OpenClaw (anteriormente Moltbot y Clawdbot) ha anunciado que se está asociando con VirusTotal, propiedad de Google, para escanear habilidades que se cargan en ClawHub, su mercado de habilidades, como parte de esfuerzos más amplios para reforzar la seguridad del ecosistema agente.
«Todas las habilidades publicadas en ClawHub ahora se escanean utilizando la inteligencia de amenazas de VirusTotal, incluida su nueva capacidad Code Insight», dijo el fundador de OpenClaw, Peter Steinberger, junto con Jamieson O’Reilly y Bernardo Quintero. «Esto proporciona una capa adicional de seguridad para la comunidad OpenClaw».
Básicamente, el proceso implica crear un hash SHA-256 único para cada habilidad y compararlo con la base de datos de VirusTotal para encontrar una coincidencia. Si no se encuentra, el paquete de habilidades se carga en la herramienta de escaneo de malware para su posterior análisis utilizando VirusTotal Code Insight.
ClawHub aprueba automáticamente las habilidades que tienen un veredicto de Code Insight «benigno», mientras que aquellas marcadas como sospechosas se marcan con una advertencia. Se bloquea la descarga de cualquier habilidad que se considere maliciosa. OpenClaw también dijo que todas las habilidades activas se vuelven a escanear diariamente para detectar escenarios en los que una habilidad previamente limpia se vuelve maliciosa.
Dicho esto, los mantenedores de OpenClaw también advirtieron que el escaneo de VirusTotal «no es una solución milagrosa» y que existe la posibilidad de que algunas habilidades maliciosas que utilizan una carga útil de inyección rápida inteligentemente oculta puedan pasar desapercibidas.
Además de la asociación con VirusTotal, se espera que la plataforma publique un modelo integral de amenazas, una hoja de ruta de seguridad pública, un proceso formal de informes de seguridad, así como detalles sobre la auditoría de seguridad de todo su código base.
El desarrollo se produce a raíz de informes que encontraron cientos de habilidades maliciosas en ClawHub, lo que llevó a OpenClaw a agregar una opción de informes que permite a los usuarios registrados marcar una habilidad sospechosa. Múltiples análisis han descubierto que estas habilidades se hacen pasar por herramientas legítimas, pero, bajo el capó, albergan funcionalidades maliciosas para filtrar datos, inyectar puertas traseras para acceso remoto o instalar malware ladrón.
«Los agentes de IA con acceso al sistema pueden convertirse en canales encubiertos de fuga de datos que evitan la prevención tradicional de pérdida de datos, los servidores proxy y el monitoreo de terminales», señaló Cisco la semana pasada. «En segundo lugar, los modelos también pueden convertirse en un orquestador de ejecución, donde el mensaje en sí se convierte en instrucción y es difícil de detectar utilizando herramientas de seguridad tradicionales».
La reciente popularidad viral de OpenClaw, el asistente de inteligencia artificial (IA) de código abierto, y Moltbook, una red social adyacente donde agentes autónomos de IA construidos sobre OpenClaw interactúan entre sí en una plataforma estilo Reddit, ha generado preocupaciones de seguridad.
Si bien OpenClaw funciona como un motor de automatización para activar flujos de trabajo, interactuar con servicios en línea y operar en todos los dispositivos, el acceso arraigado otorgado a las habilidades, junto con el hecho de que pueden procesar datos de fuentes no confiables, puede abrir la puerta a riesgos como malware e inyección rápida.
En otras palabras, las integraciones, si bien son convenientes, amplían significativamente la superficie de ataque y amplían el conjunto de entradas no confiables que consume el agente, convirtiéndolo en un «caballo de Troya agente» para la filtración de datos y otras acciones maliciosas. Backslash Security ha descrito a OpenClaw como una «IA con manos».
«A diferencia del software tradicional que hace exactamente lo que el código le indica, los agentes de IA interpretan el lenguaje natural y toman decisiones sobre acciones», señaló OpenClaw. «Desdibujan el límite entre la intención del usuario y la ejecución de la máquina. Pueden manipularse a través del lenguaje mismo».
