Voltar para o Blog
Conceito visual com título OpenClaw LTS em destaque
Tecnologia e IA

OpenClaw se desculpa por releases, planeja core menor e LTS

Após uma semana difícil, o projeto reconhece falhas de release e anuncia mudanças estruturais, com foco em um core menor, plugins no ClawHub e uma trilha LTS ainda em maio

Danilo Gato

Danilo Gato

Autor

10 de maio de 2026
9 min de leitura

Introdução

OpenClaw LTS ganha força como resposta a uma semana de instabilidade. No dia 5 de maio de 2026, Peter Steinberger publicou um pedido de desculpas e anunciou um plano para encolher o core, transferir integrações opcionais para o ClawHub e introduzir um ciclo LTS ainda em maio. O post detalha quando os problemas apareceram, o que saiu do controle e como a governança vai mudar com apoio da OpenClaw Foundation.

A importância do tema vai além de um incidente. OpenClaw já roda como infraestrutura pessoal e de equipes, com múltiplos canais, plugins e automações. Quando o projeto falha, usuários perdem tempo, instalam versões antigas e reparam ambientes, efeito contrário à promessa de produtividade. O anúncio de LTS e de um core menor indica uma guinada para confiabilidade e previsibilidade, duas qualidades críticas para adoção séria.

O artigo aprofunda três pontos, o que aconteceu na última semana de abril e início de maio, por que core menor e LTS são decisões técnicas certas no contexto de supply chain, e como times podem aplicar lições práticas de versionamento, plugins e segurança agora.

O que aconteceu, quando e por quê

O relato oficial fixa a cronologia, os problemas começaram por volta de 24 de abril de 2026, ganharam escala no dia 29 e levaram usuários a reverter versões. O time identificou lentidão em gateways, comportamentos anômalos em canais como Discord, Telegram e WhatsApp, e loops de reparo de dependências de plugins durante startup e update. A conclusão, não era um único bug, e sim uma combinação de inventário de plugins pela metade, metadados de artefatos ainda amadurecendo e caminhos frios de gateway fazendo trabalho demais. Publicado em 5 de maio de 2026, o post fecha com pedido de desculpas e plano de ação.

Esse acúmulo de pequenos atritos é típico de projetos que crescem depressa, com dependências transativas e instalações automáticas. Ao mover canais, provedores, ferramentas pesadas e parsers para fora do core, o projeto buscou modularidade, mas ficou no pior intermediário por alguns releases, plugins ainda eram parcialmente empacotados, checados e consertados no caminho crítico de usuários. O diagnóstico técnico é claro, o core precisa ser menor e os limites de plugin, mais nítidos.

ClawHub como válvula de escape, marketplace como fronteira de risco

A nova direção empurra o acoplamento para a borda, centralizando skills e plugins no ClawHub. A página do marketplace evidencia escala de ecossistema, dezenas de milhares de ferramentas, centenas de milhares de usuários e milhões de downloads, números que explicam a pressão por governança, curadoria e telemetria confiável de versões. Esse volume também deixa claro o porquê de separar o core do catálogo, para que cada skill ou plugin evolua no seu ritmo, enquanto o coração do agente fica estável.

Marketplace é potência e risco. Em fevereiro, houve relatos de envios maliciosos tentando mirar usuários de cripto, um lembrete de que, onde há escala, há adversários. Mesmo sem relação direta com a semana difícil, é impossível discutir modularidade sem falar de vetores de supply chain no perímetro do projeto, desde o upload de skills até dependências puxadas em pós-instalação. Para times que adotam OpenClaw, políticas de origem confiável, assinaturas, verificação de mantenedores e análises de comportamento durante instalação são medidas essenciais.

![AI security concept image]

O contexto de segurança, o caso Axios e a decisão de encolher o core

A postagem cita incidentes recentes no ecossistema npm, em especial a cadeia de suprimentos do Axios. Em 31 de março de 2026, duas versões maliciosas foram publicadas, 1.14.1 e 0.30.4, adicionando uma dependência que executava um segundo estágio com RAT, com atribuição da infraestrutura ao grupo Sapphire Sleet. A orientação incluiu rotação de segredos, downgrade para versões seguras e desabilitar autoatualizações temporariamente. O caso mostrou como um pacote legítimo, com milhões de downloads semanais, pode virar veículo de acesso inicial em segundos de pós-instalação.

O aprendizado técnico é direto e incômodo, quanto maior e mais mágica a instalação, maior a superfície para scripts de pós-instalação, dependências transitivas e supply chain invisível. Em projetos de agente, onde o runtime tem acesso a shell, navegador, email e arquivos, a pressão por reduzir o core e tornar plugins explicitamente opcionais é racional. Nessa lente, a estratégia anunciada por OpenClaw, core menor, fronteiras de plugin claras, melhor higiene de release e postura de segurança mais rígida, está alinhada às melhores práticas reforçadas pelo caso Axios.

O que muda para usuários, LTS e governança

Duas mudanças têm impacto imediato na operação diária, a chegada de uma trilha LTS em paralelo ao ciclo rápido e a separação agressiva de funcionalidades para o ClawHub. O LTS, prometido para anúncio ainda em maio, dá um alvo estável para ambientes que priorizam uptime e atualizações previsíveis, enquanto o core menor reduz o risco de regressões ao trocar menos peças por release. Já a modularização exige que times explicitem o que querem instalar, com inventário de plugins conhecido e política de atualização controlada.

