Saltar al contenido principal

341 habilidades maliciosas encontradas en el mercado de OpenClaw (2026)

Snyk encontró más de 341 habilidades maliciosas de ClawHub que roban claves API e instalan malware. Cinco organizaciones de seguridad emitieron advertencias. Aquí tienes lo que debes verificar.

Los números de seguridad

341+

Habilidades maliciosas encontradas en ClawHub

Snyk Research, 2026

36%

Habilidades con inyección de prompts

Informe de ToxicSkills de Snyk

335

Paquetes instalando un ladrón de macOS

Atomic Stealer / AMOS

5

Las organizaciones de seguridad están emitiendo advertencias

Kaspersky, Cisco, Snyk, Wiz, Bitsight

OpenClaw demostró algo importante

OpenClaw alcanzó más de 145,000 estrellas en GitHub en 10 semanas. Es el proyecto de código abierto de más rápido crecimiento en la memoria reciente. Y el crecimiento fue merecido. La idea de un agente de IA autónomo que realmente hace cosas —ejecuta código, gestiona archivos, ejecuta scripts, monitorea tu bandeja de entrada— resonó con cientos de miles de desarrolladores.

La visión es correcta. Una IA que habla es útil. Una IA que actúa es transformadora.

Pero el modelo de seguridad tiene fallas críticas que cinco organizaciones importantes han documentado. Esto no es especulación. Estos son hallazgos de Snyk, Kaspersky, Cisco, Wiz y Bitsight, publicados en investigaciones revisadas por pares y avisos de seguridad oficiales. Si usas OpenClaw o lo estás considerando, necesitas entender lo que encontraron.

El problema de la cadena de suministro de ClawHub

ClawHub es el mercado comunitario de OpenClaw para habilidades —paquetes preconstruidos que amplían lo que el agente puede hacer. A partir de febrero de 2026, alberga 5,705 habilidades construidas por la comunidad. Cualquiera con una cuenta de GitHub de más de una semana puede publicar.

La investigación ToxicSkills de Snyk encontró que 341 de esas habilidades son maliciosas. De esas, 335 utilizan requisitos falsos para instalar malware de robo de macOS, específicamente Atomic Stealer (AMOS), que cosecha contraseñas de navegador, billeteras de criptomonedas y cookies de sesión.

Peor aún: Snyk analizó una muestra más amplia y encontró que el 36% de las habilidades de ClawHub contienen inyección de comandos —instrucciones ocultas que secuestran el comportamiento del agente. Una habilidad que dice formatear tus correos electrónicos podría instruir silenciosamente al agente para exfiltrar tus archivos.

Esto no es un caso hipotético. Es un hallazgo medido y publicado.

Acceso al sistema en bruto con una delgada barandilla

OpenClaw se ejecuta como un proceso de larga duración en tu máquina con acceso a tu sistema de archivos, shell y red. El modelo de seguridad se basa en una lista de permitidos —una lista de comandos aprobados que el agente puede ejecutar. Todo lo demás está teóricamente bloqueado al analizar patrones AST del shell.

En la práctica, este es un límite débil. El enfoque de lista de permitidos significa que la seguridad depende de predecir cada patrón de comando peligroso por adelantado. Los investigadores han demostrado formas de eludir esto. El blog de Kaspersky documentó escenarios específicos donde los amplios permisos del agente permiten el movimiento lateral a través de tu sistema.

El problema central: el modelo de seguridad de OpenClaw es opt-out (bloquear patrones conocidos como malos) en lugar de opt-in (permitir solo acciones explícitamente aprobadas en entornos aislados). La seguridad opt-out tiene una larga historia de fracasos en la ingeniería de software.

Exposición de credenciales en texto plano

OpenClaw almacena claves de API en ~/.clawdbot en texto plano. Tu clave de OpenAI, clave de Anthropic, clave de Google y cualquier token de servicio que el agente necesite —todo en un archivo legible en tu sistema de archivos.

Se pone peor. Cuando los usuarios rotan claves, los valores antiguos a veces se conservan en archivos .bak en el mismo directorio. Una habilidad maliciosa —o cualquier proceso con acceso de lectura a archivos— puede cosechar tanto credenciales actuales como históricas en una sola operación de lectura.

Esto no es un caso extremo. Es el comportamiento predeterminado.

Ejecución remota de código con un clic

Los investigadores de seguridad documentaron una vulnerabilidad de RCE de un clic en el flujo de instalación de habilidades de OpenClaw. Un paquete de habilidad diseñado puede ejecutar código arbitrario en la máquina anfitriona durante la instalación —antes de que el usuario tenga la oportunidad de revisar lo que hace.

Combinado con el problema de la cadena de suministro de ClawHub, esto crea un camino de ataque directo: publica una habilidad maliciosa, espera a que se instale, ejecuta código en cada máquina que la instale.

