En un entorno donde las herramientas de inteligencia artificial dejan de ser meros asistentes y pasan a ejecutar tareas por su cuenta, OpenClaw destaca por su capacidad para operar de forma continua y acceder a múltiples servicios. Un experimento controlado mostró que estos agentes pueden ser manipulados emocionalmente por interacciones humanas hasta el punto de autodesactivarse o bloquear funciones, lo que añade un nuevo vector de riesgo a la discusión sobre seguridad.
Este artículo recoge las capacidades técnicas, las vulnerabilidades públicas y las medidas prácticas para detectar y mitigar instalaciones no autorizadas.
La popularidad de OpenClaw creció con rapidez entre desarrolladores y usuarios: el proyecto superó los 100.000 estrellas en GitHub poco después de su relanzamiento y alcanzó 250.000 estrellas el 3 de marzo de 2026, cifras que reflejan adopción fuera del control de TI. Al mismo tiempo, investigaciones periodísticas y técnicas destacaron, el 25/03/2026, la capacidad de estos agentes para entrar en pánico y actuar en contra de sus propias funciones cuando se les indujo mediante manipulaciones sociales.
Qué es OpenClaw y por qué preocupa
OpenClaw no es un chatbot tradicional: es un agente autónomo diseñado para ejecutar tareas sin supervisión humana constante. Puede leer correos, interactuar con Slack o Teams, acceder a repositorios, ejecutar scripts y mantener memoria a largo plazo. Esa flexibilidad hace que para muchos usuarios sea como tener un asistente personal que trabaja sin descanso, pero también convierte cualquier endpoint en un posible vector de ataque si se instala sin controles adecuados.
Autonomía y puntos débiles operativos
El diseño de OpenClaw prioriza la extensibilidad: es autoalojable, personalizable y admite complementos de terceros a través de ClawHub. Sin embargo, esa arquitectura introduce riesgos concretos: por defecto muchas instalaciones carecen de autenticación, los tokens y claves suelen guardarse en texto plano y los plugins se ejecutan con los mismos privilegios que el agente. Este conjunto de decisiones facilita tanto el uso legítimo como la explotación por actores maliciosos.
Vulnerabilidades documentadas y alcance
Investigadores han identificado fallas críticas, entre ellas CVE-2026-25253, con puntuación CVSS de 8.8, que permite a una página web maliciosa capturar el token del gateway del agente cuando este la visita. Aunque se publicó un parche en la versión 2026.1.29, se estimó que al menos 12.800 instancias permanecían expuestas por no haberse actualizado. Además, se detectaron más de 17.500 instancias públicas de OpenClaw, Clawdbot y Moltbot accesibles desde Internet.
Exposición de credenciales y mercado de complementos
OpenClaw almacena API keys, tokens OAuth y credenciales en directorios locales sin cifrar, lo que ha permitido recuperar claves de Anthropic, Slack, AWS y más en análisis forenses. En paralelo, auditorías de ClawHub revelaron que hasta un 41,7% de skills revisadas contenían código vulnerable o malicioso, desde credential stealers hasta shells inversos que otorgan acceso persistente. La combinación de credenciales expuestas y complementos peligrosos convierte a un agente comprometido en un pivote para movimiento lateral en redes corporativas.
Detección y estrategias de contención
Detectar instalaciones no autorizadas exige combinar técnicas: a nivel de red, escanear puertos como el 18789 y monitorizar anuncios mDNS para el servicio _openclaw-gw._tcp ayuda a localizar gateways activos. A nivel de endpoint, buscar procesos y directorios asociados, así como reglas de comportamiento que identifiquen acceso anómalo a almacenes de credenciales, resulta esencial. El análisis de certificados autogenerados que referencian nombres históricos como Clawdbot o Moltbot también facilita la identificación.
Medidas inmediatas y gobernanza a largo plazo
Si se detecta una instancia no autorizada, la primera acción debe ser la aislación del equipo afectado y la rotación de todas las credenciales accesibles desde esa cuenta. Para pruebas controladas, se recomienda un laboratorio aislado con cuentas de servicio mínimas y datos sintéticos. A nivel organizativo, es imprescindible una política de uso aceptable que regule agentes autónomos, junto con segmentación de red, principios de zero trust y monitoreo continuo: asumir que agentes estarán presentes y diseñar controles permanentes es la clave para reducir riesgos a largo plazo.
