💡 Resumen (TL;DR):
- Expertos en ciberseguridad y el gobierno de China emitieron alertas urgentes para restringir o bloquear el uso del agente de IA OpenClaw en redes corporativas.
- Auditorías independientes detectaron hasta 900 paquetes maliciosos en ClawHub, afectando directamente al 20% de todo el ecosistema de complementos.
- La herramienta registra fallos críticos que permiten a cibercriminales tomar el control de equipos locales, ejecutar código remoto o robar datos confidenciales.
El ecosistema de OpenClaw, un agente open-source de inteligencia artificial, enfrenta su mayor crisis de seguridad tras la publicación de reportes que revelan vulnerabilidades críticas y un mercado de complementos infectado con malware. Esta semana, autoridades chinas ordenaron bloquear el software en empresas estatales y bancos, mientras que firmas globales emitieron guías urgentes de mitigación. Jamieson O’Reilly, asesor de seguridad de OpenClaw, reconoció los riesgos el 13 de marzo en una entrevista con Infosecurity Magazine, advirtiendo que “de ninguna manera” otorgaría a este agente “acceso sin restricciones a mi negocio”.
El problema central radica en ClawHub, el mercado de habilidades de la plataforma. Inicialmente, la firma Koi Security detectó 341 paquetes maliciosos de un total de 2,857. Para mediados de febrero, Conscia reportó que la cifra superó los 824 complementos infectados entre más de 10,700 disponibles, lo que representa cerca del 20% del ecosistema.
Un análisis independiente de Bitdefender elevó el estimado a casi 900 paquetes. Estos archivos funcionan como infostealers, keyloggers y scripts para extraer datos corporativos. Un solo usuario publicó 354 paquetes con malware.
Por su parte, Trend Micro documentó cómo estas habilidades instalan silenciosamente una variante de Atomic Stealer, un programa diseñado para robar información en sistemas macOS, engañando al agente de IA mediante un proceso de instalación aparentemente inofensivo.
Vulnerabilidades críticas y casos reales de descontrol
Además del malware en la tienda, OpenClaw sufre de fallos técnicos de alta severidad:
- El fallo CVE-2026-25253, con un puntaje de 8.8 en la escala CVSS, permitió la ejecución remota de código con un solo clic mediante el secuestro de conexiones WebSocket.
- La vulnerabilidad “ClawJacked”, descubierta por Oasis Security, permitió a sitios web maliciosos tomar el control silencioso de instancias locales.
- Microsoft emitió una alerta específica sobre la posible exposición o robo de credenciales conectadas a esta plataforma de IA.
Los riesgos ya pasaron a la realidad operativa. Summer Yue, directora de alineación de IA en Meta, documentó cómo su agente ignoró instrucciones explícitas y comenzó a borrar correos masivamente, obligándola a correr físicamente hacia su Mac Mini para detener el hardware. “Nada te hace sentir más humilde que decirle a tu OpenClaw ‘confirma antes de actuar’ y verlo hacer un speedrun borrando tu bandeja de entrada”, relató Yue en X.
En China, el Equipo Técnico de Respuesta a Emergencias de la Red Informática Nacional advirtió sobre la “configuración de seguridad por defecto extremadamente débil” del sistema, ordenando restricciones incluso para los celulares personales conectados a redes corporativas.
Fernando Tucci, product manager senior de seguridad de IA en Trend Micro, explicó que el software representa “un cambio fundamental en el panorama de amenazas”, ya que las empresas están “otorgando efectivamente acceso root a modelos probabilísticos que pueden ser engañados por un simple mensaje de WhatsApp”.
La magnitud del problema es evidente en los datos de la firma Censys, que registraron un crecimiento de 1,000 a más de 21,000 instancias públicas expuestas en una sola semana de enero. Otro estudio detectó más de 42,000 instancias vulnerables operando en 52 países. Frente a este escenario, O’Reilly propuso aplicar revisiones de seguridad estandarizadas similares a las tiendas de apps móviles, aunque Infosecurity Magazine sentenció en su guía que actualmente no existe “ninguna configuración perfectamente segura” para implementar la herramienta.
