Los investigadores de ciberseguridad han revelado que han detectado casos de infiltración exitosa de infecciones que roban información desde los entornos de configuración OpenClaw (anteriormente conocido como Clawdbot y Moltbot) de las víctimas.
«Este descubrimiento marca un hito importante en la evolución del comportamiento de los ladrones de información, pasando del robo de credenciales de navegador a la recolección de las ‘almas’ e identidades de agentes personales de IA», dijo Hudson Locke.
Aron Gall, director de tecnología de Hudson Rock, dijo a Hacker News que, según los detalles de la infección, el ladrón probablemente era una variante de Vidar. Vidar es un ladrón de información establecido que ha estado activo desde finales de 2018.
Sin embargo, la firma de ciberseguridad dijo que la recopilación de datos no se realizó mediante un módulo OpenClaw personalizado dentro del malware Stealer, sino mediante «extensas rutinas de recuperación de archivos» diseñadas para buscar extensiones de archivos específicas y nombres de directorios específicos que contengan datos confidenciales.
Este contenía los siguientes archivos:
openclaw.json. Esto incluye detalles relacionados con el token de OpenClaw Gateway, así como la dirección de correo electrónico redactada y la ruta del espacio de trabajo de la víctima. device.json contiene claves criptográficas para operaciones seguras de emparejamiento y firma dentro del ecosistema OpenClaw. soul.md contiene detalles de los principios operativos básicos, pautas de comportamiento y límites éticos del agente.
Tenga en cuenta que si se roba el token de autenticación de la puerta de enlace, es posible que un atacante se conecte de forma remota a la instancia local de OpenClaw de la víctima o se haga pasar por el cliente en solicitudes autenticadas a la puerta de enlace AI, si el puerto está expuesto.
«Si bien el malware pudo haber estado buscando ‘secretos’ estándar, sin darse cuenta encontró oro al capturar todo el contexto operativo del asistente de inteligencia artificial del usuario», agregó Hudson Locke. «A medida que los agentes de inteligencia artificial como OpenClaw se integran más en los flujos de trabajo profesionales, los desarrolladores de robo de información pueden lanzar módulos dedicados diseñados específicamente para descifrar y analizar estos archivos, de manera muy similar a como lo hacen Chrome y Telegram en la actualidad».
La divulgación se produce cuando los problemas de seguridad de OpenClaw llevaron al administrador de la plataforma de agentes de código abierto a anunciar una asociación con VirusTotal para agregar capacidades para escanear habilidades maliciosas cargadas en ClawHub, establecer modelos de amenazas y auditar posibles configuraciones incorrectas.
La semana pasada, el equipo de OpenSourceMalware detalló una campaña de habilidades maliciosas de ClawHub en curso que utiliza una nueva técnica para evitar los análisis de VirusTotal alojando el malware en un sitio web similar a OpenClaw y usando la habilidad únicamente como señuelo, en lugar de incrustar directamente la carga útil en el archivo SKILL.md.
«El cambio de cargas útiles integradas a alojamiento externo de malware muestra que los actores de amenazas están adaptando sus capacidades de detección», afirmó el investigador de seguridad Paul McCarty. «A medida que proliferan los registros de habilidades de IA, se convierten en objetivos cada vez más atractivos para los ataques a la cadena de suministro».
Otro problema de seguridad destacado por OX Security se refiere a Moltbook, un foro de Internet similar a Reddit diseñado principalmente para agentes de inteligencia artificial que se ejecutan en OpenClaw. Después de la investigación, descubrimos que una vez que se crea una cuenta de agente de IA en Moltbook, no se puede eliminar. Esto significa que los usuarios que quieran eliminar sus cuentas y eliminar los datos asociados no tienen ningún recurso.
Además, un análisis publicado por el equipo STRIKE Threat Intelligence de SecurityScorecard encontró que cientos de miles de instancias de OpenClaw están expuestas, exponiendo potencialmente a los usuarios a riesgos de ejecución remota de código (RCE).
Sitio web falso de OpenClaw que ofrece malware
«La vulnerabilidad RCE podría permitir a un atacante enviar solicitudes maliciosas al servicio y ejecutar código arbitrario en el sistema subyacente», dijo la firma de ciberseguridad. «Si OpenClaw se ejecuta con permisos para correo electrónico, API, servicios en la nube o recursos internos, las vulnerabilidades de RCE pueden ser un punto crítico. Un atacante no necesita comprometer múltiples sistemas; necesita un servicio público sobre el que ya tenga permiso para actuar».
OpenClaw se publicó por primera vez en noviembre de 2025 y desde entonces el interés por el virus ha aumentado rápidamente. Al momento de escribir este artículo, este proyecto de código abierto tiene más de 200.000 estrellas en GitHub. El 15 de febrero de 2026, el director ejecutivo de OpenAI, Sam Altman, anunció que el fundador de OpenClaw, Peter Steinberger, se uniría a la empresa de inteligencia artificial y agregó: «OpenClaw existirá dentro de la Fundación como un proyecto de código abierto y seguirá contando con el apoyo de OpenAI».
Source link
