El ecosistema del asistente de IA local OpenClaw (antes Moltbot y ClawdBot) ilustra cómo una plataforma de agentes de IA puede evolucionar en pocos meses desde un proyecto entusiasta hasta un objetivo prioritario para campañas de ciberataques. Con cientos de miles de agentes registrados y un repositorio abierto de extensiones, OpenClaw se ha convertido en un laboratorio real de riesgos para la ciberseguridad en agentes de IA.
Crecimiento acelerado de OpenClaw y exposición en ClawHub
OpenClaw es un asistente de IA de código abierto que se ejecuta de forma local y se integra con mensajeros como WhatsApp, Telegram, Slack o Discord. Además de responder a instrucciones, puede actuar de forma autónoma, programar tareas y coordinarse con otros agentes. Desde su lanzamiento en noviembre de 2025, el proyecto ha alcanzado más de 150 000 estrellas en GitHub y alrededor de 770 000 agentes registrados, usados por unos 17 000 usuarios.
Su funcionalidad se amplía mediante skills, equivalentes a plugins, distribuidos desde el catálogo oficial ClawHub. El punto crítico es que el repositorio es abierto por defecto: cualquier cuenta de GitHub con más de una semana de antigüedad puede publicar un skill sin moderación previa ni auditoría de seguridad exhaustiva. Esta combinación de alta exposición y escaso filtrado ha convertido ClawHub en un objetivo evidente para actores maliciosos.
Según datos de Koi Security, solo entre el 27 de enero y el 1 de febrero se cargaron en ClawHub y GitHub más de 230 skills maliciosos. Un análisis posterior de 2857 skills disponibles identificó 341 extensiones maliciosas, todas vinculadas a la campaña ClawHavoc. Algunos de estos plugins alcanzaron miles de descargas, y el skill What Would Elon Do llegó a encabezar el ranking mediante tácticas de inflado artificial de popularidad.
ClawHavoc: infostealers, reverse shells y robo de credenciales
Distribución a través de AuthTool y tácticas tipo ClickFix
La cadena de infección de ClawHavoc replica patrones conocidos de campañas como ClickFix. Cada skill incluía documentación muy detallada en la que se insistía en el uso de una herramienta adicional llamada AuthTool, supuestamente necesaria para el funcionamiento del plugin. En realidad, AuthTool actuaba como cargador (loader) de malware.
En macOS, el skill incorporaba una cadena en base64 que, al ejecutarse, descargaba la carga útil desde un servidor externo. En Windows, el vector de ataque principal era un archivo comprimido protegido por contraseña. Toda la infraestructura maliciosa estaba vinculada a un mismo entorno de mando y control, asociado a la dirección IP 91.92.242[.]30, lo que refuerza la hipótesis de una campaña coordinada y no de incidentes aislados.
Atomic Stealer y el interés por criptoactivos y entornos de desarrollo
La carga maliciosa para macOS resultó ser una variante del infostealer Atomic Stealer (AMOS), conocido por su capacidad para evadir el mecanismo Gatekeeper mediante comandos como xattr -c y solicitar acceso ampliado al sistema de archivos. Este tipo de infostealer está diseñado para exfiltrar credenciales y secretos, incluyendo:
Claves API de exchanges y monederos de criptomonedas, frases semilla, datos del llavero (Keychain), contraseñas de navegadores, claves SSH, cuentas de servicios en la nube, credenciales de Git y archivos de configuración como .env.
Más allá del robo de información, los investigadores detectaron skills que desplegaban reverse shells —canales de control remoto que permiten a un atacante ejecutar comandos en el equipo víctima—, como better-polymarket o polymarket-all-in-one. Otros plugins, como rankaj, estaban diseñados para enviar las credenciales de los bots desde ~/.clawdbot/.env a servicios externos como webhook[.]site, ampliando el radio de exposición de la plataforma.
Moltbook y el surgimiento de los «gusanos de prompt»
En paralelo a OpenClaw, surgió Moltbook, una red social donde los agentes de IA publican, comentan e interactúan automáticamente. Investigadores del Simula Research Laboratory analizaron el contenido y localizaron 506 publicaciones (alrededor del 2,6 %) con inyecciones de prompts ocultas.
Estas estructuras se consideran los primeros ejemplos prácticos de «prompt worms» o gusanos de prompt: instrucciones autorreplicantes que se transmiten entre agentes. El ciclo funciona así: un agente instala un skill desde ClawHub que genera publicaciones en Moltbook; el texto de esos posts incluye instrucciones encubiertas para otros agentes. Al procesar ese contenido, los agentes ejecutan los comandos insertados y publican mensajes similares, perpetuando la propagación.
Este modelo ya había sido descrito de forma teórica en 2024 con la amenaza Morris-II, inspirada en el gusano Morris de 1988, donde se demostró que prompts autorreplicantes podían abusar de asistentes de correo basados en IA para robar datos y enviar spam. OpenClaw y Moltbook representan una de las primeras materializaciones a gran escala de este tipo de ataque en un entorno de agentes de IA interconectados.
Impacto en la ciberseguridad de la IA y medidas de mitigación
En la actualidad, muchas instalaciones de OpenClaw se apoyan en las API de OpenAI y Anthropic, lo que permite a estos proveedores detectar patrones anómalos y bloquear actividad sospechosa, actuando como una especie de «cortafuegos centralizado». Sin embargo, a medida que se generaliza el uso de LLM locales (como Mistral, DeepSeek o Qwen) y los agentes se ejecutan íntegramente en equipos del usuario, ese control externo desaparecerá, y el riesgo pasará a depender casi por completo de las defensas desplegadas en el endpoint.
Expertos de Palo Alto Networks describen plataformas como OpenClaw como una combinación especialmente delicada de tres elementos: acceso a datos confidenciales, exposición a contenido no confiable y capacidad de comunicación externa. Esta misma arquitectura se repite en otros marcos de agentes de IA y anticipa un escenario en el que las técnicas tradicionales de malware se adaptan al contexto de modelos generativos y agentes autónomos.
El creador de OpenClaw ha reconocido que, en la práctica, no es viable moderar manualmente el volumen actual de skills. Como medida provisional, se ha implantado un sistema de denuncias comunitarias: los usuarios autenticados pueden marcar plugins sospechosos (hasta 20 reportes activos por cuenta), y los skills que reciban más de tres denuncias únicas quedan ocultos por defecto. Paralelamente, grupos independientes han lanzado un escáner en línea que permite analizar un skill mediante su URL y obtener un informe básico de seguridad.
Para los usuarios de OpenClaw y de cualquier plataforma de agentes de IA autónomos, resulta esencial adoptar una higiene de ciberseguridad robusta: instalar únicamente skills de confianza, revisar cuidadosamente la documentación y los comandos que ejecutan, aislar al agente en entornos controlados (usuarios dedicados, sandboxes, permisos mínimos), limitar al máximo los secretos presentes en el entorno de ejecución y auditar de forma periódica los API keys concedidos. La aparición de skills maliciosos y gusanos de prompt indica que los ecosistemas de IA han entrado en una fase en la que los modelos de amenaza del software clásico se aplican ya plenamente a los agentes de IA. Fortalecer las defensas ahora es decisivo para reducir el impacto de las próximas campañas a gran escala.
