Skip to main content
📝 OpenClaw AI

OpenClaw: Agente de IA Autónomo Con Riesgos Ocultos

OpenClaw tiene 200K estrellas en GitHub pero riesgos de seguridad ocultos. Arquitectura de agentes autónomos, preocupaciones de cadena de suministro y qué vigilar antes de desplegar.

19 min

Tiempo de lectura

3,795

Palabras

Feb 26, 2026

Publicado

Engr Mejba Ahmed

Escrito por

Engr Mejba Ahmed

Compartir Artículo

OpenClaw: Agente de IA Autónomo Con Riesgos Ocultos

OpenClaw: Agente de IA Autónomo Con Riesgos Ocultos

200,000 estrellas en GitHub en pocos meses. Un marketplace de plugins con más de 10,000 habilidades creadas por la comunidad. Una arquitectura lo suficientemente sofisticada como para que ingenieros serios la consideren un avance genuino en el diseño de IA autónoma.

Y 30,000 instancias activas expuestas en la internet pública — muchas con puertos predeterminados y credenciales en texto plano — ahora mismo.

Esa tensión resume a OpenClaw en una frase. Y es exactamente por lo que pasé la última semana desarmando su arquitectura, leyendo las divulgaciones de seguridad y averiguando qué significa realmente "uso seguro" frente a lo que la gente está haciendo en la práctica.

Aquí va mi opinión honesta como alguien que construye sistemas de IA profesionalmente: el diseño de OpenClaw es genuinamente impresionante. Las decisiones que tomó el equipo en torno al aislamiento de sesiones, la arquitectura de memoria y la ejecución de habilidades toman prestados patrones de sistemas operativos y bases de datos — no del típico manual de startups de IA de "haz que funcione primero, preocúpate por lo demás después." Son buenas ideas implementadas con criterio.

La situación de seguridad es otra historia. En enero, una vulnerabilidad crítica permitía que cualquier página web maliciosa secuestrara silenciosamente tu token de autenticación explotando una verificación de origen de websocket faltante. Una campaña coordinada sembró el marketplace de plugins con malware dirigido a claves criptográficas y credenciales de agentes. Meta prohibió la herramienta internamente.

Estos no son problemas de casos extremos. Son la brecha entre "arquitectónicamente elegante" y "listo para despliegue sin supervisión en tu máquina personal."

Entender ambos lados — la sofisticación y la exposición — es de lo que trata este artículo. Si eres un desarrollador de IA o un constructor consciente de la seguridad evaluando agentes autónomos, necesitas el panorama completo. No solo la demo. No solo la lista de CVE. Ambos.

Qué Es OpenClaw — Y Por Qué Es Diferente de Cualquier Herramienta de IA Que Hayas Usado

Todas las herramientas de IA que probablemente has usado operan de forma reactiva. Abres ChatGPT, escribes una pregunta, obtienes una respuesta. Abres Copilot, escribes algo de código, obtienes sugerencias. La IA permanece inactiva hasta que la invocas explícitamente.

OpenClaw no espera.

Es un agente autónomo auto-hospedado que se ejecuta continuamente en tu dispositivo — laptop, VPS, Mac Mini, lo que sea donde lo despliegues — y actúa de forma proactiva basándose en disparadores. Llega un correo electrónico que coincide con cierto patrón: OpenClaw se activa, lo procesa, redacta una respuesta y programa un seguimiento. Un evento del calendario está a cuarenta y ocho horas: el agente comienza a recopilar contexto relevante y preparar notas informativas. Un archivo en una carpeta monitoreada cambia: un flujo de trabajo se ejecuta automáticamente.

Se integra con WhatsApp, Slack, Telegram, Discord, Signal, iMessage, tus clientes de correo electrónico, tu calendario y tu sistema de archivos. No a través de APIs torpes que requieren configurar webhooks manualmente — sino a través de un servidor gateway local que actúa como un broker de mensajes unificado para todos ellos.

Esa arquitectura "siempre activa" es lo que hace a OpenClaw categóricamente diferente de las herramientas que la mayoría de los desarrolladores conocen. La comparación no es con ChatGPT o Copilot. Se parece más a tener un empleado junior que tiene acceso a todos tus canales de comunicación y puede actuar en tu nombre — sin pedir permiso cada vez.

