OpenClaw (anteriormente Moltbot y Clawdbot) anunció que se está asociando con VirusTotal, propiedad de Google, para escanear habilidades cargadas en ClawHub, un mercado de habilidades, como parte de un esfuerzo más amplio para fortalecer la seguridad de su ecosistema de agentes.
«Todas las habilidades publicadas en ClawHub ahora se analizan utilizando la inteligencia de amenazas de VirusTotal, incluida nuestra nueva función Code Insight», dijeron los fundadores de OpenClaw, Peter Steinberger, Jamieson O’Reilly y Bernardo Quintero. «Esto proporciona una capa adicional de seguridad para la comunidad OpenClaw».
Básicamente, este proceso implica crear un hash SHA-256 único para cada habilidad y compararlo con la base de datos de VirusTotal para ver si coincide. Si no se encuentra, el paquete de habilidades se carga en una herramienta de escaneo de malware y se analiza más a fondo utilizando VirusTotal Code Insight.
ClawHub aprueba automáticamente las habilidades marcadas como «buenas» por Code Insight, mientras que las habilidades marcadas como cuestionables se marcan con una advertencia. Se bloqueará la descarga de las habilidades que se consideren maliciosas. OpenClaw también dijo que todas las habilidades activas se volverán a escanear diariamente para detectar escenarios en los que una habilidad previamente limpia se vuelve maliciosa.
Sin embargo, los mantenedores de OpenClaw también advirtieron que los análisis de VirusTotal «no son una solución milagrosa» y que algunas habilidades maliciosas que utilizan cargas útiles de inyección rápida inteligentemente ocultas podrían pasar desapercibidas.
Además de la asociación con VirusTotal, la plataforma planea publicar un modelo integral de amenazas, una hoja de ruta de seguridad pública, un proceso formal de informes de seguridad y detalles de las auditorías de seguridad en todo su código base.
El desarrollo surge en respuesta a informes de cientos de habilidades maliciosas encontradas en ClawHub, lo que llevó a OpenClaw a agregar una opción de informes que permite a los usuarios registrados marcar habilidades sospechosas. Múltiples análisis han revelado que estas habilidades se disfrazan de herramientas legítimas, pero contienen funcionalidades maliciosas para robar datos, insertar puertas traseras para acceso remoto o instalar malware ladrón.
Cisco señaló la semana pasada que «los agentes de IA con acceso a los sistemas pueden convertirse en un canal encubierto de exfiltración de datos que evita la prevención tradicional de pérdida de datos, los servidores proxy y el monitoreo de terminales». «En segundo lugar, el modelo también puede ser un orquestador de ejecución; el mensaje en sí se convierte en una instrucción que es difícil de capturar utilizando herramientas de seguridad tradicionales».
La reciente popularidad viral de OpenClaw, un asistente de inteligencia artificial (IA) basado en agentes de código abierto, y Moltbook, una red social adyacente donde agentes autónomos de IA creados en OpenClaw interactúan entre sí en una plataforma estilo Reddit, ha generado preocupaciones de seguridad.
OpenClaw actúa como un motor de automatización que desencadena flujos de trabajo, interactúa con servicios en línea y opera en todos los dispositivos, pero el acceso otorgado a la habilidad, junto con el hecho de que puede procesar datos de fuentes no confiables, puede abrir la puerta a riesgos como malware e inyección rápida.
En otras palabras, si bien es útil, esta integración amplía significativamente la superficie de ataque, amplía el conjunto de entradas no confiables que consume el agente y convierte al agente en un “caballo de Troya del agente” para el robo de datos y otras acciones maliciosas. Backslash Security describe OpenClaw como «IA con manos».
«A diferencia del software tradicional que hace lo que el código le indica, los agentes de IA interpretan el lenguaje natural y toman decisiones sobre acciones», dijo OpenClaw. «Desdibujan la línea entre la intención del usuario y la ejecución de la máquina. Pueden manipularse a través del lenguaje mismo».
