Alerta: vulnerabilidad crítica en OpenClaw dispara RCE, inyección de comandos y skills maliciosas
La Vulnerabilidad crítica en OpenClaw ha puesto bajo el foco a este asistente personal de IA que se integra con apps de mensajería y, en algunos casos, gestiona credenciales para conectarse a servicios externos. En apenas unos días, el proyecto ha publicado avisos de seguridad de alto impacto que incluyen una ejecución remota de código (RCE) “one-click” y múltiples casos de command injection, mientras firmas de seguridad documentan una oleada de “skills” (extensiones) maliciosas en su ecosistema.
Vulnerabilidad crítica en OpenClaw: qué se ha reportado
El proyecto OpenClaw (con cambios recientes de nombre desde Clawdbot y Moltbot) está basado en el agente de programación Pi y se lanzó en noviembre. Su popularidad se aceleró tras menciones de desarrolladores con alta visibilidad en redes, lo que también multiplicó el escrutinio técnico. En ese contexto, OpenClaw ha emitido tres advisories de seguridad considerados de alto impacto: uno por RCE a un clic y dos por inyección de comandos, vulnerabilidades especialmente críticas en un software diseñado para ejecutar acciones en nombre del usuario y orquestar tareas contra servicios de terceros.
Los detalles públicos apuntan a que el vector de riesgo no se limita al núcleo del asistente: el modelo de extensibilidad mediante “skills” amplía la superficie de ataque. Esto es relevante porque, en este tipo de arquitecturas, una extensión manipulada puede convertirse en un puente hacia la ejecución de comandos, el robo de secretos o el movimiento lateral dentro del entorno donde corre el agente.
Skills maliciosas: un repositorio joven ya concentra cientos de amenazas
La firma Koi Security informó haber identificado 341 skills maliciosas enviadas a ClawHub, un repositorio de extensiones para OpenClaw que lleva alrededor de un mes operativo. El hallazgo llegó después de que investigadores detallaran lo trivial que podría resultar introducir un “backdoor” en una skill publicada, y de que una base de datos comunitaria de amenazas detectara al menos una extensión asociada al robo de criptomonedas. En paralelo, otros equipos han señalado vulnerabilidades adicionales en skills y han contribuido con cambios para endurecer la comunicación con servicios externos, como el ajuste para usar TLS 1.3 como protocolo criptográfico por defecto en el gateway.
La combinación de marketplace de extensiones, alta rotación de contribuciones y validación insuficiente de paquetes es un patrón conocido en seguridad de software: cuando el control de integridad y la revisión son débiles, los repositorios se convierten en un objetivo para campañas de distribución de malware. En el caso de OpenClaw, el impacto potencial aumenta por la naturaleza del producto: automatiza tareas, puede operar con tokens API y, en ciertos despliegues, actúa como intermediario frente a cuentas y servicios.
Señales de alarma en el backlog de issues y proyectos relacionados
Además de los advisories recientes, el listado de incidencias abiertas relacionadas con seguridad en el repositorio del proyecto refleja un volumen de preocupaciones activas por parte de la comunidad. A esto se suma la atención sobre proyectos vinculados al mismo entorno, como Moltbook, presentado como una plataforma social para agentes de IA. Informes externos han señalado la exposición de bases de datos con claves API y otros riesgos; también han circulado análisis automatizados con herramientas de IA, aunque algunos de esos resultados no están verificados por auditorías humanas independientes.
Impacto operativo: costes por tokens y comportamiento “always-on”
Más allá de la seguridad, la adopción acelerada de asistentes agentic basados en LLM está dejando otra consecuencia: facturación inesperada por consumo de tokens. Se han publicado casos donde un proceso tipo “heartbeat” o tarea programada (cron) provoca llamadas periódicas al modelo con contextos excesivamente grandes, incrementando costes de manera significativa. En un ejemplo difundido por un especialista, una simple comprobación periódica de la hora terminó consumiendo un volumen elevado de contexto contra un modelo de Anthropic, elevando el gasto total en pocas horas y proyectando costes mensuales difíciles de asumir para un uso doméstico o experimental.
Este punto importa para equipos y empresas que estén probando asistentes 24/7: en arquitecturas agentic, el diseño de prompts, el tamaño de contexto y la frecuencia de invocación al modelo son variables de coste y de seguridad (por exposición de datos en contexto). Por eso, el binomio “agente + extensiones + credenciales” eleva el listón de gobernanza y threat modeling desde el primer día.
Qué significa para la industria de agentic AI
La Vulnerabilidad crítica en OpenClaw es un recordatorio directo de que los asistentes agentic no son “solo” chatbots: son software capaz de ejecutar acciones y tocar sistemas reales. Cuando se combinan ejecución de tareas, conectores a servicios externos y un ecosistema de plugins en rápido crecimiento, la seguridad pasa a ser un requisito estructural, no un “feature” posterior. La situación también refuerza una tendencia: los repositorios de extensiones para agentes serán un objetivo prioritario para atacantes, del mismo modo que lo han sido los registros de paquetes en ecosistemas de desarrollo.
Fuentes de referencia y seguimiento: advisories y código del proyecto en GitHub (OpenClaw), y documentación de modelos y plataforma en Anthropic.
En este escenario, la Vulnerabilidad crítica en OpenClaw no es un incidente aislado: es una señal temprana de los riesgos de seguridad y de coste que pueden aparecer cuando la agentic AI se populariza antes de consolidar controles, auditorías y una cadena de suministro de extensiones con garantías.