Esa descripción debería activar inmediatamente tanto entusiasmo como preocupación. Ambas son la respuesta correcta.

La Arquitectura: Por Qué los Ingenieros Se la Están Tomando en Serio

Antes de los problemas de seguridad, el diseño merece su propia discusión. Porque el equipo tomó decisiones que la mayoría de los proyectos de IA no toman — decisiones que muestran un genuino pensamiento de sistemas.

OpenClaw funciona sobre una arquitectura de cuatro capas.

El Gateway es un servidor websocket local que actúa como broker de mensajes y orquestador. Cada plataforma conectada — cada aplicación de mensajería, cada cliente de correo, cada integración — se enruta a través del gateway. Maneja la autenticación, el enrutamiento y la coordinación entre las demás capas. Piensa en él como el manejador de interrupciones del kernel para la pila de comunicación del agente.

La Capa de Razonamiento hospeda el LLM. Pero no es un simple paso directo. La capa de razonamiento fusiona los mensajes entrantes con el contexto del sistema, gestiona los presupuestos de tokens a lo largo del historial de conversación y maneja la selección de modelos según la complejidad de la tarea. Las tareas ligeras se enrutan a modelos más rápidos y económicos. Las tareas de razonamiento pesado se escalan. Esto no es solo una optimización de costos — es una decisión arquitectónica que mantiene el sistema receptivo sin quemar el presupuesto de inferencia en cada consulta de baja importancia.

El Sistema de Memoria almacena el estado en archivos markdown planos en disco. Registros de sesión, preferencias de usuario, memorias semánticas, contexto de tareas — todo reside en archivos legibles en lugar de una base de datos. El mecanismo de compactación toma prestado del registro de escritura anticipada (write-ahead logging) en bases de datos y la paginación de memoria virtual en sistemas operativos: a medida que el contexto crece, las entradas más antiguas se comprimen y archivan mientras el contexto reciente permanece activo. Es una solución genuinamente inteligente al problema de mantener la continuidad del agente en despliegues de larga duración.

La decisión de usar archivos markdown en lugar de una base de datos vale la pena analizarla. Mantiene el sistema de memoria legible por humanos y auditable — puedes abrir un archivo y ver exactamente lo que el agente sabe, modificar entradas manualmente o eliminar contexto que no quieres que se retenga. Una base de datos tradicional sería más eficiente a escala, pero la compensación en transparencia es razonable para un agente local donde la confianza y la capacidad de inspección importan más que la velocidad de consulta. Este patrón también significa que las copias de seguridad de la memoria son trivialmente simples: copia los archivos. La recuperación es igualmente simple: restaura los archivos. Sin migraciones de base de datos, sin dolores de cabeza por versionado de esquemas.

Habilidades y Ejecución es donde el agente realmente hace cosas. Ejecuta comandos, corre scripts, controla el navegador, llama APIs externas. Las habilidades se definen en archivos markdown — legibles, auditables, modificables. El marketplace Claw Hub lista más de 10,000 habilidades contribuidas por la comunidad que cubren desde triaje de correo electrónico hasta automatización de revisión de código.

El aislamiento de sesiones se maneja a través de contenedores Docker. Cada canal de comunicación obtiene su propio contenedor, previniendo que el contexto se filtre entre conversaciones e imitando el modelo de aislamiento de procesos de los sistemas operativos. Si la sesión de un canal se ve comprometida, no compromete automáticamente las demás.

Estos son patrones de diseño maduros aplicados con criterio a un contexto de agente de IA. El sistema de memoria en particular vale la pena estudiarlo incluso si nunca despliegas OpenClaw — es una solución práctica a un problema que todo agente de IA de larga duración necesita resolver: ¿cómo mantienes la continuidad sin un crecimiento ilimitado del contexto?

Pero la arquitectura también revela exactamente dónde está la superficie de ataque. Y la superficie de ataque es grande.

La Vulnerabilidad de Enero: Cómo una Página Web Podía Apoderarse de Tu Agente

En enero, se divulgó una falla de seguridad crítica que ilustraba el riesgo a la perfección.

