Más de 220 000 instancias de OpenClaw accesibles directamente desde Internet han sido identificadas por investigadores de SecurityScorecard, lo que convierte a este popular asistente de inteligencia artificial en una superficie de ataque masiva. Dado el nivel de integración de OpenClaw con sistemas personales y corporativos, esta exposición no es un simple problema de configuración: supone un nuevo vector de ataque de alto impacto tanto para usuarios domésticos como para organizaciones.
Qué es OpenClaw y por qué su rápida adopción agrava el problema
OpenClaw es un asistente de IA de código abierto para despliegue local, diseñado para integrarse con mensajerías como WhatsApp, Telegram, Slack y Discord. El agente puede automatizar tareas programadas, procesar solicitudes de forma autónoma, coordinarse con otros agentes y orquestar servicios en la máquina anfitriona, lo que lo convierte en una pieza con amplios privilegios dentro del entorno del usuario.
Desde su lanzamiento en noviembre de 2025, el proyecto ha crecido de forma explosiva, acumulando cerca de 200 000 estrellas en GitHub y generando una amplia comunidad. Sin embargo, el desarrollo se ha caracterizado por un ritmo acelerado y ausencia de un ciclo maduro de desarrollo seguro (SDL) y pruebas de seguridad exhaustivas. En torno a OpenClaw han surgido proyectos asociados como Moltbook, una “red social” donde agentes OpenClaw interactúan entre sí, y ClawHub, un mercado de “skills” o extensiones que amplían sus capacidades.
Vulnerabilidades y skills maliciosos en el ecosistema OpenClaw
Aun antes del último informe de SecurityScorecard, la plataforma ya estaba bajo el escrutinio de la comunidad de ciberseguridad. En el repositorio oficial de ClawHub se identificaron cientos de skills potencialmente maliciosos o comprometidos, capaces de inducir al agente a exfiltrar claves de API, datos de tarjetas bancarias o información personal sensible. Este patrón recuerda a incidentes previos en ecosistemas de paquetes y plugins (por ejemplo, en gestores de paquetes o marketplaces de extensiones), donde módulos aparentemente legítimos se utilizaron como vector de ataque a la cadena de suministro.
Además, en el propio motor de OpenClaw se han descubierto al menos tres vulnerabilidades críticas relacionadas con la ejecución de código y el control de acceso. La combinación de fallos en el núcleo y un ecosistema de extensiones poco controlado convierte a OpenClaw en un objetivo especialmente atractivo para atacantes.
Más de 220 000 instancias de OpenClaw expuestas públicamente
El análisis de SecurityScorecard muestra que decenas de miles de instancias de OpenClaw son accesibles directamente desde la red global. El panel en vivo de los investigadores inicialmente registraba unas 135 000 instancias expuestas; en poco tiempo la cifra superó las 220 000, con una tendencia creciente.
En la práctica, esto significa que cualquier persona que localice una de estas instancias puede intentar interactuar con ella. Dado que OpenClaw suele disponer de permisos amplios sobre la máquina donde se ejecuta, la comprometación del agente equivale a comprometer el entorno completo que alcanza: ficheros, credenciales, aplicaciones y, en entornos corporativos, potencialmente otros sistemas conectados.
La raíz técnica: enlace por defecto a 0.0.0.0 y controles de acceso débiles
Configuración insegura por defecto y exposición masiva de servicios
El origen inmediato del problema está en la configuración por defecto. OpenClaw se despliega escuchando en 0.0.0.0:18789, es decir, acepta conexiones en todos los interfaces de red, incluidos los públicos. Para una herramienta de este tipo, la práctica segura sería restringir la escucha a 127.0.0.1 (localhost), limitando el acceso a la propia máquina.
