Seis Agentes Rodando 24/7 num Mac Mini. O Que Falta Nessa História.

Shubham Saboo é Senior AI Product Manager no Google e mantém o repositório Awesome LLM Apps, com mais de 103 mil estrelas no GitHub. Em março de 2026, ele publicou um guia detalhado sobre como roda seis agentes de IA autônomos num Mac Mini M4, 24 horas por dia, usando OpenClaw. Os agentes pesquisam, redigem posts para redes sociais, compilam newsletters e revisam código. Custo declarado: cerca de $400 por mês.

O artigo é bem escrito. Os padrões técnicos que ele descreve são reais. E a ausência completa de qualquer preocupação com segurança ou governança é um retrato preciso de como a maioria dos praticantes está adotando agentes autônomos hoje.

Saboo merece crédito pela transparência. Ele mostra o que funciona e o que quebra. O problema não é o que ele escreveu. É o que ele não precisou escrever porque ninguém está cobrando.

Três Padrões que Valem Adotar

Antes da crítica, reconhecimento. Saboo documenta três práticas que qualquer equipe usando agentes deveria considerar.

Arquivos SOUL.md para definição comportamental. Cada agente tem um arquivo markdown de 40 a 60 linhas definindo identidade, papel, princípios e relações com outros agentes. Os nomes vêm de personagens de TV: Monica Geller coordena, Dwight Schrute pesquisa, Kelly Kapoor escreve tweets. A escolha não é cosmética. Personagens de ficção carregam padrões comportamentais que o modelo já internalizou durante o treinamento. Dizer “aja como Dwight Schrute” transfere mais contexto que três parágrafos de instruções genéricas.

Como exploramos em A Personalidade do Seu Agente É uma Camada de Governança, definições de personalidade são especificações comportamentais, não decoração. Saboo aplica esse princípio na prática, mesmo sem o vocabulário de governança.

Coordenação baseada em arquivos. Os agentes se comunicam pelo sistema de arquivos. Dwight escreve pesquisa em intel/DAILY-INTEL.md. Kelly, Rachel e Pam leem esse arquivo. A restrição é simples: um escritor, muitos leitores. Sem APIs intermediárias, sem filas de mensagens, sem banco de dados compartilhado.

Esse padrão funciona. Para workflows sequenciais numa única máquina, a coordenação por arquivos resolve 90% dos casos sem adicionar complexidade de infraestrutura. A limitação aparece quando você precisa de múltiplos escritores ou distribuição entre máquinas. Saboo não precisa disso. Uma organização provavelmente vai precisar.

Heartbeat com auto-recuperação. Um cron job monitora os agentes. Se algum está parado há mais de 26 horas, o sistema reinicia. Sem intervenção humana, sem dashboard, sem alertas complexos. Telegram como interface para tudo.

A simplicidade é virtude aqui. Mas simplicidade que funciona para um criador solo não escala para uma equipe. Quando o agente reinicia, quem é notificado? Que contexto ele perdeu? Que ações ficaram pela metade? Essas perguntas não existem quando você é o único usuário. Em qualquer cenário organizacional, são as primeiras a aparecer.

A Ilusão do “Aprendizado”

Saboo descreve como seus agentes “aprendem” ao longo do tempo. Logs diários alimentam uma memória curada de longo prazo (MEMORY.md). O agente consulta essa memória a cada sessão. Com o tempo, as respostas melhoram.

Só que isso não é aprendizado. É engenharia de prompts iterativa com persistência em disco.

O que acontece: Saboo lê os outputs, identifica problemas, ajusta os arquivos de memória e os SOUL.md. O agente na próxima sessão se comporta melhor porque recebeu instruções melhores. A melhoria é real. A atribuição é errada.

Como analisamos em Seu Agente Lembra de Tudo. Quem Governa Isso?, memória de agentes é uma superfície que precisa de governança. No setup de Saboo, o curador é ele. Ele decide o que entra, o que sai, o que o agente “lembra”. Numa organização, quem cura a memória? Quem audita o que foi modificado? Quem garante que uma instrução inserida no MEMORY.md não contradiz uma política da empresa?

A consolidação manual durante heartbeats é engenhosa para uso pessoal. Para uso organizacional, é uma vulnerabilidade. O paper “Agents of Chaos” (Shapira et al., 2026) demonstrou que arquivos de memória como MEMORY.md são vetores de ataque. Um atacante que modifica esse arquivo controla o comportamento do agente entre sessões. Sem versionamento, sem hash de integridade, sem detecção de adulteração, a memória do agente é uma porta aberta.

$400 por Mês é uma Mentira Honesta

Saboo declara o custo em $400 mensais. Ele não está mentindo. Está omitindo.

O cálculo inclui chamadas de API aos modelos de linguagem. Não inclui a amortização do Mac Mini M4 (a partir de $500 pelo modelo base). Não inclui eletricidade. Não inclui a banda de internet dedicada. E, o mais caro de tudo, não inclui o tempo humano que Saboo investe revisando outputs, ajustando prompts, curando memória e reiniciando agentes que travaram de formas que o heartbeat não detecta.

Para um criador solo construindo sua marca pessoal, isso é aceitável. O tempo investido é parte do projeto. Para uma organização avaliando “vamos rodar agentes autônomos por $400/mês”, é uma estimativa perigosamente incompleta.

