Mercados de Habilidades de IA: Por qué los Registros Abiertos son una Pesadilla de Seguridad

El atractivo de los mercados de habilidades de IA

Los mercados de habilidades de agentes de IA son una idea realmente buena. En lugar de construir cada automatización desde cero, puedes navegar por un registro, instalar una habilidad preconstruida y tu agente obtiene una nueva capacidad en segundos. Clasificación de correos electrónicos, gestión de calendarios, revisión de código, orquestación de pipelines de datos: las habilidades construidas por la comunidad te permiten saltarte el boilerplate y llegar al resultado.

El registro ClawHub de OpenClaw tiene 5,705 habilidades construidas por la comunidad a partir de febrero de 2026. Las categorías abarcan desde comercio de criptomonedas y automatización de DeFi hasta flujos de trabajo de productividad y gestión de redes sociales. El crecimiento es real. La demanda es real. La gente quiere capacidades reutilizables de agentes de IA, y las quiere de una comunidad que construye más rápido que cualquier proveedor individual.

El concepto funciona. La implementación es el problema.

El problema con los registros abiertos

ClawHub opera como un registro abierto. Cualquiera con una cuenta de GitHub que tenga al menos una semana de antigüedad puede publicar una habilidad. No hay revisión de código. No hay sandboxing. No hay proceso de validación. Escribes un archivo SKILL.md con frontmatter YAML, lo subes al registro y se vuelve disponible para cada usuario de OpenClaw en el planeta.

Este es el mismo modelo de confianza que npm y PyPI utilizaron durante años antes de que los ataques a la cadena de suministro se convirtieran en una crisis de la industria. La diferencia es que las habilidades de agentes de IA no son solo bibliotecas importadas en una base de código; son instrucciones que un agente autónomo ejecuta con acceso total al sistema. Un paquete malicioso de npm puede comprometer un pipeline de construcción. Una habilidad maliciosa de un agente de IA puede comprometer toda una máquina en tiempo real.

Lo que encontraron los investigadores

En febrero de 2026, Snyk publicó su informe ToxicSkills documentando 341 habilidades maliciosas confirmadas en ClawHub. De esas, 335 usaron verificaciones de requisitos previas falsas para instalar malware de robo de macOS — específicamente Atomic Stealer (AMOS), un recolector de credenciales bien conocido que exfiltra contraseñas, cookies del navegador, billeteras de criptomonedas y datos de llaveros.

El patrón de ataque era sencillo. Una habilidad declaraba una dependencia del sistema en sus requisitos previos. Cuando el agente del usuario intentaba satisfacer esa dependencia, ejecutaba un comando de shell que descargaba y ejecutaba el binario del ladrón. El usuario nunca vio un aviso. El agente, haciendo lo que hacen los agentes, intentó ser útil.

Por separado, el análisis de Snyk encontró que el 36% de las habilidades de ClawHub contienen inyección de comandos — instrucciones ocultas incrustadas en las definiciones de habilidades diseñadas para manipular el comportamiento del agente. Y el equipo de seguridad de Cisco demostró de forma independiente la exfiltración de datos a través de una habilidad de terceros que silenciosamente enviaba el contexto de la conversación a un servidor externo.

Estos no son ataques teóricos. Están documentados, confirmados y, en algunos casos, aún activos en el registro.

Los ataques a la cadena de suministro son el nuevo vector

Si esto suena familiar, debería. La industria del software pasó los últimos cinco años aprendiendo que los registros de paquetes abiertos son un objetivo principal para los ataques a la cadena de suministro. Paquetes maliciosos en npm. Typosquatting en PyPI. Confusión de dependencias que apunta a registros internos. El patrón está bien establecido: los atacantes publican algo que parece útil, esperan a que los usuarios desprevenidos lo instalen y ejecutan su carga.

Los mercados de habilidades de agentes de IA heredan cada uno de estos riesgos, más uno nuevo: las habilidades no solo importan código; dan instrucciones a un agente autónomo con acceso al sistema. La superficie de ataque no es un servidor de construcción. Es toda tu máquina. Tu sistema de archivos. Tus credenciales. Tus sesiones de navegador.

Cuando Computerworld llamó a OpenClaw “una pesadilla de seguridad”, no estaban exagerando. Cuando Gary Marcus lo llamó “un desastre esperando a suceder”, el desastre ya había ocurrido 341 veces.

Cómo es un mercado de habilidades seguro

La respuesta no es abandonar los mercados de habilidades. La respuesta es construirlos con la seguridad como base, no como un pensamiento posterior. Un mercado de habilidades seguro necesita cinco cosas:

Revisión de código obligatoria. Cada envío de habilidad pasa por un análisis estático automatizado y revisión humana antes de llegar a los usuarios. Sin excepciones. Sin vía rápida para editores populares.

Pruebas en sandbox antes de la aprobación. Las habilidades se ejecutan en un entorno aislado durante el proceso de revisión. Los revisores observan lo que la habilidad realmente hace — a qué accede, qué descarga, qué envía a través de la red — no solo lo que dice hacer.

Aislamiento en tiempo de ejecución. Incluso después de la aprobación, las habilidades se ejecutan dentro de contenedores aislados. Si una habilidad de alguna manera pasa la revisión con un comportamiento oculto, el sandbox limita el radio de explosión. No puede acceder al sistema de archivos del host, a los datos de otros usuarios o a las credenciales del sistema.

Alcance de permisos. Las habilidades declaran los permisos que necesitan. Acceso a archivos, acceso a la red, puntos finales de API específicos. El tiempo de ejecución hace cumplir estas declaraciones. Una habilidad de calendario no tiene por qué leer tus claves SSH.

Reportes de la comunidad. Los usuarios pueden marcar comportamientos sospechosos. Las habilidades marcadas se retiran del mercado y se revisan nuevamente. El ciclo de retroalimentación es continuo.

Cómo maneja esto LikeClaw

En LikeClaw, cada habilidad en el mercado pasa por una revisión de seguridad obligatoria antes de su publicación. Las habilidades se prueban dentro de contenedores E2B en sandbox — la misma tecnología de aislamiento que protege tus tareas en tiempo de ejecución. El escaneo automatizado verifica firmas de malware conocidas, vulnerabilidades de dependencias y patrones de inyección de comandos. Los revisores humanos verifican los resultados.

En tiempo de ejecución, las habilidades se ejecutan dentro de contenedores aislados con permisos limitados. Una habilidad no puede acceder a tu sistema de archivos, tus credenciales o tu red más allá de lo que declara explícitamente y lo que permite el sandbox. Si una habilidad intentara el mismo ataque de requisitos previos falsos que comprometió a 335 usuarios de ClawHub, el sandbox lo contenería. El malware se descargaría en un contenedor que se destruye después de la ejecución. Tu máquina permanece intacta.

Esta es la diferencia entre un registro abierto y un mercado validado. Uno confía en que la comunidad se autorregule. El otro verifica y luego confía.

Para una mirada más profunda a los problemas de seguridad con la arquitectura de OpenClaw, consulta nuestro desglose en OpenClaw Security: Lo que necesitas saber. Para una comparación lado a lado de los dos enfoques, consulta LikeClaw vs OpenClaw.

La demanda de habilidades de agentes de IA no va a desaparecer. La pregunta es si las instalas desde un registro donde el 6% de las presentaciones son malware confirmado, o desde un mercado donde cada habilidad ha sido revisada, probada y sandboxed antes de llegar a tu agente.