OpenClaw (anteriormente Moltbot y Clawdbot) ha anunciado que se está asociando con VirusTotal, propiedad de Google, para escanear habilidades que se cargan en ClawHub, su mercado de habilidades, como parte de esfuerzos más amplios para acrecentar la seguridad del ecosistema agente.
“Todas las habilidades publicadas en ClawHub ahora se escanean utilizando la inteligencia de amenazas de VirusTotal, incluida su nueva capacidad Code Insight”, dijo el fundador de OpenClaw, Peter Steinberger, inmediato con Jamieson O’Reilly y Bernardo Quintero. “Esto proporciona una capa adicional de seguridad para la comunidad OpenClaw”.
Básicamente, el proceso implica crear un hash SHA-256 único para cada tiento y compararlo con la saco de datos de VirusTotal para encontrar una coincidencia. Si no se encuentra, el paquete de habilidades se carga en la útil de escaneo de malware para su posterior disección utilizando VirusTotal Code Insight.
ClawHub aprueba automáticamente las habilidades que tienen un veredicto de Code Insight “bondadoso”, mientras que aquellas marcadas como sospechosas se marcan con una advertencia. Se bloquea la descarga de cualquier tiento que se considere maliciosa. OpenClaw además dijo que todas las habilidades activas se vuelven a escanear diariamente para detectar escenarios en los que una tiento previamente limpia se vuelve maliciosa.
Dicho esto, los mantenedores de OpenClaw además advirtieron que el escaneo de VirusTotal “no es una posibilidad milagrosa” y que existe la posibilidad de que algunas habilidades maliciosas que utilizan una carga útil de inyección rápida inteligentemente oculta puedan producirse desapercibidas.
Encima de la asociación con VirusTotal, se prórroga que la plataforma publique un maniquí integral de amenazas, una hoja de ruta de seguridad pública, un proceso formal de informes de seguridad, así como detalles sobre la auditoría de seguridad de todo su código saco.
El incremento se produce a raíz de informes que encontraron cientos de habilidades maliciosas en ClawHub, lo que llevó a OpenClaw a asociar una opción de informes que permite a los usuarios registrados marcar una tiento sospechosa. Múltiples disección han descubierto que estas habilidades se hacen producirse por herramientas legítimas, pero, bajo el capó, albergan funcionalidades maliciosas para filtrar datos, inyectar puertas traseras para llegada remoto o instalar malware caco.
“Los agentes de IA con llegada al sistema pueden convertirse en canales encubiertos de fuga de datos que evitan la prevención tradicional de pérdida de datos, los servidores proxy y el monitoreo de terminales”, señaló Cisco la semana pasada. “En segundo ocupación, los modelos además pueden convertirse en un orquestador de ejecución, donde el mensaje en sí se convierte en instrucción y es difícil de detectar utilizando herramientas de seguridad tradicionales”.
La fresco popularidad virulento de OpenClaw, el asistente de inteligencia fabricado (IA) de código hendido, y Moltbook, una red social adyacente donde agentes autónomos de IA construidos sobre OpenClaw interactúan entre sí en una plataforma estilo Reddit, ha generado preocupaciones de seguridad.
Si admisiblemente OpenClaw funciona como un motor de automatización para activar flujos de trabajo, interactuar con servicios en cadeneta y proceder en todos los dispositivos, el llegada arraigado otorgado a las habilidades, inmediato con el hecho de que pueden procesar datos de fuentes no confiables, puede rajar la puerta a riesgos como malware e inyección rápida.
En otras palabras, las integraciones, si admisiblemente son convenientes, amplían significativamente la superficie de ataque y amplían el conjunto de entradas no confiables que consume el agente, convirtiéndolo en un “heroína de Troya agente” para la filtración de datos y otras acciones maliciosas. Backslash Security ha descrito a OpenClaw como una “IA con manos”.
“A diferencia del software tradicional que hace exactamente lo que el código le indica, los agentes de IA interpretan el idioma natural y toman decisiones sobre acciones”, señaló OpenClaw. “Desdibujan el término entre la intención del becario y la ejecución de la máquina. Pueden manipularse a través del idioma mismo”.
