Malicious ClawHub Skills

OpenClaw (anteriormente Moltbot y Clawdbot) tiene anunciado que se ha asociado con VirusTotal, propiedad de Google, para analizar las habilidades que se suben a ClawHub, su mercado de habilidades, como parte de un esfuerzo más amplio para reforzar la seguridad del ecosistema de agencias.

«Todas las habilidades publicadas en ClawHub ahora se escanean utilizando la inteligencia de amenazas de VirusTotal, incluida su nueva capacidad Code Insight», dijeron el fundador de OpenClaw, Peter Steinberger, junto con Jamieson O'Reilly y Bernardo Quintero. «Esto proporciona una capa adicional de seguridad para la comunidad de OpenClaw».

Básicamente, el proceso implica crear un hash SHA-256 único para cada habilidad y compararlo con la base de datos de VirusTotal para ver si coincide. Si no se encuentra, el paquete de habilidades se carga en la herramienta de análisis de malware para analizarlo más a fondo mediante Información sobre el código de VirusTotal .

Las habilidades que tienen un veredicto «benigno» de Code Insight son aprobadas automáticamente por ClawHub, mientras que las marcadas como sospechosas se marcan con una advertencia. Se bloquea la descarga de cualquier habilidad que se considere maliciosa. OpenClaw también dijo que todas las habilidades activas se vuelven a analizar a diario para detectar situaciones en las que una habilidad previamente limpia se convierte en maliciosa.

Dicho esto, los mantenedores de OpenClaw también advirtieron que el escaneo de VirusTotal «no es una solución mágica» y que existe la posibilidad de que algunas habilidades maliciosas que utilizan una carga útil de inyección rápida hábilmente oculta puedan pasar desapercibidas.

Además de la asociación VirusTotal, la plataforma es anticipado publicar un modelo integral de amenazas, una hoja de ruta de seguridad pública, un proceso formal de informes de seguridad, así como detalles sobre la auditoría de seguridad de toda su base de código.

El desarrollo se produce después de informes que encontró cientos de habilidades maliciosas en Claw Hub , lo que llevó a OpenClaw a añadir una opción de denuncia que permitiera a los usuarios que hubieran iniciado sesión marcar una habilidad sospechosa. Varios análisis han descubierto que estas habilidades se hacen pasar por herramientas legítimas, pero ocultan funciones malintencionadas para filtrar datos, introducir puertas traseras para el acceso remoto o instalar software malicioso robador.

«Los agentes de IA con acceso al sistema pueden convertirse en canales encubiertos de filtración de datos que eluden la prevención tradicional de pérdida de datos, los proxies y la supervisión de terminales», señaló Cisco la semana pasada. «En segundo lugar, los modelos también pueden convertirse en un instrumento para organizar la ejecución, ya que el mensaje en sí mismo se convierte en la instrucción y es difícil de detectar con las herramientas de seguridad tradicionales».

adsense

La reciente popularidad viral de OpenClaw, el asistente de inteligencia artificial (IA) para agencias de código abierto, y Libro Molt , una red social adyacente en la que agentes de IA autónomos creados sobre OpenClaw interactúan entre sí en una plataforma al estilo Reddit, ha plantearon problemas de seguridad .

Si bien OpenClaw funciona como un motor de automatización para activar los flujos de trabajo, interactuar con los servicios en línea y operar en todos los dispositivos, el acceso afianzado que se otorga a las habilidades, junto con el hecho de que pueden procesar datos de fuentes no confiables, pueden abrir la puerta a riesgos como el malware y la inyección inmediata.

En otras palabras, las integraciones, si bien son prácticas, amplían significativamente la superficie de ataque y amplían el conjunto de entradas no confiables que consume el agente, convirtiéndolo en un» caballo de Troya agentico «para la exfiltración de datos y otras acciones maliciosas. Backslash Security tiene descrito OpenClaw como una «IA con manos».

«A diferencia del software tradicional, que hace exactamente lo que el código le indica que haga, los agentes de IA interpretan el lenguaje natural y toman decisiones sobre las acciones», señala OpenClaw. «Difuminan el límite entre la intención del usuario y la ejecución automática. Pueden manipularse a través del propio lenguaje».