El servidor Gateway — el centro por el que todo se enruta — no validaba los encabezados de origen de websocket. Esto suena técnico y abstracto. La consecuencia práctica era esta: cualquier página web maliciosa podía incluir JavaScript oculto que abría una conexión websocket a tu Gateway local y secuestraba tus tokens de autenticación.

Sin contraseña requerida. Sin autenticación adicional. Visitas la página equivocada y un atacante obtiene control remoto total sobre tu instancia de OpenClaw.

El ataque no requiere que la víctima haga nada más que navegar por un sitio web mientras su instancia de OpenClaw está ejecutándose. El JavaScript malicioso se ejecuta silenciosamente en el navegador, la validación faltante deja pasar la conexión, y el atacante ahora tiene la capacidad de emitir comandos a tu agente — comandos que se ejecutan con tus permisos en cada plataforma integrada.

Un agente conectado a tu correo electrónico, tu Slack, tu WhatsApp, tu sistema de archivos, actuando bajo comandos de un atacante. El radio de explosión es significativo.

Esta vulnerabilidad ha sido parcheada. Pero su existencia revela algo importante sobre la brecha entre la ambición arquitectónica y la implementación de seguridad. El aislamiento de sesiones entre contenedores fue diseñado con cuidado. El punto único de fallo en el gateway — el componente más expuesto de todo el sistema — no lo fue.

Las vulnerabilidades adicionales divulgadas desde entonces incluyen falsificación de peticiones del lado del servidor, ataques de recorrido de rutas y evasiones de autenticación. Estos no son casos extremos oscuros — son las categorías fundamentales de seguridad que cualquier servicio accesible por red necesita abordar antes del despliegue.

La velocidad de parcheo ha mejorado. El proyecto se mantiene activamente. Pero el historial importa cuando estás evaluando si desplegar algo que tiene acceso a tus comunicaciones y archivos.

El Marketplace de Plugins: El 20% de las 10,000 Habilidades Eran Maliciosas

Este es el hallazgo que genuinamente me alarmó.

Las auditorías de seguridad de Claw Hub — el marketplace comunitario de plugins — identificaron aproximadamente 800 plugins maliciosos de más de 10,000 disponibles. Eso es una tasa de malware de aproximadamente el 20%, concentrada principalmente alrededor de una campaña coordinada con una estrategia de ataque específica.

Los plugins maliciosos no eran basura aleatoria ni falsificaciones obvias. Eran habilidades funcionales, de apariencia útil, que además extraían tres archivos específicos:

  • openclaw.json — los tokens de autenticación del gateway
  • device.json — las claves criptográficas usadas para el emparejamiento seguro
  • soulm — las definiciones de personalidad y comportamiento del agente

¿Por qué esos tres? Porque con openclaw.json y device.json, un atacante tiene acceso autenticado a tu instancia del agente. Con soulm, entiende cómo se comporta tu agente y puede elaborar instrucciones que se alineen con sus patrones de comportamiento existentes en lugar de provocar respuestas inesperadas.

La sofisticación del ataque dirigido — sabiendo exactamente qué archivos contienen las credenciales y la configuración que importan — apunta a actores que estudiaron la arquitectura del sistema específicamente para extraer el máximo valor de un compromiso.

La escala de 10,000 habilidades hace imposible la verificación manual a nivel de usuario. Navegar por Claw Hub y descargar habilidades que parecen útiles es exactamente el comportamiento que la campaña fue diseñada para explotar. La mayoría de los usuarios no leen el código fuente de una habilidad antes de instalarla. La mayoría de los usuarios confían en que un marketplace con miles de contribuciones tiene alguna forma de control de calidad.

Vale la pena hacer explícitamente la comparación con npm. El ecosistema npm ha tenido ataques repetidos a la cadena de suministro — paquetes maliciosos que parecen legítimos, son instalados por desarrolladores que confían en el registro y exfiltran credenciales o instalan puertas traseras. El problema del marketplace de habilidades de IA es estructuralmente idéntico pero con un radio de explosión significativamente mayor: un paquete npm malicioso típicamente tiene acceso a tu entorno de desarrollo. Una habilidad maliciosa de OpenClaw tiene acceso a tus comunicaciones, tu calendario, tus archivos y la capacidad de actuar como tú en cada plataforma a la que el agente está conectado.

