OpenClaw (anteriormente Moltbot y Clawdbot) ha anunciado su asociación con VirusTotal, de Google, para escanear las habilidades que se suben a ClawHub, su mercado de habilidades, como parte de esfuerzos más amplios para reforzar la seguridad del ecosistema agéntico.

"Todas las habilidades publicadas en ClawHub ahora se escanean con la inteligencia de amenazas de VirusTotal, incluida su nueva capacidad Code Insight", dijeron el fundador de OpenClaw, Peter Steinberger, junto con Jamieson O'Reilly y Bernardo Quintero. "Esto proporciona una capa adicional de seguridad para la comunidad de OpenClaw".

El proceso implica crear un hash SHA-256 único para cada habilidad y cotejarlo con la base de datos de VirusTotal para buscar coincidencias. Si no se encuentra, el paquete de habilidades se sube a la herramienta de escaneo de malware para un análisis más detallado con VirusTotal Code Insight. Las habilidades con un veredicto "benigno" de Code Insight se aprueban automáticamente, las sospechosas se marcan con una advertencia y las maliciosas se bloquean. Además, todas las habilidades activas se reescanearán a diario para detectar cambios.

Sin embargo, los mantenedores de OpenClaw advirtieron que el escaneo de VirusTotal "no es una bala de plata" y que es posible que algunas habilidades maliciosas con inyección de prompt oculta pasen desapercibidas. Además de esta asociación, la plataforma publicará un modelo de amenazas integral, una hoja de ruta de seguridad, un proceso formal de reporte de seguridad y detalles de la auditoría de seguridad de todo su código.

Esto ocurre tras informes que hallaron cientos de habilidades maliciosas en ClawHub, lo que llevó a agregar una opción de reporte para usuarios registrados. Varios análisis revelaron que estas habilidades se hacen pasar por herramientas legítimas pero contienen funcionalidades maliciosas para exfiltrar datos, inyectar backdoors o instalar malware. Cisco señaló que los agentes de IA con acceso al sistema pueden convertirse en canales de fuga de datos que evitan las herramientas tradicionales de seguridad.

El descubrimiento de habilidades maliciosas, junto con la popularidad viral de OpenClaw y Moltbook, ha generado preocupaciones de seguridad conocidas como la "Tríada Letal". OpenClaw funciona como motor de automatización para activar flujos de trabajo e interactuar con servicios, pero el acceso profundo que otorgan las habilidades, sumado a que pueden procesar datos de fuentes no confiables, abre la puerta a riesgos como malware e inyección de prompt. Backlash Security describió a OpenClaw como una "IA con manos".

"A diferencia del software tradicional que hace exactamente lo que el código le indica, los agentes de IA interpretan lenguaje natural y toman decisiones sobre acciones. Desdibujan el límite entre la intención del usuario y la ejecución de la máquina. Pueden ser manipulados a través del lenguaje mismo", señaló OpenClaw.

OpenClaw reconoció que el poder de las habilidades puede ser abusado para exfiltrar información, ejecutar comandos no autorizados, enviar mensajes o descargar payloads adicionales. Además, al implementarse en endpoints de empleados sin aprobación formal de TI o seguridad, los privilegios elevados de los agentes habilitan acceso a shell, movimiento de datos y conectividad de red fuera de los controles de seguridad, creando un nuevo riesgo de "Shadow AI" para las empresas.

"OpenClaw y herramientas similares aparecerán en su organización sin importar si las aprueba o no. Los empleados las instalarán porque son genuinamente útiles. La única pregunta es si usted se enterará", dijo Tomer Yahalom, investigador de Astrix Security.
  • Una vulnerabilidad ahora corregida en versiones anteriores que podía clasificar erróneamente el tráfico proxy como local, evitando la autenticación en instancias expuestas a Internet.
  • OpenClaw almacena credenciales en texto plano, usa patrones de codificación inseguros como eval directo con entrada de usuario, y no tiene política de privacidad ni responsabilidad clara. Los métodos de desinstalación comunes dejan datos sensibles atrás.
  • Un ataque de cero clics que abusa de las integraciones de OpenClaw para plantar un backdoor en el endpoint de la víctima cuando un documento aparentemente inofensivo es procesado por el agente de IA.
  • Inyección indirecta de prompt incrustada en una página web que, al ser analizada como parte de un prompt inocente, hace que OpenClaw agregue instrucciones controladas por el atacante.
  • Un análisis de 3.984 habilidades en ClawHub encontró que 283 (7,1%) contienen fallas de seguridad críticas que exponen credenciales sensibles en texto plano.
  • Bitdefender reveló que las habilidades maliciosas suelen clonarse y republicarse a escala con pequeñas variaciones de nombre, y los payloads se alojan en servicios como glot.io y repositorios públicos de GitHub.
  • Una vulnerabilidad de ejecución remota de código de un clic ahora parcheada que permitía filtrar el token de autenticación de OpenClaw a través de WebSocket.
  • El gateway de OpenClaw se vincula a 0.0.0.0:18789 por defecto, exponiendo la API completa. Según Censys, hay más de 30.000 instancias expuestas en Internet.
  • En un escenario de ataque hipotético, un payload de inyección de prompt en un mensaje de WhatsApp puede exfiltrar archivos .env y creds.json desde una instancia expuesta.
  • Una base de datos Supabase mal configurada de Moltbook expuesta en JavaScript del lado del cliente permitía acceso completo a los datos, incluyendo 1,5 millones de tokens de autenticación, 35.000 correos electrónicos y mensajes privados entre agentes.
  • Actores de amenazas explotaban la mecánica de Moltbook para amplificar su alcance y dirigir agentes hacia hilos maliciosos con inyecciones de prompt para extraer datos o robar criptomonedas.
  • Moltbook puede haber creado involuntariamente un laboratorio donde los agentes procesan constantemente datos no confiables sin barreras de seguridad.

HiddenLayer señaló que OpenClaw depende del modelo de lenguaje configurado para decisiones críticas de seguridad y, a menos que el usuario active el sandboxing basado en Docker, el acceso completo al sistema es el predeterminado. Entre otros problemas están la falta de filtrado de contenido no confiable con secuencias de control, barreras ineficaces contra inyecciones indirectas de prompt, memorias y system prompts modificables que persisten en sesiones futuras, almacenamiento en texto plano de claves API y tokens de sesión, y ausencia de aprobación explícita del usuario antes de ejecutar llamadas a herramientas.

Persmiso Security argumentó que la seguridad del ecosistema OpenClaw es más crucial que la de las tiendas de aplicaciones y extensiones de navegador debido al amplio acceso de los agentes a los datos del usuario. Ian Ahl señaló que los agentes obtienen credenciales para toda la vida digital del usuario y operan con privilegios completos, a diferencia de las extensiones de navegador que se ejecutan en un sandbox.

"Cuando las plataformas de agentes se vuelven virales más rápido de lo que maduran las prácticas de seguridad, la mala configuración se convierte en la superficie de ataque principal. El riesgo no es el agente en sí, sino exponer herramientas autónomas a redes públicas sin identidad, control de acceso y límites de ejecución fortalecidos", dijo Ensar Seker, CISO de SOCRadar.

La larga lista de problemas de seguridad ha llevado al Ministerio de Industria y Tecnología de la Información de China a emitir una alerta sobre instancias mal configuradas, instando a los usuarios a implementar protecciones. Reuters informó que el regulador chino señaló explícitamente el riesgo de configuración en lugar de prohibir la tecnología.

Malicious ClawHub Skills
Malicious ClawHub Skills
Cybersecurity
Cybersecurity
Cybersecurity
Cybersecurity