OpenClaw, el popular asistente de IA de código abierto (anteriormente conocido como Moltbot y Clawdbot), ha anunciado una alianza con VirusTotal para escanear todas las skills que se publican en ClawHub, su marketplace de extensiones. Esta medida busca reforzar la seguridad del ecosistema agéntico tras el descubrimiento de cientos de skills maliciosas en la plataforma.
El proceso consiste en generar un hash SHA-256 único para cada skill y verificarlo contra la base de datos de VirusTotal. Si no se encuentra coincidencia, el paquete se envía para un análisis más profundo mediante VirusTotal Code Insight. Las skills con veredicto «benigno» se aprueban automáticamente, las sospechosas reciben una advertencia visible y las identificadas como maliciosas se bloquean directamente. Además, todas las skills activas se re-escanean diariamente para detectar casos en los que una extensión previamente limpia se vuelva maliciosa.
Un ecosistema bajo asedio
Esta integración llega después de que múltiples investigaciones de empresas como Bitdefender, Cisco, Snyk y HiddenLayer revelaran un panorama preocupante, skills que se hacen pasar por herramientas legítimas pero que, en realidad, exfiltran datos, instalan puertas traseras o despliegan malware de tipo stealer. Un análisis de Snyk sobre casi 4.000 skills encontró que aproximadamente el 7,1% contenía fallos críticos que exponían credenciales en texto plano a través de la ventana de contexto del LLM.
Entre los problemas de seguridad más graves identificados recientemente se encuentran:
- Ataques zero-click mediante inyección indirecta de prompt, al procesar un documento aparentemente inofensivo, OpenClaw ejecuta instrucciones de un atacante y establece una puerta trasera persistente.
- Ejecución remota de código con un solo clic a través de una vulnerabilidad (ya parcheada) que permitía extraer el token de autenticación de OpenClaw mediante WebSocket y ejecutar comandos arbitrarios.
- Exposición masiva por defecto: el gateway de OpenClaw escucha en
0.0.0.0:18789, exponiendo la API completa a cualquier interfaz de red. Según datos de Censys, existen más de 30.000 instancias accesibles desde Internet. - Credenciales almacenadas en texto plano, uso de patrones de código inseguros con input del usuario, y procesos de desinstalación que dejan datos sensibles residuales.
- Base de datos de Moltbook expuesta: una base de datos mal configurada dejó accesibles 1,5 millones de tokens de autenticación, 35.000 direcciones de correo y mensajes privados entre agentes de IA.
La «Tríada Letal» y el riesgo de Shadow AI
Los investigadores de HiddenLayer han denominado «Lethal Trifecta» al conjunto de riesgos derivados de la combinación de OpenClaw como motor de automatización, sus integraciones con servicios online y la capacidad de las skills de procesar datos de fuentes no confiables. Esto convierte al agente en lo que Noma Security ha descrito como un «caballo de Troya agéntico».
El problema se agrava en entornos empresariales, donde OpenClaw se despliega con frecuencia en equipos de empleados sin aprobación formal de TI ni de seguridad, creando una nueva categoría de Shadow AI. Los privilegios elevados de estos agentes permiten acceso al shell, movimiento de datos y conectividad de red fuera de los controles de seguridad estándar.
Respuesta y medidas adicionales
Además de la integración con VirusTotal, OpenClaw tiene previsto publicar un modelo de amenazas completo, una hoja de ruta pública de seguridad, un proceso formal de reporte de vulnerabilidades y los resultados de una auditoría de seguridad de todo su código base. La gravedad de la situación ha llevado incluso al Ministerio de Industria y Tecnología de la Información de China a emitir una alerta sobre instancias mal configuradas, instando a los usuarios a implementar medidas de protección.
Como señalan los investigadores de HiddenLayer, el problema de fondo es arquitectónico. OpenClaw delega muchas decisiones críticas de seguridad al modelo de lenguaje, no filtra adecuadamente el contenido no confiable y, por defecto, opera con acceso completo al sistema sin sandboxing. Hasta que no se aborden estos problemas de diseño, las medidas como el escaneo de VirusTotal, aunque bienvenidas, serán solo una capa más de defensa en un ecosistema que necesita una revisión profunda de su modelo de seguridad.
Más información
- OpenClaw anuncia la integración con VirusTotal: https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html
- Investigación de Bitdefender sobre skills maliciosas: https://www.bitdefender.com/en-us/blog/labs/helpful-skills-or-hidden-payloads-bitdefender-labs-dives-deep-into-the-openclaw-malicious-skill-trap
- Análisis de seguridad de Cisco: https://blogs.cisco.com/ai/personal-ai-agents-like-openclaw-are-a-security-nightmare
- Investigación de Snyk sobre credenciales expuestas en skills: https://snyk.io/blog/openclaw-skills-credential-leaks-research/