OpenClaw también reconoció que los poderes ejercidos por las habilidades utilizadas para ampliar las capacidades de los agentes de IA, desde el control de dispositivos domésticos inteligentes hasta la gestión de las finanzas, podrían ser explotados por actores maliciosos. Un atacante podría utilizar el acceso a las herramientas y los datos del agente para robar información confidencial, ejecutar comandos maliciosos, enviar mensajes en nombre de la víctima o descargar y ejecutar cargas útiles adicionales sin el conocimiento de la víctima.
Además, a medida que OpenClaw se implementa cada vez más en los puntos finales de los empleados sin aprobación formal de seguridad o TI, los privilegios elevados de estos agentes pueden permitir aún más el acceso al shell, el movimiento de datos y la conectividad de red fuera de los controles de seguridad estándar, creando una nueva clase de riesgo de IA en la sombra para las empresas.
«OpenClaw y herramientas similares aparecerán en su organización, ya sea que las apruebe o no», dijo el investigador de seguridad de Astrix Tomer Yahalom. «Los empleados lo instalarán porque es realmente conveniente. La única pregunta es si usted lo conoce».
Éstos son algunos de los problemas de seguridad obvios que han surgido en los últimos días.
Ahora se ha solucionado un problema identificado en una versión anterior en el que el tráfico proxy podía clasificarse incorrectamente como local, evitando potencialmente la autenticación en algunos casos expuestos a Internet. Moshe Siman Tov Bustan y Nir Zadok de OX Security dijeron: «OpenClaw almacena las credenciales en texto claro, utiliza patrones de codificación inseguros que incluyen la evaluación directa de la entrada del usuario y no tiene una política de privacidad ni una responsabilidad clara». «Los métodos de desinstalación comunes dejan datos confidenciales y revocar completamente el acceso es mucho más difícil de lo que la mayoría de los usuarios creen». Los ataques sin clic aprovechan las integraciones de OpenClaw para acceder a los puntos finales de las víctimas y obtener control permanente cuando un agente de IA procesa documentos aparentemente inofensivos. El resultado es una carga útil de inyección indirecta que le permite responder a mensajes de un bot de Telegram controlado por un atacante. Una inyección de mensaje indirecto incrustada en una página web, cuando se analiza como parte de un mensaje inocuo que solicita al modelo de lenguaje grande (LLM) que resuma el contenido de la página, hace que OpenClaw agregue un conjunto de instrucciones controladas por el atacante al archivo ~/.openclaw/workspace/HEARTBEAT.md y espere silenciosamente más comandos de un servidor externo. Un análisis de seguridad de 3984 habilidades en ClawHub Marketplace encontró que 283 habilidades, que representan aproximadamente el 7,1% de todo el registro, contienen fallas de seguridad críticas que exponen credenciales confidenciales en texto claro a través de la ventana de contexto de LLM y los registros de salida. El informe de Bitdefender reveló que las habilidades maliciosas a menudo se replican y republican a escala utilizando pequeñas variaciones de nombres, y las cargas útiles se organizan a través de servicios de pegado como glot.io y repositorios públicos de GitHub. Una vulnerabilidad de ejecución remota de código con un solo clic que afecta a OpenClaw podría permitir a un atacante engañar a un usuario para que visite una página web maliciosa, permitiendo que la interfaz de usuario de Gateway Control filtre un token de autenticación de OpenClaw a través de un canal WebSocket, que luego podría usarse para ejecutar comandos arbitrarios en el host. La puerta de enlace de OpenClaw está vinculada a 0.0.0.0:18789 de forma predeterminada, exponiendo la API completa a cualquier interfaz de red. Según datos de Censys, al 8 de febrero de 2026, hay más de 30.000 instancias de acceso público a través de Internet, la mayoría de las cuales requieren un valor simbólico para verlas e interactuar con ellas. En un escenario de ataque hipotético, se podría utilizar una carga útil de inyección rápida incorporada dentro de un mensaje de WhatsApp especialmente diseñado para extraer archivos «.env» y «creds.json» que almacenan credenciales, claves API y tokens de sesión para plataformas de mensajería conectadas desde instancias expuestas de OpenClaw. Una base de datos Supabase mal configurada perteneciente a Moltbook quedó expuesta en JavaScript del lado del cliente, brindando acceso gratuito a las claves API privadas de todos los agentes registrados en el sitio, dándole acceso completo de lectura y escritura a los datos de la plataforma. Según Wiz, la violación incluyó 1,5 millones de tokens de autenticación API, 35.000 direcciones de correo electrónico y mensajes privados entre agentes. Descubrimos que los actores de amenazas estaban explotando la mecánica de la plataforma de Moltbook para ampliar el alcance de sus ataques, incluidas inyecciones rápidas para dirigir a otros agentes a hilos maliciosos y manipular su comportamiento para extraer datos confidenciales o robar criptomonedas. «Es posible que Moltbook haya creado inadvertidamente un laboratorio donde agentes que podrían ser objetivos de alto valor procesan e interactúan constantemente con datos que no son confiables y donde la plataforma no tiene barreras de seguridad, todo por diseño», dijo Zenity Labs.
