Las extensiones y “skills” para asistentes de inteligencia artificial se están consolidando como una nueva superficie de ataque crítica. En el caso del agente de código abierto OpenClaw (antes Moltbot y ClawdBot), investigadores de ciberseguridad han identificado en pocos días cientos de módulos maliciosos diseñados principalmente para el robo de criptomonedas y activos financieros, lo que ha forzado a la plataforma a reaccionar con medidas de seguridad adicionales.
Proliferación de skills maliciosos en OpenClaw: alcance y objetivos de los ataques
Según Koi Security, entre el 27 de enero y el 1 de febrero se publicaron más de 230 skills maliciosos para OpenClaw tanto en el repositorio oficial ClawHub como en GitHub. Muchos se presentaban como utilidades legítimas, pero su código incluía funciones de vaciado de monederos, exfiltración de claves y manipulación de transacciones.
El grupo independiente OpenSourceMalware detalló en un informe técnico cómo los atacantes explotan el alto nivel de confianza en el asistente y su acceso a herramientas del sistema para ejecutar acciones no autorizadas y extraer información sensible. En paralelo, Bitdefender Labs estimó que alrededor del 17% de todos los skills analizados de OpenClaw en febrero de 2026 eran maliciosos, una tasa comparable a la de extensiones de navegador no verificadas o software pirata.
Este patrón encaja con tendencias ya observadas en otros ecosistemas, como extensiones de navegador o paquetes en repositorios como npm o PyPI, donde las supply-chain attacks se han convertido en una vía habitual de entrada en organizaciones. La diferencia es que, en el caso de los asistentes de IA, el atacante no solo compromete código, sino también el canal de interacción natural con el usuario.
Integración de OpenClaw con VirusTotal: nueva capa de defensa para skills de IA
Consciente de que los skills otorgan a OpenClaw acceso a domótica, finanzas, mensajería y otros servicios críticos, el equipo del proyecto ha anunciado una integración nativa con VirusTotal, incluyendo el módulo Code Insight. El objetivo es someter todo skill publicado en ClawHub a un análisis automático antes de que pueda ser instalado de forma masiva.
Flujo de análisis automático con SHA‑256 y Code Insight
El proceso de verificación se articula en varias fases técnicas:
1. Para cada skill cargado se calcula un hash SHA‑256 y se consulta directamente contra la base de datos de VirusTotal. Si el hash ya está catalogado como malicioso, el skill se bloquea de inmediato y no llega al catálogo público.
2. Si no hay coincidencias, el paquete pasa a un análisis profundo mediante Code Insight, que evalúa el comportamiento del código, patrones de acceso a recursos, posibles backdoors y llamadas sospechosas a servicios externos, combinando análisis estático y heurístico.
3. Los skills clasificados como “benign” se aprueban automáticamente. Los que se marcan como sospechosos siguen disponibles, pero se acompañan de advertencias visibles para el usuario. Las extensiones que reciben un veredicto de maliciosas se bloquean y no se publican en ClawHub.
Además, todos los skills activos se someterán a un escaneo diario, una medida clave frente a técnicas de activación diferida, cambios de código posteriores o intentos de eludir la detección progresivamente.
Moderación colaborativa: sistema de denuncias en ClawHub
Antes de la integración completa con VirusTotal, ClawHub ya había habilitado un mecanismo de defensa temporal basado en denuncias de usuarios. Toda cuenta autenticada puede marcar hasta 20 skills como sospechosos de forma simultánea.
Cuando un módulo recibe más de tres denuncias únicas, queda oculto por defecto, reduciendo la probabilidad de instalación accidental por parte de usuarios menos expertos. Este enfoque híbrido —automatización mediante antivirus y moderación por la comunidad— es especialmente relevante en plataformas abiertas y de rápida expansión.
Limitaciones frente a prompt injection y riesgos en entornos corporativos
Pese a este refuerzo, los desarrolladores de OpenClaw subrayan que la integración con VirusTotal no es una solución total. Una parte de los ataques se basa en prompt injection y otras técnicas lógicas contra el modelo de IA, que pueden no manifestarse como código malicioso tradicional y, por tanto, escapar a los motores antimalware clásicos.
El riesgo se amplifica cuando OpenClaw se despliega en estaciones de trabajo corporativas sin conocimiento de los equipos de TI y seguridad. En ese escenario, los skills se convierten en un nuevo canal de supply-chain desde una plataforma aparentemente confiable hacia sistemas y datos internos, con un impacto potencial similar al de macros ofimáticos o complementos de navegador comprometidos.
Buenas prácticas para organizaciones que adoptan asistentes de IA
Para las empresas, los skills de asistentes de IA deben tratarse con la misma cautela que cualquier código ejecutable: establecer listas blancas de fuentes confiables, revisar código cuando sea posible, aplicar el principio de mínimo privilegio en permisos y aislar la ejecución del agente en entornos controlados.
También es recomendable integrar estos agentes en los procesos existentes de gestión de riesgos y seguridad: inventario de skills instalados, revisión periódica, monitorización de comportamiento anómalo y correlación de eventos con soluciones SIEM. La formación de usuarios para reconocer riesgos asociados a skills y prompts maliciosos es un complemento esencial.
Transparencia y modelo de amenazas: próximos pasos en la seguridad de OpenClaw
El equipo de OpenClaw ha anunciado planes para reforzar la seguridad proactiva de la plataforma mediante la publicación de una modelo de amenazas completo para el agente y su ecosistema de skills, una hoja de ruta de seguridad abierta con prioridades y plazos, un proceso formal de responsible disclosure y la divulgación de los resultados de un auditoría independiente de todo el código.
Una mayor transparencia en estos aspectos permite a desarrolladores y a organizaciones evaluar mejor los riesgos, definir controles compensatorios y alinear OpenClaw con sus marcos de gobierno de ciberseguridad y cumplimiento normativo.
El caso de los skills maliciosos en OpenClaw muestra que los asistentes de IA ya son un objetivo prioritario para los atacantes. Integraciones como VirusTotal, el escaneo continuo y la moderación comunitaria son avances relevantes, pero insuficientes por sí solos. Es crucial que usuarios y empresas adopten políticas de control de extensiones, limiten el acceso de los agentes de IA a recursos críticos, revisen con regularidad los skills instalados y se mantengan informados de las actualizaciones de seguridad. Quienes incorporen estas prácticas desde ahora reducirán de forma significativa la probabilidad de sufrir fugas de datos, fraude financiero o compromisos de infraestructura a través de un skill aparentemente inofensivo.
