundador-investidora-fundação, e um mantenedor pedindo na cara que você não use o produto se não souber o que tá fazendo.

mas a régua mudou. e quando a régua muda, vale a pena entender por dentro — mesmo que sua conclusão depois seja “isso ainda não tá maduro o suficiente pra eu confiar em produção”.

essa é a graça de testar em produção: você decide o que vale a pena depois, não antes.

compartilhar este post:
compartilhar este post no WhatsApp compartilhar este post no LinkedIn compartilhar este post no X compartilhar este post no Facebook compartilhar este post no Telegram compartilhar este post por email

testando em produção

newsletter ocasional sobre claude code, dev assistido por ia e a vida de quem ensina código. hospedada no linkedin — você se inscreve lá e recebe direto no feed e no email.

inscrever no linkedin
post anterior
acho que sempre fomos engenheiros
próximo post
MCP tá onde o npm tava em 2014. e isso não é elogio.