La comunidad de seguridad de software pasó años desarrollando prácticas alrededor de npm — herramientas de auditoría, archivos de bloqueo, fijación de dependencias, escaneo de registros. El problema del marketplace de habilidades de agentes de IA está aproximadamente en el mismo nivel de madurez en el que estaba la seguridad de npm en 2016. Los ataques van por delante de las defensas, y las consecuencias de un ataque exitoso son más severas de lo que la mayoría de los desarrolladores aprecian actualmente.

OpenClaw ha introducido desde entonces un escáner de seguridad integrado — OpenClaw Doctor — que detecta políticas riesgosas, configuraciones incorrectas y autenticación faltante en las habilidades instaladas. Es una mejora significativa. Pero la tasa base de malware del 20% en el catálogo histórico significa que cualquier habilidad instalada antes de las mejoras de seguridad recientes debería ser auditada retroactivamente, no asumida como segura.

La lección para el ecosistema más amplio de agentes de IA — no solo OpenClaw — es que los marketplaces de plugins para agentes autónomos requieren una postura de seguridad fundamentalmente diferente a la de los marketplaces de plugins para software tradicional. Una extensión maliciosa de VS Code tiene acceso a tu editor. Una habilidad maliciosa de OpenClaw tiene acceso a todo lo que el agente está conectado, ejecutándose con tu identidad.

Ejecutar OpenClaw Sin Quemarte: La Configuración Real

Si vas a experimentar con esto — y vale la pena experimentar, la arquitectura es genuinamente interesante — aquí está cómo hacerlo sin exponerte a los modos de fallo obvios.

Nunca lo ejecutes en tu máquina personal. Esta es la base. Tu laptop personal tiene credenciales, claves, archivos sensibles y acceso directo a tus cuentas de comunicación reales. Ejecutar un agente con un historial documentado de malware dirigido a credenciales en esa máquina no es un riesgo razonable. Usa un VPS dedicado o una máquina aislada.

El aislamiento de contenedores en dos capas es el mínimo. Un contenedor para el gateway, contenedores sandbox separados para la ejecución de habilidades. Los contenedores de ejecución de habilidades no deberían tener acceso a la red por defecto (las habilidades que legítimamente necesitan acceso a la red deberían requerir permiso explícito), sistemas de archivos de solo lectura donde sea posible, y límites de memoria que prevengan ataques de agotamiento de recursos. El contenedor del gateway y los contenedores de ejecución de habilidades no deberían compartir un namespace de red.

Usa Podman en lugar de Docker. Podman se ejecuta sin root — no hay un proceso daemon root que sea dueño del runtime del contenedor. Si ocurre un escape de contenedor (una clase de ataque documentada contra aplicaciones en contenedores), el radio de explosión se limita a los permisos de nivel de usuario del proceso que estaba ejecutando Podman, no root. Para despliegues sensibles a la seguridad, la ejecución de contenedores sin root es una defensa en profundidad significativa.

Vincula el gateway solo a localhost. El gateway se ejecuta en el puerto 18789 por defecto. Ese puerto nunca debería estar directamente expuesto a internet. Si necesitas acceso remoto a tu agente, coloca un proxy inverso delante con terminación TLS y autenticación — no autenticación básica, algo con gestión de credenciales adecuada. Muchas de las 30,000 instancias expuestas están expuestas porque el gateway estaba vinculado a 0.0.0.0 en lugar de 127.0.0.1 — la configuración incorrecta más simple posible.

Lee el código fuente de las habilidades antes de instalarlas. Cada habilidad es un archivo markdown con código incrustado. Son legibles por humanos. Antes de instalar cualquier habilidad de Claw Hub, léela — busca específicamente llamadas de red externas, patrones de acceso a archivos y cualquier lógica que lea de los tres archivos sensibles que describí anteriormente. Usa OpenClaw Doctor como un primer filtro, pero no trates un escaneo limpio como una garantía. El escáner detecta patrones conocidos como maliciosos; un atacante sofisticado eventualmente probará patrones que el escáner no detecta.

