Los investigadores de ciberseguridad revelaron que han detectado un caso de infección de ladrón de información que logró filtrar el entorno de configuración OpenClaw (anteriormente Clawdbot y Moltbot) de una víctima.
«Este hallazgo marca un hito importante en la evolución del comportamiento de los ladrones de información: la transición del robo de credenciales de navegador a la recolección de las ‘almas’ e identidades de agentes personales de IA (inteligencia artificial)», dijo Hudson Rock.
Alon Gal, CTO de Hudson Rock, dijo a The Hacker News que el ladrón probablemente era una variante de Vidar según los detalles de la infección. Vidar es un ladrón de información estándar que se sabe que está activo desde finales de 2018.
Dicho esto, la compañía de ciberseguridad dijo que la captura de datos no fue facilitada por un módulo OpenClaw personalizado dentro del malware ladrón, sino a través de una «rutina amplia de captura de archivos» diseñada para buscar ciertas extensiones de archivos y nombres de directorios específicos que contienen datos confidenciales.
Esto incluía los siguientes archivos:
- openclaw.json, que contiene detalles relacionados con el token de puerta de enlace OpenClaw, junto con la dirección de correo electrónico redactada y la ruta del espacio de trabajo de la víctima.
- device.json, que contiene claves criptográficas para operaciones seguras de emparejamiento y firma dentro del ecosistema OpenClaw.
- soul.md, que contiene detalles de los principios operativos básicos, pautas de comportamiento y límites éticos del agente.
Vale la pena señalar que el robo del token de autenticación de la puerta de enlace puede permitir a un atacante conectarse a la instancia local de OpenClaw de la víctima de forma remota si el puerto está expuesto, o incluso hacerse pasar por el cliente en solicitudes autenticadas a la puerta de enlace de IA.
«Si bien el malware pudo haber estado buscando ‘secretos’ estándar, sin darse cuenta encontró oro al capturar todo el contexto operativo del asistente de inteligencia artificial del usuario», agregó Hudson Rock. «A medida que los agentes de inteligencia artificial como OpenClaw se integren más en los flujos de trabajo profesionales, los desarrolladores de robo de información probablemente lanzarán módulos dedicados diseñados específicamente para descifrar y analizar estos archivos, de manera muy similar a como lo hacen hoy con Chrome o Telegram».
La divulgación se produce cuando los problemas de seguridad con OpenClaw llevaron a los mantenedores de la plataforma agente de código abierto a anunciar una asociación con VirusTotal para buscar habilidades maliciosas cargadas en ClawHub, establecer un modelo de amenaza y agregar la capacidad de auditar posibles configuraciones incorrectas.
La semana pasada, el equipo de OpenSourceMalware detalló una campaña de habilidades maliciosas de ClawHub en curso que utiliza una nueva técnica para evitar el escaneo de VirusTotal alojando el malware en sitios web similares a OpenClaw y usando las habilidades puramente como señuelos, en lugar de incrustar la carga útil directamente en sus archivos SKILL.md.
«El cambio de cargas útiles integradas a alojamiento de malware externo muestra que los actores de amenazas se adaptan a las capacidades de detección», dijo el investigador de seguridad Paul McCarty. «A medida que crecen los registros de habilidades de IA, se convierten en objetivos cada vez más atractivos para los ataques a la cadena de suministro».
Otro problema de seguridad destacado por OX Security se refiere a Moltbook, un foro de Internet similar a Reddit diseñado exclusivamente para agentes de inteligencia artificial, principalmente aquellos que ejecutan OpenClaw. La investigación encontró que una cuenta de AI Agent, una vez creada en Moltbook, no se puede eliminar. Esto significa que los usuarios que deseen eliminar las cuentas y eliminar los datos asociados no tienen ningún recurso.
Es más, un análisis publicado por el equipo STRIKE Threat Intelligence de SecurityScorecard también encontró cientos de miles de instancias de OpenClaw expuestas, lo que probablemente exponga a los usuarios a riesgos de ejecución remota de código (RCE).
 |
| Sitio web falso de OpenClaw que sirve malware |
«Las vulnerabilidades de RCE permiten a un atacante enviar una solicitud maliciosa a un servicio y ejecutar código arbitrario en el sistema subyacente», dijo la empresa de ciberseguridad. «Cuando OpenClaw se ejecuta con permisos para correo electrónico, API, servicios en la nube o recursos internos, una vulnerabilidad RCE puede convertirse en un punto de pivote. Un mal actor no necesita entrar en múltiples sistemas. Necesita un servicio expuesto que ya tenga autoridad para actuar».
OpenClaw ha tenido un gran interés viral desde su debut en noviembre de 2025. Al momento de escribir este artículo, el proyecto de código abierto tiene más de 200.000 estrellas en GitHub. El 15 de febrero de 2026, el director ejecutivo de OpenAI, Sam Altman, dijo que el fundador de OpenClaw, Peter Steinberger, se uniría a la empresa de inteligencia artificial y agregó: «OpenClaw vivirá en una fundación como un proyecto de código abierto que OpenAI seguirá apoyando».