«El primer problema, y quizás el más atroz, es que OpenClaw se basa en un modelo de lenguaje establecido para muchas decisiones críticas para la seguridad», señalaron los investigadores de HiddenLayer Conor McCauley, Kasimir Schulz, Ryan Tracey y Jason Martin. «El acceso completo a todo el sistema sigue siendo el valor predeterminado a menos que el usuario habilite activamente las capacidades de espacio aislado de las herramientas basadas en Docker de OpenClaw».
Otros problemas de arquitectura y diseño identificados por la firma de seguridad de IA incluyen la incapacidad de OpenClaw para filtrar contenido no confiable, incluidas secuencias de control, barreras de seguridad ineficaces contra la inyección indirecta de avisos, memoria mutable y avisos del sistema que persisten en futuras sesiones de chat, almacenamiento en texto plano de claves API y tokens de sesión, y falta de aprobación explícita del usuario antes de ejecutar llamadas a herramientas.
Persmiso Security argumentó en un informe publicado la semana pasada que la seguridad en el ecosistema OpenClaw es mucho más importante que en las tiendas de aplicaciones o los mercados de extensiones de navegador porque los agentes tienen un amplio acceso a los datos de los usuarios.
«Los agentes de IA capturan credenciales para toda su vida digital», dijo el investigador de seguridad Ian Earle. «Y a diferencia de las extensiones del navegador, que se ejecutan en un entorno aislado, estos agentes operan con todos los privilegios que les otorga el usuario».
«Los mercados de habilidades empeoran esto aún más. Instalar una extensión de navegador maliciosa significa comprometer un sistema. Instalar una habilidad de agente malicioso puede comprometer todos los sistemas para los cuales el agente tiene credenciales».
Debido a una serie de problemas de seguridad relacionados con OpenClaw, el Ministerio de Industria y Tecnología de la Información de China emitió una advertencia sobre instancias mal configuradas e instó a los usuarios a implementar medidas de seguridad para protegerse contra ataques cibernéticos y violaciones de datos, informó Reuters.
«A medida que las plataformas de agentes proliferan más rápido de lo que maduran las prácticas de seguridad, las configuraciones erróneas se convierten en una principal superficie de ataque», dijo Ensar Seker, CISO de SOCRadar, a The Hacker News por correo electrónico. «El riesgo no son los agentes en sí; son las herramientas autónomas que están expuestas a redes públicas sin identidades reforzadas, controles de acceso y límites de ejecución».
«Lo que es notable aquí es que los reguladores chinos están señalando explícitamente los riesgos de configuración, en lugar de prohibir esta tecnología. Esto es consistente con lo que los defensores ya saben: los marcos de agentes amplifican tanto la productividad como el alcance. Un único punto final expuesto o un complemento demasiado permisivo puede convertir un agente de IA en una capa de automatización no deseada para los atacantes».
Source link