OpenClaw también reconoció que los delincuentes pueden abusar del poder que ejercen las habilidades, que se utilizan para ampliar las capacidades de un agente de IA, como el control de dispositivos domésticos inteligentes para gestionar las finanzas, y aprovechar el acceso del agente a las herramientas y los datos para filtrar información confidencial, ejecutar comandos no autorizados, enviar mensajes en nombre de la víctima e incluso descargar y ejecutar cargas útiles adicionales sin su conocimiento o consentimiento.

Además, dado que OpenClaw se implementa cada vez más en los puntos finales de los empleados sin la aprobación formal de TI o seguridad, los elevados privilegios de estos agentes pueden permitir aún más el acceso al shell, el movimiento de datos y la conectividad de red fuera de los controles de seguridad estándar, creando una nueva clase de Riesgo de IA en la sombra para empresas.

«OpenClaw y herramientas similares aparecerán en tu organización tanto si las apruebas como si no», dijo Tomer Yahalom, investigador de Astrix Security dijo . «Los empleados las instalarán porque son realmente útiles. La única pregunta es si lo sabrás».

Algunos de los problemas de seguridad más evidentes que han salido a la palestra en los últimos días figuran a continuación-

  • Un problema ya solucionado identificado en versiones anteriores que podía provocar que el tráfico proxy se clasificara erróneamente como local, omitiendo la autenticación en algunos casos expuestos a Internet.
  • «OpenClaw almacena las credenciales en texto sin cifrar, utiliza patrones de codificación inseguros, incluida la evaluación directa con la entrada del usuario, y no tiene una política de privacidad ni una responsabilidad clara», dijeron Moshe Siman Tov Bustan y Nir Zadok, de OX Security dijo . «Los métodos de desinstalación habituales dejan atrás los datos confidenciales, y revocar el acceso por completo es mucho más difícil de lo que la mayoría de los usuarios creen».
  • UN ataque sin clic que abusa de las integraciones de OpenClaw para colocar una puerta trasera en el terminal de la víctima y lograr un control persistente cuando el agente de IA procesa un documento aparentemente inofensivo, lo que resulta en la ejecución de una carga útil indirecta de inyección rápida que le permite responder a los mensajes de un bot de Telegram controlado por un atacante.
  • Un inyección inmediata indirecta incrustado en una página web, lo que, cuando se analiza como parte de un mensaje inocuo que pide al modelo de lenguaje grande (LLM) que resuma el contenido de la página, hace que OpenClaw añada un conjunto de instrucciones controladas por un atacante al archivo ~/.openClaw/workspace/Heartbeat.md y espere silenciosamente más comandos de un servidor externo.
  • UN análisis de seguridad de 3.984 habilidades en el mercado de ClawHub, descubrió que 283 habilidades, aproximadamente el 7,1% de todo el registro, contienen fallas de seguridad críticas que exponen las credenciales confidenciales en texto plano a través de la ventana de contexto y los registros de salida del LLM.
  • Un informe de Bitdefender ha revelada que las habilidades malintencionadas suelen clonarse y volver a publicarse a gran escala utilizando pequeñas variaciones de nombre, y que las cargas útiles se organizan mediante servicios de pegado, como glot.io y repositorios públicos de GitHub.
  • Un ahora parcheado vulnerabilidad de ejecución remota de código con un clic afectando a OpenClaw y que podría haber permitido a un atacante engañar a un usuario para que visite una página web maliciosa esto podría provocar que la interfaz de usuario de Gateway Control filtrara el token de autenticación de OpenClaw a través de un canal WebSocket y, posteriormente, lo utilizara para ejecutar comandos arbitrarios en el host.
  • La puerta de entrada de OpenClaw se vincula a 0.0.0. 0:18789 de forma predeterminada , exponiendo la API completa a cualquier interfaz de red. Por datos de Censys , hay más 30 000 instancias expuestas accesibles a través de Internet a partir del 8 de febrero de 2026, aunque la mayoría requieren un valor simbólico para poder verlos e interactuar con ellos.
  • En un escenario hipotético de ataque , se puede usar una carga útil de inyección rápida integrada en un mensaje de WhatsApp diseñado específicamente para filtrar los archivos «.env» y «creds.json», que almacenan credenciales, claves de API y tokens de sesión para las plataformas de mensajería conectadas desde una instancia de OpenClaw expuesta.
  • Un base de datos Supabase mal configurada perteneciente a Moltbook y que quedó expuesto en JavaScript del lado del cliente, lo que hace que las claves API secretas de todos los agentes registrados en el sitio sean de libre acceso y permite un acceso completo de lectura y escritura a los datos de la plataforma. Según Wiz , la exposición incluyó 1,5 millones de tokens de autenticación de API, 35 000 direcciones de correo electrónico y mensajes privados entre agentes.
  • Se ha descubierto que los actores de amenazas explotan la mecánica de la plataforma de Moltbook para ampliar el alcance y canalizar a otros agentes hacia hilos maliciosos que contienen inyecciones rápidas para manipular su comportamiento y extraer datos confidenciales o robar criptomonedas.
  • «Es posible que Moltbook también haya creado, sin darse cuenta, un laboratorio en el que los agentes, que pueden ser objetivos de gran valor, procesan y interactúan constantemente con datos que no son confiables, y en el que no se colocan barreras de protección en la plataforma, todo ello por diseño», Zenity Labs dijo .

