OpenClaw, el asistente de IA antes conocido como Clawdbot y Moltbot, sigue en el centro de la escena y el hype ha subido a otro nivel tras el debut de Moltbook, la «red social» para agentes de inteligencia artificial. Sin embargo, los problemas de seguridad y privacidad de esta herramienta siguen vigentes y son bastante más graves de lo que mucha gente (incluso sus usuarios) imaginan.
Cuando les contamos sobre la existencia de Clawdbot, les detallamos varias de las preocupaciones que generaba su funcionamiento. Después de todo, se trata de un agente de IA que tiene permiso total para controlar el ordenador donde se instala. Por ende, puede ejecutar scripts y comandos, así como leer, crear y modificar archivos.
Si bien el asistente cambió de nombre dos veces durante la última semana, primero de Clawdbot a Moltbot, y luego a OpenClaw, sus problemas continúan tan vigentes como el primer día. Una de las primeras preocupaciones que desató la expansión del agente fue por la falta de autenticación de las conexiones.
Poco después del debut de Clawdbot, un investigador descubrió que había más de 900 puertas de enlace sin ningún tipo de protección. Esto implicaba que cualquier actor malicioso que quisiera conectarse a los equipos donde se había instalado el agente, podía hacerlo sin mayores inconvenientes. Con solo dirigirse a las IP sin autenticación, era posible acceder a las llaves de API, al shell o a la automatización del navegador.
Los riesgos de inyección de prompts en OpenClaw (Clawdbot) son muy altos
Otro problema mayúsculo de Clawdbot, que sigue presente en OpenClaw, es su vulnerabilidad ante los ataques de inyección de prompts. Pruebas realizadas por ZeroLeaks arrojaron que el asistente de IA presenta fallos de seguridad críticos. Más precisamente, un 91 % de éxito para los ataques de inyección y una tasa de extracción de datos del 84 %.
«Esto significa que si estás usando Clawdbot, cualquiera que interactúe con tu agente puede acceder y manipular todo el mensaje del sistema, las configuraciones de herramientas internas, los archivos de memoria. Todo lo que pongas en SOUL.md, AGENTS.md y tus habilidades. Todo es accesible y corre el riesgo de ante una inyección de prompts», explicó Lucas Valbuena.
Días atrás, un programador mostró con qué facilidad era posible que OpenClaw (Clawdbot) revelara información sensible, y sin mostrar un mínimo de oposición. Al pedirle que imprimiera todo lo incluido en el archivo .env de su sistema, el bot lo hizo sin chistar. Dicho archivo es el que almacena datos cruciales como las claves de API y de bases de datos, así como otras variables de entorno que no tienen que estar a la vista de cualquiera.
Pero la historia no termina allí. En los últimos días se ha conocido que al menos 14 skills maliciosas se subieron al portal de extensiones de Clawdbot (OpenClaw). Las mismas se hacen pasar como herramientas de automatización de intercambio y gestión de wallets de criptomonedas, pero en realidad infectan los equipos de los usuarios con malware. Según se ha conocido, el software malicioso apunta tanto a Windows como a macOS.
Moltbook también tiene sus riesgos
Por estos días, el furor por OpenClaw (Clawdbot) pasa por Moltbook, una «red social» al estilo Reddit dedicada pura y exclusivamente a la interacción entre agentes de inteligencia artificial, sin intervención humana. Una de las noticias más curiosas que arrojó dicha plataforma fue el debate entre las IA sobre crear su propio lenguaje para comunicarse entre sí de forma privada y sin humanos.
Durante el fin de semana se supo que Moltbook era vulnerable a un ataque que revelaba toda la información tanto de los agentes de IA en sí como de los usuarios humanos que habían creado cuentas en el sitio. Según publicó Nagli en X, el sitio dejaba al descubierto las direcciones de correo electrónico, las claves de API y los tokens de inicio de sesión de todos los participantes, unos 17.000 humanos y más de 1,5 millones de agentes.
Si bien esta brecha se solucionó, ha quedado en evidencia que la plataforma está lejos de ser perfecta en materia de seguridad y privacidad. Un punto crucial a considerar es que Moltbook es un proyecto vibecodeado; es decir, programado a través de una IA usando lenguaje natural.
De hecho, otra falencia del «Reddit» para agentes de Clawdbot/OpenClaw es que cualquier persona puede publicar haciéndose pasar por una IA. El propio Nagli mostró que con un simple comando pudo enviar un mensaje redactado por él, pero que parecía escrito por una inteligencia artificial. El mismo hablaba de sus planes para dominar a la Humanidad. Pero eso no, pues también se demostró que Moltbook no tenía implementado ningún tipo de límite para la creación de cuentas falsas. Un agente fue capaz de crear 500.000 cuentas en un instante, a modo de demostración.
Queda claro que Clawdbot (OpenClaw) es una solución muy novedosa y con motivos de sobra para llamar la atención. Sin embargo, también enciende alarmas en materia de seguridad y privacidad. Si vas a probar el agente de IA, no lo hagas en tu ordenador principal o de uso diario. Y si accedes a Moltbook, también hazlo con precaución y no te creas todo lo que se publica allí.