OpenClaw además reconoció que los malos actores pueden forzar del poder ejercido por las habilidades (que se utilizan para ampliar las capacidades de un agente de IA, como controlar dispositivos domésticos inteligentes para dirigir las finanzas), quienes pueden explotar el llegada del agente a herramientas y datos para filtrar información confidencial, ejecutar comandos no autorizados, dirigir mensajes en nombre de la víctima e incluso descargar y ejecutar cargas enseres adicionales sin su conocimiento o consentimiento.
Es más, donado que OpenClaw se implementa cada vez más en los puntos finales de los empleados sin aprobación formal de TI o de seguridad, los privilegios elevados de estos agentes pueden permitir aún más el llegada al shell, el movimiento de datos y la conectividad de red fuera de los controles de seguridad tipificado, creando una nueva clase de aventura de IA en la sombra para las empresas.
“OpenClaw y herramientas similares aparecerán en su estructura, ya sea que las apruebe o no”, dijo el investigador de Astrix Security, Tomer Yahalom. “Los empleados los instalarán porque son positivamente enseres. La única pregunta es si usted lo sabrá”.
Algunos de los problemas de seguridad evidentes que han pasado a primer plano en los últimos días se detallan a continuación:
- Un problema ahora solucionado identificado en versiones anteriores que podría provocar que el tráfico proxy se clasificara erróneamente como locorregional, evitando la autenticación en algunas instancias expuestas a Internet.
- “OpenClaw almacena credenciales en texto claro, utiliza patrones de codificación inseguros, incluida la evaluación directa con la entrada del becario, y no tiene una política de privacidad ni una responsabilidad clara”, dijeron Moshe Siman Tov Bustan y Nir Zadok de OX Security. “Los métodos de desinstalación comunes dejan a espaldas datos confidenciales, y revocar completamente el llegada es mucho más difícil de lo que la mayoría de los usuarios creen”.
- Un ataque sin clic que abusa de las integraciones de OpenClaw para colocar una puerta trasera en el punto final de una víctima para un control persistente cuando el agente de IA procesa un documento aparentemente inofensivo, lo que resulta en la ejecución de una carga útil de inyección rápida indirecta que le permite replicar a los mensajes de un bot de Telegram controlado por el atacante.
- Una inyección de mensaje indirecto incrustada en una página web, que, cuando se analiza como parte de un mensaje inofensivo que solicita al maniquí de idioma vasto (LLM) que resuma el contenido de la página, hace que OpenClaw agregue un conjunto de instrucciones controladas por el atacante al archivo ~/.openclaw/workspace/HEARTBEAT.md y espere silenciosamente más comandos de un servidor forastero.
- Un disección de seguridad de 3984 habilidades en el mercado de ClawHub encontró que 283 habilidades, aproximadamente el 7,1% de todo el registro, contienen fallas de seguridad críticas que exponen credenciales confidenciales en texto sin formato a través de la ventana contextual y los registros de salida del LLM.
- Un mensaje de Bitdefender ha revelado que las habilidades maliciosas a menudo se clonan y se vuelven a transmitir a escalera utilizando pequeñas variaciones de nombres, y que las cargas enseres se organizan a través de servicios de pegado como glot.io y repositorios públicos de GitHub.
- Una vulnerabilidad de ejecución remota de código con un solo clic ahora parcheada que afecta a OpenClaw y que podría acaecer permitido a un atacante engañar a un becario para que visite una página web maliciosa que podría causar que la interfaz de becario de Gateway Control filtre el token de autenticación de OpenClaw a través de un canal WebSocket y después lo use para ejecutar comandos arbitrarios en el host.
- La puerta de enlace de OpenClaw se vincula a 0.0.0.0:18789 de forma predeterminada, exponiendo la API completa a cualquier interfaz de red. Según datos de Censys, hay más de 30.000 instancias expuestas accesibles a través de Internet al 8 de febrero de 2026, aunque la mayoría requiere un valencia simbólico para poder verlas e interactuar con ellas.
- En un escena de ataque hipotético, se puede utilizar una carga útil de inyección rápida integrada en un mensaje de WhatsApp diseñado específicamente para extraer archivos “.env” y “creds.json”, que almacenan credenciales, claves API y tokens de sesión para plataformas de transporte conectadas desde una instancia expuesta de OpenClaw.
- