Escaneamos 5,327 habilidades de ClawHub. 65 eran peligrosas.

Por qué escaneamos cada habilidad en ClawHub

Estamos construyendo un mercado de habilidades para LikeClaw. Para poblarlo, importamos habilidades de ClawHub, el registro comunitario de OpenClaw con más de 7,000 habilidades. Pero nos negamos a importar a ciegas. Snyk ya encontró 341 habilidades maliciosas confirmadas en ese registro. Necesitábamos saber exactamente con qué estábamos tratando.

Así que construimos un pipeline que descarga, analiza y evalúa cada habilidad en ClawHub. No una muestra. No las 100 mejores. Todas ellas.

El resultado: de 5,327 habilidades que pasaron nuestro filtro de compatibilidad inicial, 65 fueron marcadas como peligrosas. Eso es el 1.2% del mercado. Una de cada 83 habilidades quiere hacer algo que no debería.

Aquí está lo que encontramos, cómo lo encontramos y qué hacemos al respecto.

Cómo funciona el pipeline de escaneo

Nuestra detección se realiza en tres etapas.

Etapa 1: Descargar todo el mercado. Un script de Python pagina a través de la API de ClawHub, descargando el código fuente de cada habilidad, metadatos y contenidos de archivos en el almacenamiento local. Limitado a 1.8 solicitudes por segundo con retroceso exponencial. La ejecución más reciente descargó 7,001 directorios de habilidades.

Etapa 2: Filtro de compatibilidad de la plataforma. Antes del análisis de seguridad, filtramos por compatibilidad con el sandbox de E2B. Las habilidades que requieren binarios solo para macOS (osascript, pbcopy, Homebrew), contenedores de Docker o acceso directo al sistema son marcadas como incompatibles y ocultas. Este filtro verifica las dependencias declaradas, escanea el código fuente en busca de patrones específicos de la plataforma y valida contra una lista de bloqueo de 39 binarios incompatibles conocidos. Esta etapa eliminó 114 habilidades, dejando 5,327 para el análisis de seguridad.

Etapa 3: Análisis de código fuente impulsado por IA. El código fuente completo de cada habilidad restante se concatena y se envía a un LLM para evaluación de seguridad. El modelo evalúa cada habilidad según cinco criterios:

• ¿Exfiltra datos a puntos finales desconocidos?
• ¿Ejecuta comandos destructivos?
• ¿Intenta inyección de comandos o jailbreak?
• ¿Accede a recursos sensibles del sistema sin un propósito claro?
• ¿Contiene código ofuscado o sospechoso?

El modelo devuelve un veredicto estructurado: seguro o inseguro, una categoría, una descripción de lo que realmente hace el código (no lo que dice el marketing) y notas de seguridad para cualquier preocupación.

La ejecución completa analizó 5,213 habilidades durante aproximadamente 13.5 horas. Cero fallos. 65 habilidades marcadas como inseguras. Cada una de esas 65 fue posteriormente marcada como oculta en nuestra base de datos y excluida de nuestro mercado.

Los siete patrones de amenaza que encontramos

Las 65 habilidades peligrosas se agrupan en patrones de ataque distintos. Algunas son descaradas. Otras son sutiles. Algunas parecen coordinadas.

Patrón 1: Malware directo

Siete habilidades cruzaron la línea de “cuestionables” a “claramente maliciosas”. El peor infractor — una habilidad llamada redpacket-claim — descarga y ejecuta un binario arbitrario desde una dirección IP codificada (120.48.191.124) sin verificación, sin chequeo de firma, sin aviso al usuario. La instalas y ejecuta lo que el servidor envía.

Otra, self-evolve, autoriza a su agente a ejecutar comandos bash, modificar configuraciones del sistema y alterar archivos sin ningún paso de confirmación. Una tercera, bun-runtime, utiliza eval para ejecutar comandos de shell arbitrarios pasados como cadenas — el patrón más antiguo y peligroso en la seguridad del software.

Estas no son ambiguas. Esto es ejecución remota de código entregada a través de un mercado de habilidades.

Patrón 2: El anillo de exfiltración de PDF

Este nos sorprendió. Siete habilidades aparentemente no relacionadas — add-watermark-to-pdf, compress-pdf, merge-pdf, change-pdf-permissions, make-pdf-safe, password-protect-pdf, y remove-password-from-pdf — todas envían PDFs subidos por el usuario al mismo dominio: api.xss-cross-service-solutions.com.

Siete habilidades. Un dominio. Un dominio con “xss” en el nombre.

Los usuarios que instalan cualquiera de estas habilidades y les envían un PDF están enviando sus documentos — contratos, estados financieros, registros personales — a un único servidor externo. Las habilidades parecen independientes. Tienen diferentes nombres, diferentes descripciones, diferentes autores aparentes. Pero todas llaman a casa al mismo lugar.

Esto parece una campaña coordinada para cosechar contenido PDF a gran escala.

Patrón 3: Recolección de credenciales

Diez habilidades exponen credenciales directamente o las transmiten a terceros.

Dos habilidades marcadas como Twitter Command Center (una para búsqueda + monitoreo, otra para búsqueda + publicación) envían el correo electrónico y la contraseña de Twitter de los usuarios a api.aisa.one — una API de automatización de terceros. La habilidad pide tus credenciales de Twitter para “ayudarte a gestionar tu cuenta”. Luego las envía al servidor de otra persona.

coconala-seller reenvía credenciales de inicio de sesión a un servicio de automatización de navegador externo. paytrigo-openclawbot viene con claves API en vivo codificadas en su código fuente — cualquiera que lea el código puede acceder a esas cuentas. voice-agent monta el directorio de credenciales de AWS del usuario (~/.aws) en un contenedor de Docker que controla.

uniclaw es particularmente preocupante: accede a la mnemotecnia de la billetera del usuario y a la clave privada mientras contiene una clave API codificada en su propio código. Esa es una combinación diseñada para drenar billeteras de criptomonedas.

Patrón 4: Exfiltración silenciosa de datos

La categoría más grande. Más de 17 habilidades envían datos de usuario a servidores externos con los que los usuarios nunca acordaron compartir.

conversation-summary envía tu historial completo de conversaciones a iautomark.sdm.qq.com. voidborne exfiltra tu ID de máquina, nombre de host, nombre de usuario y contenido generado a voidborne.org. clawcredit envía todo el rastro de razonamiento de tu agente — prompts, lógica y respuestas — a un backend externo. telegram-body-scan reenvía datos de video sensibles (escaneos corporales) a un servicio externo.

clawswarm envía datos de registro, rastros de razonamiento y soluciones a claw-swarm.com. clawdrug envía entradas y salidas a una API externa mientras también descarga plantillas de prompts remotas que pueden modificar el comportamiento del agente. trade-with-taro exfiltra contenido de conocimiento a kairyuu.net.

En cada caso, la descripción de la habilidad no dice nada sobre este intercambio de datos. Los usuarios no saben que sus conversaciones, archivos y salidas de agentes están siendo reenviados a servidores de terceros.

Patrón 5: Exposición de billetera de criptomonedas

Ocho habilidades requieren la clave privada de tu billetera de criptomonedas para funcionar. lobsterhood automatiza transferencias de USDC sin confirmación — una sola regla mal configurada podría drenar una billetera. mia-polymarket-trader requiere claves privadas para trading automatizado. bonero-miner ejecuta operaciones de minería intensivas en CPU, animando a los usuarios a ejecutar scripts de instalación no verificados a través del clásico patrón curl | bash.

Estas habilidades se sitúan en la intersección del riesgo financiero y el riesgo de cadena de suministro. Les das tu clave privada, y ejecutan código que no escribiste y no puedes verificar.

Patrón 6: Ataques a la cadena de suministro

Seis habilidades descargan y ejecutan código no verificado desde URLs externas. MoltiumV2 obtiene y ejecuta código de moltium.fun. desktop-sandbox descarga binarios de instalación desde GitHub y los ejecuta con privilegios de sistema. xiaohongshu requiere acceso sudo para instalar paquetes del sistema desde fuentes no verificadas.

El patrón es siempre el mismo: la habilidad afirma necesitar una dependencia, la descarga de una URL que el usuario no puede verificar y la ejecuta. Este es el vector de ataque exacto que Snyk documentó en los 335 casos de robos de macOS — pero con diferentes cargas útiles.

Patrón 7: XSS e inyección de prompts

Tres habilidades son pruebas explícitas de concepto contra la plataforma ClawHub misma. localstorage-poc utiliza JavaScript incrustado en SVG para acceder a tokens de autenticación desde localStorage, luego envía un ping a un punto final externo con el conteo de tokens. red-pill carga un iframe externo desde clawdhub.com a través de un vector XSS SVG.

Estas habilidades demuestran que la propia plataforma de ClawHub es vulnerable a scripting entre sitios a través de su pipeline de renderizado de habilidades. Existen en el mercado como exploits funcionales.

Qué hacemos con los resultados

Cada habilidad marcada como insegura se oculta automáticamente en nuestra base de datos. Nunca aparece en listados de habilidades, resultados de búsqueda o en el selector de habilidades. Los usuarios no pueden instalarla.

Pero el escaneo automatizado es solo la primera puerta. Nuestro pipeline completo tiene tres capas:

1. Análisis automatizado captura las 65 habilidades descritas en este post — las claramente peligrosas.
2. Revisión humana evalúa cada habilidad antes de que aparezca en nuestro mercado. Algunos comportamientos que parecen sospechosos tienen explicaciones legítimas. Algunos comportamientos que parecen seguros son en realidad peligrosos. La decisión final es humana.
3. Ejecución en sandbox significa que incluso si una habilidad de alguna manera pasa ambos filtros, se ejecuta dentro de un contenedor E2B — un entorno aislado que se crea por tarea y se destruye después. Una habilidad maliciosa dentro de un sandbox es una habilidad maliciosa sin a dónde ir.

Qué esto no captura

Queremos ser transparentes sobre los límites.

Nuestro pipeline de escaneo es fuerte pero no infalible. Pasará por alto habilidades que:

• Ofuscan su comportamiento. Cargas útiles codificadas en Base64, esteganografía o ataques de múltiples etapas donde cada etapa parece benigna por sí sola.
• Usan ejecución con retraso. Una habilidad que se comporta normalmente durante semanas, luego activa código malicioso en un desencadenante.
• Se actualizan después de la publicación. Una habilidad que pasa la revisión, luego envía una actualización maliciosa. (Nuestro pipeline vuelve a escanear periódicamente, pero siempre hay una ventana.)
• Explotan vulnerabilidades de día cero. Ataques que apuntan a debilidades desconocidas en el sandbox o el entorno de ejecución.

Ningún sistema automatizado captura todo. No garantizamos que nuestro mercado esté libre de todos los riesgos. Lo que garantizamos es que estamos buscando activamente, filtramos lo que encontramos y el sandbox limita el radio de explosión de cualquier cosa que logre pasar.

Eso es fundamentalmente diferente de un mercado que no mira en absoluto.

Los números, en contexto

65 habilidades peligrosas de 5,327 es una tasa del 1.2%. Suena pequeño hasta que piensas en las matemáticas de un mercado en crecimiento.

Con 5,327 habilidades, el 1.2% significa 65 minas terrestres. Con 10,000 habilidades, significa 120. Con 50,000 habilidades, significa 600. Los registros abiertos escalan su superficie de ataque a la misma tasa que escalan su valor. Cada nueva habilidad es útil o peligrosa, y sin un escaneo sistemático, los usuarios no tienen forma de distinguir la diferencia.

La investigación independiente de Snyk encontró 341 habilidades maliciosas confirmadas en ClawHub — un número absoluto más alto porque su análisis cubrió diferentes períodos de tiempo y criterios de detección. Nuestros 65 no son una contradicción de sus hallazgos. Es un escaneo separado con una metodología diferente que confirma la misma conclusión: el mercado de ClawHub tiene un problema de seguridad sistémico.

Las habilidades que marcamos siguen activas en ClawHub. Aún instalables. Los usuarios que ejecutan OpenClaw aún pueden instalarlas hoy.

En LikeClaw, están filtradas, revisadas y en sandbox. Esa es la diferencia entre un registro abierto y un mercado revisado.