Governança também entra na pauta. O texto reconhece que o projeto estava founder-driven demais e que a fundação, com apoio de OpenAI, vai estruturar equipe para revisão, empacotamento e suporte. Para usuários corporativos, isso significa caminho para SLAs, processos de aprovação e um backlog priorizado por impacto, em vez de heróis virando noites para salvar o sprint. Em software de agente, governança é segurança. Quanto mais pessoas e processos olham para releases, menor a chance de uma regressão passar batido.

Ilustração do artigo

Lições práticas para times que rodam agentes em produção

  1. Fixe versões, desenhe janelas de atualização. Em vez de rastrear always-latest, crie ondas, canários e travas de promoção, o LTS vai ajudar quando for divulgado, mas hoje já é possível estabelecer pipelines que testam ambientes com versões candidatas antes do rollout amplo. O objetivo é isolar surpresas.

  2. Trate plugin como código de terceiros. Toda skill ou plugin instalado pelo ClawHub deve passar por verificação de mantenedor, leitura rápida do manifest e, quando possível, execução em sandboxes. A escala do marketplace exige disciplina local, o catálogo mostra números grandes, que são bons para inovação e ruins para negligência.

  3. Monitore instalação, não só execução. A cadeia Axios provou que o ataque pode acontecer em pós-instalação, antes de qualquer linha do seu app rodar. Colete logs dessa fase, ative alertas para chamadas de rede anômalas durante npm install e desabilite autoatualizações de dependências críticas em janelas de crise.

  4. Separe core de borda no seu desenho. O movimento do projeto, core menor e plugins opcionais, é uma boa referência arquitetural interna, minimize dependências no plano de controle e empurre integrações para o plano de dados com contratos explícitos. Assim, regressões na borda não derrubam o centro.

  5. Use inventários confiáveis. O post menciona um inventário de plugins, a ideia é ótima, mesmo que o endpoint sofra intermitências. Para times, a prática é manter um SBOM interno de tudo instalado via ClawHub mais npm, com alertas quando um pacote mudar de hash, dono ou política de publicação.

![Marketplace modules image]

Como testar resiliência sem virar especialista em supply chain

Há quatro alavancas que qualquer equipe pode acionar, sem construir um SOC do zero. Primeiro, reduzir atrito de rollback com políticas de pin de versão e artefatos reprodutíveis. Segundo, adicionar scanners de comportamento, por exemplo, egress bloqueado durante build e alertas para execução de binários ou scripts inesperados no pós-instalação. Terceiro, aplicar política de origem para plugins, priorizando publishers confiáveis no ClawHub e evitando ferramentas recém publicadas sem lastro. Quarto, criar um playbook de emergência, com passos de downgrade, revogação de segredos e validação de integridade de estações de trabalho.

O caso Axios mostrou que detecção comportamental e política de publicação confiável importam, e que o tempo entre instalação e comprometimento pode ser medido em segundos. A boa notícia, a comunidade de segurança publicou guias práticos nos dias seguintes ao incidente, incluindo orientações para pipelines do Azure e listas de IOCs, úteis para caçadas rápidas de sinais de execução maliciosa. Esse material é uma âncora para seu próprio runbook.

O que observar nas próximas semanas

O próximo marco é o anúncio específico de LTS ainda em maio, com semântica de suporte, janelas de atualização e calendário de correções. Vale acompanhar o blog oficial e o repositório do projeto para comparar o ritmo de releases rápidos com a estabilidade da trilha LTS. Em paralelo, espere ver mais módulos deixando o core para viver como plugins ou bundles de skills, o que deve simplificar upgrades e reduzir o número de dependências carregadas no caminho crítico de boot.

Outro ponto de atenção é a maturidade do ClawHub, que já ostenta números de catálogo e usuários. O crescimento pressiona curadoria, verificação de publicadores e mecanismos de reputação. Para usuários, filtros por publisher, versões assinadas e políticas internas de aprovação podem virar padrão de fato. Para mantenedores, guidelines de publicação, automação de verificação e telemetria ética vão fazer diferença para sustentar a escala.

Conclusão

A semana difícil do OpenClaw expôs gargalos típicos de um projeto que saltou de hobby poderoso para infraestrutura pessoal e de times. Degradações em gateways, loops de dependência e regressões não são inéditas em software, o inédito é a velocidade com que agentes tocam partes sensíveis da sua vida digital. A resposta anunciada, core menor, plugins bem separados, LTS nesta janela de maio e reforço de governança, é um pacote coerente para reequilibrar ambição com confiabilidade.

Para quem opera OpenClaw, o caminho prático passa por versionamento disciplinado, observabilidade do pós-instalação, políticas de plugins e readiness para rollback. O caso Axios endureceu o ambiente, e a comunidade respondeu com guias sólidos. Com LTS e modularidade, a base fica estável para que o ecossistema continue inovando na borda, sem transformar cada update em aposta de alto risco.

Tags

OpenClawDevSecOpsAgentes de IA