«El primer problema, y quizás el más grave, es que OpenClaw se basa en el modelo de lenguaje configurado para muchas decisiones críticas para la seguridad», señalaron los investigadores de HiddenLayer Conor McCauley, Kasimir Schulz, Ryan Tracey y Jason Martin. «A menos que el usuario active de forma proactiva OpenClaw Sandboxing de herramientas basadas en Docker función, el acceso total a todo el sistema sigue siendo el predeterminado».

enlaces

Entre otros problemas arquitectónicos y de diseño identificados por la empresa de seguridad de inteligencia artificial figuran la incapacidad de OpenClaw a la hora de filtrar el contenido no fiable que contiene secuencias de control, las ineficaces barreras contra la inyección de mensajes indirectos, las memorias modificables y las indicaciones del sistema que persisten en futuras sesiones de chat, el almacenamiento en texto plano de las claves de API y los tokens de sesión y la falta de aprobación explícita por parte del usuario antes de ejecutar las llamadas a las herramientas.

En un informe publicado la semana pasada, Persmiso Security sostuvo que la seguridad del ecosistema de OpenClaw es mucho más crucial que la de las tiendas de aplicaciones y los mercados de extensiones de navegador debido al amplio acceso de los agentes a los datos de los usuarios.

«Los agentes de IA obtienen credenciales para toda su vida digital», afirma Ian Ahl, investigador de seguridad señaló . «Y a diferencia de las extensiones de navegador que se ejecutan en un entorno limitado con cierto nivel de aislamiento, estos agentes funcionan con todos los privilegios que tú les concedes».

«El mercado de habilidades agrava esto. Cuando instalas una extensión de navegador malintencionada, estás comprometiendo un sistema. Cuando instalas la habilidad de un agente malintencionado, puedes poner en peligro todos los sistemas para los que el agente tiene credenciales».

La larga lista de problemas de seguridad asociados con OpenClaw ha llevado al Ministerio de Industria y Tecnología de la Información de China a emitir una alerta sobre las instancias mal configuradas, instando a los usuarios a implementar protecciones para protegerse contra los ciberataques y las violaciones de datos, Reuters reportó .

«Cuando las plataformas de los agentes se vuelven virales más rápido de lo que maduran las prácticas de seguridad, la mala configuración se convierte en la principal superficie de ataque», dijo Ensar Seker, CISO de SocRadar, a The Hacker News por correo electrónico. «El riesgo no es el propio agente, sino exponer las herramientas autónomas a las redes públicas sin establecer límites más estrictos en materia de identidad, control de acceso y ejecución».

«Lo que es notable aquí es que el regulador chino está denunciando explícitamente el riesgo de configuración en lugar de prohibir la tecnología. Esto concuerda con lo que los defensores ya saben: las estructuras de los agentes amplifican tanto la productividad como el radio de ataque. Un único punto final expuesto o un complemento demasiado permisivo pueden convertir a un agente de IA en una capa de automatización no intencionada para los atacantes».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.