Un informe de Certik pone de relieve importantes fallos de seguridad en Openclaw, una plataforma de IA de código abierto, en particular su dependencia del «análisis de habilidades», que no protege adecuadamente a los usuarios frente a extensiones maliciosas de terceros.
Las habilidades de IA de Openclaw son vulnerables a ataques maliciosos, advierten los investigadores de Certik
ESCRITO POR
COMPARTIR
Limitaciones del proceso de moderación de Clawhub
Un informe de la empresa de ciberseguridad Certik ha revelado importantes brechas de seguridad en OpenClaw, una plataforma de agentes de inteligencia artificial de código abierto, y advierte de que su dependencia del «escaneo de habilidades» es insuficiente para proteger a los usuarios frente a extensiones maliciosas de terceros.
Los hallazgos, publicados el 16 de marzo de 2026, sugieren que el modelo de seguridad de la plataforma depende en exceso de la detección y las alertas, en lugar de un aislamiento robusto en tiempo de ejecución, lo que deja a los usuarios vulnerables a compromisos a nivel del host.
Según el informe, el mercado de OpenClaw, Clawhub, utiliza actualmente un flujo de moderación por capas para revisar las «habilidades» —aplicaciones de terceros que dotan al agente de IA de capacidades como la automatización del sistema o las operaciones con carteras de criptomonedas—. Este proceso incluye Virustotal para escanear malware conocido y el Static Moderation Engine, una herramienta introducida el 8 de marzo de 2026 para señalar patrones de código sospechosos. También incluye lo que el informe denomina un «detector de incoherencias», diseñado para detectar discrepancias entre el propósito declarado de una habilidad y su comportamiento real. Sin embargo, los investigadores de Certik afirmaron que las reglas estáticas que buscaban «señales de alerta» se eludían mediante una simple reescritura del código. También señalaron que la capa de revisión de IA resultó eficaz para detectar intenciones obvias, pero tuvo dificultades para identificar vulnerabilidades explotables ocultas dentro de un código que, por lo demás, parecía plausible.
La brecha de los «pendientes»
Uno de los fallos más críticos identificados por Certik es el tratamiento de los resultados de análisis pendientes. Los investigadores descubrieron que una skill podía permanecer activa e instalable en el marketplace incluso mientras los resultados de VirusTotal aún estaban pendientes, un proceso que puede llevar horas o días. En la práctica, estas skills pendientes se trataban como benignas, lo que permitía instalarlas sin avisar al usuario.
Para demostrar la vulnerabilidad, los investigadores de Certik crearon una skill de prueba de concepto (PoC) llamada «test-web-searcher». La skill parecía funcional e inofensiva, pero contenía un error oculto «en forma de vulnerabilidad» que permitía la ejecución de comandos arbitrarios en la máquina host. Al invocarla a través de Telegram, la skill eludió con éxito el sandboxing opcional de Openclaw y «abrió una calculadora» en la máquina del investigador, una demostración clásica de compromiso total del sistema.
IA autónoma: Openclaw Bot genera un agente «hijo» y lo financia con bitcoins.
Descubra el innovador agente Openclaw, que compra infraestructura de forma autónoma con bitcoins sin intervención humana. read more.
Leer ahora
IA autónoma: Openclaw Bot genera un agente «hijo» y lo financia con bitcoins.
Descubra el innovador agente Openclaw, que compra infraestructura de forma autónoma con bitcoins sin intervención humana. read more.
Leer ahoraIA autónoma: Openclaw Bot genera un agente «hijo» y lo financia con bitcoins.
Leer ahoraDescubra el innovador agente Openclaw, que compra infraestructura de forma autónoma con bitcoins sin intervención humana. read more.
El informe concluye que la detección nunca puede sustituir a una verdadera barrera de seguridad. Certik insta a los desarrolladores de Openclaw a ejecutar las habilidades de terceros en entornos aislados de forma predeterminada, en lugar de depender de la configuración opcional del usuario. Los desarrolladores también deberían implementar un modelo en el que las habilidades deban declarar por adelantado las necesidades específicas de recursos, de forma similar a los sistemas operativos móviles modernos.
Para los usuarios, Certik lanzó una severa advertencia: una etiqueta de «benigno» en Clawhub no es garantía de seguridad. Hasta que el aislamiento más estricto sea la configuración predeterminada, la plataforma solo debería utilizarse en entornos de bajo valor, lejos de credenciales o activos confidenciales.
Preguntas frecuentes ❓
- ¿Qué problema de seguridad encontró Certik en Openclaw? Certik informó de que la dependencia de Openclaw del «escaneo de habilidades» no protege adecuadamente a los usuarios frente a extensiones maliciosas de terceros.
- ¿Cómo funciona el flujo de moderación de Openclaw? Openclaw utiliza un flujo de moderación por capas, que incluye herramientas como Virustotal y un detector de incoherencias para revisar las «skills» de terceros.
- ¿Cuál es el fallo crítico relacionado con los resultados de análisis pendientes? Las habilidades pueden permanecer activas e instalables mientras los resultados del análisis están pendientes, lo que supone un riesgo, ya que los usuarios pueden instalar extensiones maliciosas sin saberlo.
- ¿Qué deben hacer los usuarios para proteger sus datos en Openclaw? Se recomienda a los usuarios que utilicen Openclaw únicamente en entornos de bajo valor hasta que los desarrolladores implementen medidas de aislamiento más sólidas.