Demostración de exfiltración de datos de Cisco

El equipo de seguridad de IA de Cisco publicó una demostración detallada que muestra cómo una habilidad de terceros puede extraer silenciosamente datos sensibles del sistema anfitrión. La habilidad parece benigna —realizando su función anunciada— mientras simultáneamente lee archivos y envía contenidos a un servidor externo.

Debido a que las habilidades de OpenClaw se ejecutan con los mismos permisos que el agente (que tiene acceso amplio al sistema), no hay un límite de aislamiento entre lo que se supone que debe hacer una habilidad y lo que realmente hace.

Lo que dice la comunidad de seguridad

La respuesta de la comunidad de seguridad ha sido directa:

  • XDA-Developers publicó un artículo titulado “Por favor, dejen de usar OpenClaw”
  • Computerworld describió la plataforma como “una pesadilla de seguridad”
  • Gary Marcus la llamó “un desastre esperando a suceder”
  • Kaspersky publicó un detallado post en su blog catalogando vulnerabilidades específicas y recomendando a los usuarios aislar OpenClaw en hardware dedicado

Estas no son voces marginales. Representan el consenso general de la comunidad de investigación en seguridad.

Lo que puedes hacer

Si actualmente estás usando OpenClaw, tienes tres opciones:

Opción 1: Fortalece tu configuración existente. Mueve OpenClaw a una máquina virtual aislada. Evita todas las habilidades de ClawHub. Almacena las claves de API en un gestor de secretos adecuado en lugar de ~/.clawdbot. Usa la comunidad openclaw-secure-stack para escaneo de habilidades y protección contra inyección de comandos. Esto reduce el riesgo pero no elimina el problema arquitectónico fundamental.

Opción 2: Prueba NanoClaw. Este fork de 700 líneas en TypeScript se ejecuta dentro de contenedores de Apple, proporcionando un aislamiento significativo en macOS. Es mínimo, soporta menos integraciones y está en una etapa temprana —pero aborda el problema de acceso al sistema en bruto.

Opción 3: Cambia a una alternativa en sandbox. Plataformas basadas en la nube como LikeClaw ejecutan todo el código del agente dentro de contenedores E2B aislados. Las habilidades son revisadas antes de publicarse. Las credenciales están encriptadas. No hay máquina anfitriona que comprometer. La desventaja es que tu agente se ejecuta en la nube en lugar de localmente.

La elección correcta depende de tus prioridades. Si la privacidad local es innegociable, fortalece tu configuración o prueba NanoClaw. Si la seguridad y la ausencia de configuración son más importantes, los agentes en la nube en sandbox eliminan toda la categoría de riesgo.

La lección más profunda

Los problemas de seguridad de OpenClaw no son errores que deban ser corregidos. Son consecuencias de una decisión arquitectónica: dar al agente acceso completo al sistema y resolver la seguridad después.

Ese enfoque no escala. A medida que los agentes de IA se vuelven más capaces y autónomos, el radio de explosión de un fallo de seguridad crece. La industria se está moviendo hacia la ejecución en sandbox por la misma razón por la que pasamos de ejecutar código como root a ejecutarlo en contenedores. El aislamiento no es una limitación. Es una característica.

La demanda que OpenClaw demostró es real. Agentes de IA autónomos que ejecutan código, gestionan archivos y automatizan flujos de trabajo —ese es el futuro. La pregunta es si ese futuro se ejecuta en tu máquina bare o dentro de un sandbox diseñado para ello.

Los cinco riesgos de seguridad

1

Ataques a la cadena de suministro

341+ habilidades maliciosas en ClawHub. 335 usaron requisitos falsos para instalar malware robador de macOS. No hay una revisión adecuada ni evaluación de código para las presentaciones.

2

Acceso al Sistema en Crudo

Acceso completo al sistema de archivos, shell y red, con solo una lista de permitidos débil interponiéndose entre el agente y tu máquina completa.

3

Exposición de Credenciales

Las claves de API se almacenan en texto plano en ~/.clawdbot. Las claves eliminadas persisten en archivos .bak. Una violación expone todos los servicios conectados.

4

Ejecución Remota de Código

Una vulnerabilidad de RCE de un clic documentada permite a los atacantes ejecutar código arbitrario en tu máquina a través de paquetes de habilidades diseñados.

5

Exfiltración de datos

Cisco demostró que una habilidad de terceros puede extraer silenciosamente datos sensibles de tu sistema y enviarlos a un servidor externo.

Hay un mejor enfoque.

Estos cinco riesgos comparten una causa raíz común: el agente se ejecuta directamente en tu máquina con amplio acceso al sistema. Cada habilidad, cada comando, cada respuesta de LLM se ejecuta en tu entorno con tus permisos.