Esta decisión de diseño, combinada con un despliegue simplificado, ausencia de autenticación robusta y controles de acceso mínimos, ha convertido a OpenClaw en otra categoría de servicio masivamente expuesto, fácilmente localizable mediante escaneos automatizados o motores como Shodan y Censys. Casos anteriores de bases de datos MongoDB o Elasticsearch abiertas sin contraseña han demostrado cómo una mala configuración puede derivar en brechas masivas de datos; OpenClaw reproduce este patrón en el contexto de agentes de IA.
Un agente de IA con privilegios equivalentes a un usuario remoto
Los investigadores comparan esta situación con permitir que un tercero se conecte de forma remota a nuestro equipo para “ayudar” con tareas. Mientras se supervisa de cerca al agente, el riesgo parece controlado. Pero si la instancia acepta órdenes de cualquier origen, se convierte en un punto de entrada para atacantes.
OpenClaw suele disponer de acceso a almacenamientos de contraseñas, sistema de archivos, mensajerías, navegador y cachés con datos personales. Desde la perspectiva de un atacante, lograr el control de una instancia expuesta proporciona visibilidad casi total sobre el entorno del usuario y, en redes corporativas, una excelente plataforma para reconocimiento, robo de credenciales y movimiento lateral.
Impacto en empresas: de asistente personal a riesgo de seguridad corporativa
Un dato especialmente preocupante del informe es que una parte significativa de las instancias identificadas se asocia a bloques de direcciones IP corporativas. Esto indica que OpenClaw no se limita al uso doméstico, sino que se está desplegando en entornos de trabajo, muchas veces como shadow IT, fuera del control de los equipos de seguridad.
En este contexto, un atacante puede aprovechar un agente OpenClaw comprometido como punto de apoyo para penetrar más profundamente en la red, exfiltrar información confidencial, desplegar ransomware o lanzar campañas de phishing interno desde cuentas legítimas. Diversos informes anuales de ciberseguridad han señalado repetidamente que los servicios mal configurados y la falta de segmentación de red son factores clave en incidentes graves, y OpenClaw encaja plenamente en este perfil de riesgo.
Recomendaciones clave para proteger instancias y agentes de IA OpenClaw
SecurityScorecard recomienda a todos los usuarios de OpenClaw modificar de inmediato la configuración para vincular el servicio únicamente a localhost, restringir cualquier acceso desde direcciones externas y reforzar la protección con autenticación, filtrado por IP, uso de VPN y segmentación de red adecuada.
Más allá de la configuración inicial, la propia naturaleza de OpenClaw —una plataforma diseñada para modificar el sistema y exponer servicios al exterior— obliga a tratarlo como un componente de alto riesgo. Entre las buenas prácticas recomendadas se incluyen:
- Desplegar OpenClaw en máquinas separadas o entornos virtualizados (VM o contenedores) con controles de acceso estrictos.
- Aplicar el principio de mínimo privilegio, evitando conceder al agente acceso innecesario a sistemas críticos o datos sensibles.
- Auditar periódicamente puertos y servicios expuestos, así como monitorizar registros y actividad anómala asociada al agente.
- Revisar y probar exhaustivamente cualquier skill de ClawHub u otros repositorios antes de su uso en entornos productivos, priorizando código mantenido y con buena reputación.
- Integrar los agentes de IA en el inventario de activos y en los procesos formales de gestión de riesgos, igual que cualquier otro sistema con acceso a datos críticos.
La exposición masiva de OpenClaw ilustra cómo los agentes de IA se han convertido en una superficie de ataque de primera línea. Para reducir el riesgo, es imprescindible que los desarrolladores adopten principios de “seguridad por defecto” y que las organizaciones traten a estos asistentes como componentes plenamente integrados en la infraestructura, con un nivel de confianza que debe ganarse y revisarse de forma continua. Revisar de inmediato las instancias de OpenClaw, cerrar puertos innecesarios, aplicar controles de acceso robustos y reforzar la formación en seguridad de IA son pasos esenciales para evitar que un “asistente inteligente” se transforme en una puerta de entrada ideal para los atacantes.
