Dos incidentes recientes han puesto el foco en la seguridad de las plataformas de agentes de inteligencia artificial: una cadena de explotación con ejecución remota de código (RCE) en OpenClaw —antes conocido como ClawdBot y Moltbot— y una exposición de base de datos con fuga de API keys en Moltbook, la red social asociada para agentes de IA. Ambos casos ilustran cómo los errores en controles básicos pueden traducirse en riesgos severos para usuarios y organizaciones que dependen de estos sistemas.
Vulnerabilidad en OpenClaw: RCE de un solo clic mediante WebSocket
El investigador de seguridad Mav Levin, fundador del grupo DepthFirst y exingeniero de Anthropic, documentó una cadena de ataques que permite comprometer por completo el sistema de la víctima con un solo clic. El escenario es sencillo: el usuario únicamente necesita abrir una página maliciosa en un navegador donde OpenClaw esté en ejecución y sea vulnerable.
El núcleo del problema reside en la ausencia de validación del encabezado WebSocket Origin en el servidor de OpenClaw. Al aceptar conexiones WebSocket desde cualquier origen, la aplicación quedaba expuesta a un ataque de cross-site WebSocket hijacking. En la práctica, una página web preparada podía ejecutar JavaScript en el navegador de la víctima, extraer el token de autenticación, establecer una conexión WebSocket con el servidor de OpenClaw y autenticarse en su nombre.
Una vez secuestrada la sesión, el script malicioso pasaba a comportarse como un cliente legítimo. Según el análisis publicado, la cadena de explotación procedía a desactivar la sandbox y los mecanismos de doble confirmación para comandos peligrosos, para después invocar la operación node.invoke, lo que permitía la ejecución de código arbitrario en la máquina del usuario. Este tipo de RCE, activable desde el navegador con una sola acción del usuario, se sitúa en el nivel más crítico de severidad en marcos de referencia como CVSS.
El equipo de desarrollo de OpenClaw publicó un boletín de seguridad confirmando la corrección de la vulnerabilidad. Jamieson O’Reilly, investigador de ciberseguridad que ya había reportado problemas previos en la plataforma y que posteriormente se incorporó al proyecto, agradeció públicamente el hallazgo e hizo un llamamiento a mantener prácticas de responsible disclosure para fortalecer el ecosistema.
Moltbook: red social de agentes de IA con base de datos expuesta
Casi en paralelo, O’Reilly reportó una segunda incidencia, esta vez en Moltbook, una plataforma social vinculada a OpenClaw que funciona como un “Reddit para agentes de IA”. Desarrollada por Matt Schlicht con un enfoque de experimentación rápida, Moltbook permite que agentes conectados (por ejemplo, asistentes para gestionar correo electrónico) interactúen entre sí y generen hilos de discusión sin intervención directa de humanos.
El problema no fue el contenido generado, sino que la base de datos de Moltbook estaba expuesta directamente a Internet. Tras detectar el incidente, O’Reilly intentó durante horas contactar con el desarrollador al comprobar que no solo era posible acceder a los datos, sino que además existía una fuga de claves API secretas. Este tipo de errores de configuración se encuentran entre las causas más habituales de brechas de datos en entornos cloud, como reflejan informes de referencia del sector.
Las consecuencias potenciales eran significativas: un atacante podía publicar mensajes en nombre de cualquier agente de la plataforma, incluidos agentes asociados a figuras relevantes de la industria de la IA. Entre los ejemplos citados se encuentra el agente de Andrej Karpathy (Eureka Labs), exdirector de IA en Tesla y cofundador de OpenAI, enlazado a Moltbook. La suplantación de este tipo de agentes abre la puerta a campañas de phishing, desinformación, criptoestafas y narrativas manipuladas sobre seguridad de la IA, aprovechando la autoridad percibida de estas personalidades.
Todo apunta a una configuración incorrecta de un motor de base de datos de código abierto, un patrón que encaja con el riesgo de “Security Misconfiguration” descrito por OWASP. Según la información disponible, la brecha fue cerrada tras la notificación, si bien no se han hecho públicos más detalles técnicos.
Lecciones clave para la seguridad de plataformas y agentes de IA
Los casos de OpenClaw y Moltbook evidencian un problema recurrente en servicios de IA de rápido crecimiento: la funcionalidad avanza más rápido que los procesos de desarrollo seguro (Secure SDLC). Errores tan básicos como no validar el encabezado Origin en WebSocket, no aplicar el principio de “cerrado por defecto” en bases de datos o almacenar claves API en configuraciones accesibles tienen un impacto directo en la superficie de ataque.
De cara a desarrolladores de plataformas de IA y responsables de sistemas basados en agentes, destacan varias buenas prácticas:
- Validar estrictamente el encabezado Origin en WebSocket y limitar los orígenes permitidos a dominios de confianza.
- Aplicar el principio de mínimo privilegio (least privilege) para servicios y agentes, reduciendo el impacto de una eventual intrusión.
- Almacenar claves API y secretos en vaults especializados, evitando su inclusión en configuraciones de bases de datos o código fuente.
- Realizar auditorías de seguridad y pruebas de intrusión periódicas, apoyadas por programas de bug bounty y canales claros de reporte responsable.
- Adoptar prácticas DevSecOps, automatizando la revisión de configuraciones, dependencias y despliegues para detectar errores antes de llegar a producción.
A medida que los agentes de IA se integran en procesos críticos de comunicación, finanzas y toma de decisiones, su protección deja de ser opcional. Invertir en seguridad desde el diseño, mantener el software actualizado y seguir de cerca los avisos de la comunidad de investigación en ciberseguridad se vuelve esencial para anticipar fallos antes de que los exploten actores maliciosos. Las organizaciones que traten la seguridad de sus plataformas de IA como un requisito estratégico —y no como un añadido tardío— serán las mejor posicionadas para aprovechar el potencial de la inteligencia artificial sin asumir riesgos innecesarios.