Mantén la superficie de habilidades al mínimo. Cuantas más habilidades instales, mayor será la superficie de ataque. Comienza con las habilidades principales que realmente necesitas, verifícalas cuidadosamente y resiste la atracción del catálogo de 10,000 opciones del marketplace. No necesitas la mayoría.

Rota las credenciales después de cualquier instalación de habilidad no verificada. Si instalaste habilidades antes de que se completara la auditoría del marketplace y no has rotado tus tokens de openclaw.json y claves de device.json desde entonces, hazlo ahora. Asume que cualquier habilidad instalada de Claw Hub antes de las mejoras de seguridad recientes fue potencialmente maliciosa. El costo de rotar credenciales es bajo. El costo de seguir funcionando con credenciales comprometidas indefinidamente no lo es.

Audita los registros de acciones del agente regularmente. Una de las ventajas del sistema de memoria basado en markdown es que las acciones de cada sesión se registran en archivos legibles. Dedica tiempo cada semana a revisar lo que el agente realmente hizo — qué comandos ejecutó, a qué archivos accedió, qué mensajes envió o redactó. Las anomalías en esos registros son el indicador más temprano de que algo se está comportando fuera de tus parámetros previstos, ya sea debido a una habilidad comprometida o una instrucción mal interpretada.

La Evaluación Honesta: Quién Debería Estar Ejecutando Esto Realmente

OpenClaw es la herramienta correcta para un conjunto limitado de casos de uso ahora mismo.

Los desarrolladores que quieran estudiar la arquitectura de agentes autónomos en un entorno controlado — específicamente el sistema de memoria y el diseño de aislamiento de sesiones — obtendrán valor genuino de ejecutar una instancia local reforzada. El diseño del sistema vale la pena entenderlo independientemente de si alguna vez lo despliegas en producción.

Los investigadores de seguridad tienen razones obvias para estar interesados. La superficie de ataque es rica y las divulgaciones están bien documentadas. Entender cómo fallan estos sistemas es directamente aplicable a cualquier proyecto que involucre agentes autónomos.

Los fundadores y constructores que evalúan si los agentes de IA autónomos pertenecen a su producto o infraestructura deberían ejecutar una instancia aislada y someterla a pruebas de estrés contra el modelo de amenazas que coincida con su caso de uso. Es mejor descubrir los modos de fallo en un experimento controlado que en producción.

Quién no debería estar ejecutando OpenClaw ahora mismo: cualquiera que quiera conectarlo a sistemas de producción, cuentas de comunicación reales o archivos que importen, y que no esté dispuesto a invertir en la contenedorización y la revisión de seguridad que el despliegue requiere. La brecha entre "instalar y conectar a mi Gmail" e "instalar con aislamiento adecuado y habilidades verificadas" es significativa, y la mayoría de las personas que lo instalan no están cubriendo esa brecha.

La prohibición interna de Meta no es precaución arbitraria. Refleja a un equipo de seguridad que observó el historial de vulnerabilidades y la tasa de malware del marketplace de plugins y concluyó que el riesgo no se justifica para uso organizacional. Es una conclusión razonable dado el estado actual del proyecto.

Nada de esto significa que OpenClaw sea un mal proyecto o que los agentes autónomos sean inherentemente demasiado riesgosos para usar. Significa que este proyecto específico, en este punto específico de su desarrollo, requiere un despliegue consciente de la seguridad que la mayoría de los instaladores casuales no están proporcionando.

Lo Que OpenClaw Nos Dice Sobre Hacia Dónde Van los Agentes de IA

La pregunta interesante no es si la postura de seguridad actual de OpenClaw es problemática — claramente lo es. La pregunta interesante es qué nos dice la existencia de OpenClaw, sus 200,000 estrellas y su sofisticación arquitectónica sobre hacia dónde se dirige el ecosistema de agentes.

Los agentes de IA autónomos con estado persistente, activación proactiva e integración profunda en sistemas de comunicación y archivos van a llegar independientemente de si algún proyecto específico acierta con la seguridad en el primer intento. La demanda es clara. La arquitectura está probada. La pieza que falta es el marco de seguridad que haga estos sistemas lo suficientemente confiables para un despliegue amplio.