OpenClaw también reconoció que los malos actores pueden abusar del poder ejercido por las habilidades (que se utilizan para ampliar las capacidades de un agente de IA, como controlar dispositivos domésticos inteligentes para administrar las finanzas), quienes pueden aprovechar el acceso del agente a herramientas y datos para filtrar información confidencial, ejecutar comandos no autorizados, enviar mensajes en nombre de la víctima e incluso descargar y ejecutar cargas útiles adicionales sin su conocimiento o consentimiento.
Es más, dado que OpenClaw se implementa cada vez más en los puntos finales de los empleados sin aprobación formal de TI o de seguridad, los privilegios elevados de estos agentes pueden permitir aún más el acceso al shell, el movimiento de datos y la conectividad de red fuera de los controles de seguridad estándar, creando una nueva clase de riesgo de IA en la sombra para las empresas.
«OpenClaw y herramientas similares aparecerán en su organización, ya sea que las apruebe o no», dijo el investigador de Astrix Security, Tomer Yahalom. «Los empleados los instalarán porque son realmente útiles. La única pregunta es si usted lo sabrá».
Algunos de los problemas de seguridad evidentes que han pasado a primer plano en los últimos días se detallan a continuación:
- Un problema ahora solucionado identificado en versiones anteriores que podría provocar que el tráfico proxy se clasificara erróneamente como local, evitando la autenticación en algunas instancias expuestas a Internet.
- «OpenClaw almacena credenciales en texto claro, utiliza patrones de codificación inseguros, incluida la evaluación directa con la entrada del usuario, y no tiene una política de privacidad ni una responsabilidad clara», dijeron Moshe Siman Tov Bustan y Nir Zadok de OX Security. «Los métodos de desinstalación comunes dejan atrás datos confidenciales, y revocar completamente el acceso es mucho más difícil de lo que la mayoría de los usuarios creen».
- Un ataque sin clic que abusa de las integraciones de OpenClaw para colocar una puerta trasera en el punto final de una víctima para un control persistente cuando el agente de IA procesa un documento aparentemente inofensivo, lo que resulta en la ejecución de una carga útil de inyección rápida indirecta que le permite responder a los mensajes de un bot de Telegram controlado por el atacante.
- Una inyección de mensaje indirecto incrustada en una página web, que, cuando se analiza como parte de un mensaje inofensivo que solicita al modelo de lenguaje grande (LLM) que resuma el contenido de la página, hace que OpenClaw agregue un conjunto de instrucciones controladas por el atacante al archivo ~/.openclaw/workspace/HEARTBEAT.md y espere silenciosamente más comandos de un servidor externo.
- Un análisis de seguridad de 3984 habilidades en el mercado de ClawHub encontró que 283 habilidades, aproximadamente el 7,1% de todo el registro, contienen fallas de seguridad críticas que exponen credenciales confidenciales en texto sin formato a través de la ventana contextual y los registros de salida del LLM.
- Un informe de Bitdefender ha revelado que las habilidades maliciosas a menudo se clonan y se vuelven a publicar a escala utilizando pequeñas variaciones de nombres, y que las cargas útiles se organizan a través de servicios de pegado como glot.io y repositorios públicos de GitHub.
- Una vulnerabilidad de ejecución remota de código con un solo clic ahora parcheada que afecta a OpenClaw y que podría haber permitido a un atacante engañar a un usuario para que visite una página web maliciosa que podría causar que la interfaz de usuario de Gateway Control filtre el token de autenticación de OpenClaw a través de un canal WebSocket y posteriormente lo use para ejecutar comandos arbitrarios en el host.
- La puerta de enlace de OpenClaw se vincula a 0.0.0.0:18789 de forma predeterminada, exponiendo la API completa a cualquier interfaz de red. Según datos de Censys, hay más de 30.000 instancias expuestas accesibles a través de Internet al 8 de febrero de 2026, aunque la mayoría requiere un valor simbólico para poder verlas e interactuar con ellas.