O custo real de operar agentes autônomos inclui observabilidade, auditoria, controle de acesso, revisão humana de outputs críticos e resposta a incidentes. Saboo não precisa de nada disso porque é simultaneamente o operador, o revisor, o auditor e o único afetado quando algo dá errado.

O Elefante na Sala: Segurança do OpenClaw

O artigo de Saboo não menciona segurança uma única vez. O contexto torna essa omissão grave.

A SecurityScorecard identificou mais de 40 mil instâncias de OpenClaw expostas na internet, com 35,4% delas vulneráveis. A Koi Security encontrou 824 skills maliciosas no ClawHub, o marketplace oficial do OpenClaw, de um total de 10.700 disponíveis. Cinco CVEs foram registrados em 2026, incluindo um de execução remota de código com score 8.8.

Como documentamos em O Diagnóstico É Preciso, a Cura É Teórica, a cadeia de suprimentos de skills do OpenClaw funciona exatamente como a cadeia de suprimentos de software. Com os mesmos problemas que a indústria leva duas décadas tentando resolver.

A NVIDIA criou o NemoClaw especificamente porque o OpenClaw puro não tem segurança suficiente para uso empresarial. O NemoClaw adiciona sandbox, políticas declarativas de acesso à rede, isolamento de processos. A existência do NemoClaw é, por si só, uma admissão de que rodar OpenClaw sem camada de segurança é um risco reconhecido pela indústria.

Saboo roda seus agentes em rede local. Isso reduz a superfície de ataque, mas não elimina. Skills instaladas do ClawHub podem conter código malicioso. Atualizações automáticas podem introduzir vulnerabilidades. E o Telegram, usado como interface única, é um canal de comunicação que, se comprometido, dá acesso a todos os agentes simultaneamente.

Shadow IT em Potencial

O GovInfoSecurity reportou que implantações de OpenClaw acontecem rotineiramente como shadow IT: funcionários instalam e rodam agentes sem aprovação de TI, sem avaliação de risco, sem registro no inventário de ativos.

O artigo de Saboo é exatamente o tipo de conteúdo que acelera esse fenômeno. Um engenheiro lê, pensa “posso fazer isso também”, instala o OpenClaw no laptop corporativo, conecta a APIs internas, começa a rodar agentes que acessam dados da empresa. Sem sandbox. Sem auditoria. Sem que ninguém na organização saiba que existe um agente autônomo com acesso a e-mail corporativo rodando debaixo da mesa de alguém.

Como argumentamos em Times de Agentes: Quando o Modelo Operacional Muda de Vez, o trabalho real é projetar o ambiente no qual agentes operam. O ambiente de Saboo funciona porque foi projetado para uma pessoa. Transpor esse modelo para uma organização sem redesenhar o ambiente é importar todos os riscos e nenhuma das proteções.

O Que Organizações Devem Extrair Daqui

O artigo de Saboo é valioso como relatório de campo. Mostra o que é possível com agentes autônomos hoje, sem abstrações teóricas. A lista de padrões que funcionam (SOUL.md, coordenação por arquivos, heartbeat) é prática e testada.

A transição para uso organizacional exige quatro adições que o artigo não endereça.

Governança de memória. Versionamento de arquivos de estado. Hashes de integridade. Logs de quem modificou o quê e quando. A memória do agente precisa ser tão auditável quanto um banco de dados de produção.

Segurança da cadeia de suprimentos. Auditoria de skills antes da instalação. SBOM para plugins. Isolamento de execução. O que Saboo instala do ClawHub sem verificação, uma organização precisa tratar com o mesmo rigor de qualquer dependência de software.

Observabilidade real. O heartbeat de Saboo verifica se o agente está vivo. Organizações precisam saber o que o agente está fazendo, que decisões tomou, que dados acessou, que ações executou. A diferença entre “está rodando” e “está rodando corretamente” é onde mora o risco operacional.

Controle de acesso e perímetro. Cada agente precisa de permissões explícitas. Acesso à rede governado por política. Sandbox de execução. O modelo “agente com acesso total ao sistema” funciona quando o sistema é seu Mac Mini pessoal. Num ambiente corporativo, é uma violação de princípio básico de segurança.

Saboo construiu algo que funciona para ele. O erro seria concluir que funciona para qualquer um.

---

Fontes

• Saboo, S. “How I Built an Autonomous AI Agent Team That Runs 24/7.” Março 2026.
• SecurityScorecard. “How Exposed OpenClaw Deployments Turn Agentic AI Into an Attack Surface.” Fevereiro 2026.
• Koi Security. “ClawHavoc: 341 Malicious Clawed Skills Found.” Fevereiro 2026.
• Shapira, N. et al. “Agents of Chaos.” Fevereiro 2026.
• GovInfoSecurity. “OpenClaw as Shadow IT.” 2026.
• NVIDIA. “NVIDIA Announces NemoClaw for the OpenClaw Community.” Março 2026.

Victorino Group ajuda organizações a implantar sistemas de agentes de IA com a governança, segurança e observabilidade que workflows de criadores solo ignoram: contato@victorino.com.br | www.victorino.com.br