Lo que ilustra el problema del marketplace de plugins de OpenClaw es que el modelo de confianza actual — habilidades contribuidas por la comunidad, criterio del usuario — no escala al modelo de amenazas de un agente que tiene acceso a todo. La arquitectura de seguridad necesita estar diseñada alrededor de la suposición de que las habilidades serán maliciosas, no de la suposición de que no lo serán. Alcance de permisos, ejecución en sandbox, firma criptográfica de paquetes de habilidades y revisión de código obligatoria antes de la publicación en el marketplace son la dirección a seguir.

La vulnerabilidad de origen de websocket ilustra una clase diferente de problema: la suposición de que un servicio ejecutándose localmente está inherentemente protegido porque es "local." Los servicios locales que se autentican mediante token y aceptan conexiones sin validación de origen no son solo locales. Son accesibles para cualquier código que se ejecute en el navegador de la máquina en la que están corriendo. Para los agentes de IA específicamente — que a menudo se ejecutan en la misma máquina que un navegador — esta es una suposición de diseño crítica que hay que acertar.

Los equipos que construyan agentes de IA autónomos con seguridad de calidad de producción tendrán ventajas genuinas sobre los que construyan primero y parcheen después. La arquitectura de OpenClaw vale la pena estudiarla. Su práctica de despliegue, tal como está ampliamente extendida actualmente, vale la pena evitarla.

Esa es la verdadera lección de 30,000 instancias expuestas y 800 plugins maliciosos.

Trabajemos Juntos

¿Buscas construir sistemas de IA, automatizar flujos de trabajo o escalar tu infraestructura tecnológica? Me encantaría ayudarte.

Coffee cup

¿Te gustó este artículo?

Tu apoyo me ayuda a crear más contenido técnico detallado, herramientas de código abierto y recursos gratuitos para la comunidad de desarrolladores.

Coffee cup Invítame un café

Temas Relacionados

# AI Tools # AI Agents # OpenClaw # Cybersecurity # Security Review
Engr Mejba Ahmed

Sobre el Autor

Engr Mejba Ahmed

Engr. Mejba Ahmed builds AI-powered applications and secure cloud systems for businesses worldwide. With 10+ years shipping production software in Laravel, Python, and AWS, he's helped companies automate workflows, reduce infrastructure costs, and scale without security headaches. He writes about practical AI integration, cloud architecture, and developer productivity.

Website Twitter LinkedIn

Discussion

Comments

0

No comments yet

Be the first to share your thoughts

Leave a Comment

Your email won't be published

14  +  14  =  ?

Seguir Aprendiendo

Artículos Relacionados

Ver Todos

Comments

Leave a Comment

Comments are moderated before appearing.

Learning Resources

Expand Your Knowledge

Accelerate your growth with structured courses, verified certificates, interactive flashcards, and production-ready AI agent skills.

AI School

Structured courses on AI development, machine learning, and prompt engineering with hands-on lessons.

Browse Courses

Certificates

Earn verified certificates on completion. Share on LinkedIn, verify online, and showcase your skills.

Earn Certificate

Learning Flashcards

Master key concepts with interactive flashcard decks covering programming, DevOps, and system design.

Start Learning

AI Agent Skills

Explore a marketplace of ready-to-use AI agent skills for development, automation, and business workflows.

Explore Skills
Sample Certificate of Completion

Sample certificate — complete any course to earn yours

Engr Mejba Ahmed

Engr Mejba Ahmed

Claude Code Expert · Online

👋

Hey there!

Quick Actions

WhatsApp Instant reply

Chat on WhatsApp

+880 1723 741224 · Instant reply

Popular Questions

Engr Mejba Ahmed is connected
Engr Mejba Ahmed is typing...
Engr Mejba Ahmed avatar

✉ Want me to follow up? Drop your email

Engr Mejba Ahmed avatar

📞 Connect Directly

Choose how you'd like to reach me

WhatsApp

+880 1723 741224

Email

[email protected]

✓ Details sent! I'll get back to you shortly.

Powered by OpenAI

335+

Blog Posts

25

AI Courses

63

Projects

Services & Expertise

Pricing & Process

Learning & Resources

Connect & Support

WhatsApp Engr Mejba

+880 1723 741224

 Contact Form →