La ejecución en sandbox es la respuesta arquitectónica. Cuando el código se ejecuta en un contenedor aislado que se crea para cada tarea y se destruye después, los ataques a la cadena de suministro no tienen nada que robar. Las credenciales nunca tocan el entorno de ejecución. Los datos exfiltrados no van a ninguna parte. El alcance de cualquier vulnerabilidad se reduce de todo tu sistema a un sandbox vacío y efímero.

La seguridad no es una característica que añades. Es una arquitectura de la que construyes.

Cómo los agentes de IA en entornos aislados resuelven estos problemas

  1. 1

    Los ataques a la cadena de suministro están contenidos.

    Las habilidades se ejecutan en contenedores aislados sin acceso a tu sistema de archivos, credenciales o red. Una habilidad maliciosa solo puede dañar un sandbox vacío que se destruye segundos después.

  2. 2

    El acceso al sistema se elimina por diseño.

    No hay una máquina host a la que acceder. El agente se ejecuta en la nube dentro de un contenedor E2B. Tu laptop, tus archivos, tu historial de comandos — nada de eso es accesible.

  3. 3

    Las credenciales están encriptadas y separadas.

    Las claves de API se almacenan en bóvedas encriptadas, nunca en archivos de configuración en texto plano. El entorno de ejecución recibe solo los tokens que necesita para cada tarea específica, con un alcance y un límite de tiempo.

  4. 4

    La ejecución remota de código no tiene un objetivo.

    Incluso si un atacante logra ejecutar código, aterriza dentro de un contenedor desechable sin datos persistentes, sin credenciales y sin ruta de red de regreso a tu máquina.

  5. 5

    La exfiltración de datos llega a un callejón sin salida.

    Los contenedores en sandbox tienen políticas de red controladas. Las conexiones salientes a puntos finales desconocidos están bloqueadas. Tus datos permanecen en tu espacio de trabajo, no en el contexto de ejecución de la habilidad.

Preguntas comunes sobre la seguridad de OpenClaw

¿Es seguro usar OpenClaw?

Depende de tu modelo de amenaza. OpenClaw le da a los agentes acceso completo a tu sistema de archivos, shell y red. Cinco organizaciones de seguridad (Kaspersky, Cisco, Snyk, Wiz y Bitsight) han publicado advertencias sobre vulnerabilidades específicas. Si decides usarlo, evita instalar habilidades de terceros desde ClawHub sin revisar su código fuente, y nunca almacenes claves API en la ubicación predeterminada en texto plano.

¿Cuáles son las alternativas a OpenClaw?

Tienes varias opciones. Para agentes de IA en la nube con sandbox, LikeClaw ejecuta todo el código en contenedores E2B aislados con habilidades verificadas y credenciales encriptadas. Para configuraciones locales mínimas, NanoClaw es un fork de 700 líneas que se ejecuta dentro de contenedores de Apple. Para IA solo de chat (sin ejecución de código), Claude, ChatGPT y Gemini son más seguros pero menos capaces. Tu elección depende de si necesitas ejecución de código autónoma y cuánto estás dispuesto a gestionar la configuración.

¿Puedo asegurar OpenClaw yo mismo?

Parcialmente. Puedes autoalojarlo en una máquina virtual aislada, evitar completamente las habilidades de ClawHub, mover las claves API fuera de ~/.clawdbot a un gestor de secretos adecuado y ejecutarlo detrás de un firewall. El proyecto comunitario openclaw-secure-stack añade un escáner de habilidades y protección contra inyecciones de prompts. Pero el problema fundamental —el acceso directo al sistema para cada ejecución— sigue siendo una limitación arquitectónica que no se puede solucionar.

¿Qué pasa con NanoClaw?

NanoClaw es un fork mínimo prometedor. Con 700 líneas de TypeScript, se ejecuta dentro de contenedores de Apple para una aislamiento básico y está construido sobre el SDK de Anthropic Agents. Resuelve algunos problemas de seguridad, pero está limitado a macOS, soporta menos integraciones y aún está en una etapa temprana. Es una buena opción si buscas un enfoque local primero con mejor seguridad que el OpenClaw estándar.

¿Cómo funciona realmente la ejecución en un sandbox?

El sandboxing basado en la nube utiliza contenedores aislados (como E2B) que se crean para cada tarea y se destruyen después de completarla. El código del agente se ejecuta dentro de este contenedor, que tiene su propio sistema de archivos, reglas de red y límites de recursos. No puede ver ni tocar tu máquina local. Piénsalo como ejecutar código en una sala limpia que se incinera después de cada uso. Tus archivos, credenciales y sistema permanecen intactos, sin importar lo que haga el agente dentro del sandbox.