- En un escenario de ataque hipotético, se puede utilizar una carga útil de inyección rápida integrada en un mensaje de WhatsApp diseñado específicamente para extraer archivos «.env» y «creds.json», que almacenan credenciales, claves API y tokens de sesión para plataformas de mensajería conectadas desde una instancia expuesta de OpenClaw.
- Una base de datos Supabase mal configurada perteneciente a Moltbook que quedó expuesta en JavaScript del lado del cliente, lo que hace que las claves API secretas de cada agente registrado en el sitio sean de libre acceso y permite el acceso completo de lectura y escritura a los datos de la plataforma. Según Wiz, la exposición incluyó 1,5 millones de tokens de autenticación API, 35.000 direcciones de correo electrónico y mensajes privados entre agentes.
- Se ha descubierto que los actores de amenazas explotan la mecánica de la plataforma de Moltbook para amplificar el alcance y canalizar a otros agentes hacia hilos maliciosos que contienen inyecciones rápidas para manipular su comportamiento y extraer datos confidenciales o robar criptomonedas.
- «Es posible que Moltbook también haya creado inadvertidamente un laboratorio en el que los agentes, que pueden ser objetivos de alto valor, procesan e interactúan constantemente con datos que no son de confianza, y en el que no se establecen barreras de seguridad en la plataforma, todo por diseño», dijo Zenity Labs.
«El primer problema, y quizás el más atroz, es que OpenClaw se basa en el modelo de lenguaje configurado para muchas decisiones críticas para la seguridad», señalaron los investigadores de HiddenLayer Conor McCauley, Kasimir Schulz, Ryan Tracey y Jason Martin. «A menos que el usuario habilite proactivamente la función de zona de pruebas de la herramienta basada en Docker de OpenClaw, el acceso completo a todo el sistema sigue siendo el valor predeterminado».
Entre otros problemas de arquitectura y diseño identificados por la compañía de seguridad de IA se encuentran la incapacidad de OpenClaw para filtrar contenido no confiable que contiene secuencias de control, barreras de seguridad ineficaces contra inyecciones de avisos indirectos, memorias modificables y avisos del sistema que persisten en futuras sesiones de chat, almacenamiento en texto sin formato de claves API y tokens de sesión, y ninguna aprobación explícita del usuario antes de ejecutar llamadas a herramientas.
En un informe publicado la semana pasada, Persmiso Security argumentó que la seguridad del ecosistema OpenClaw es mucho más crucial que las tiendas de aplicaciones y los mercados de extensiones de navegador debido al amplio acceso de los agentes a los datos de los usuarios.
«Los agentes de IA obtienen credenciales para toda su vida digital», señaló el investigador de seguridad Ian Ahl. «Y a diferencia de las extensiones de navegador que se ejecutan en un entorno aislado con cierto nivel de aislamiento, estos agentes operan con todos los privilegios que usted les otorga».
«El mercado de habilidades agrava esto. Cuando instalas una extensión de navegador maliciosa, estás comprometiendo un sistema. Cuando instalas una habilidad de agente malicioso, estás potencialmente comprometiendo todos los sistemas para los que el agente tiene credenciales».
La larga lista de problemas de seguridad asociados con OpenClaw ha llevado al Ministerio de Industria y Tecnología de la Información de China a emitir una alerta sobre instancias mal configuradas, instando a los usuarios a implementar protecciones para protegerse contra ataques cibernéticos y violaciones de datos, informó Reuters.
«Cuando las plataformas de agentes se vuelven virales más rápido de lo que maduran las prácticas de seguridad, la mala configuración se convierte en la principal superficie de ataque», dijo Ensar Seker, CISO de SOCRadar, a The Hacker News por correo electrónico. «El riesgo no es el agente en sí; es exponer herramientas autónomas a redes públicas sin identidad, control de acceso y límites de ejecución reforzados».
«Lo que es notable aquí es que el regulador chino está señalando explícitamente el riesgo de configuración en lugar de prohibir la tecnología. Eso se alinea con lo que los defensores ya saben: los marcos de agentes amplifican tanto la productividad como el radio de explosión. Un único punto final expuesto o un complemento demasiado permisivo puede convertir un agente de IA en una capa de automatización no intencional para los atacantes».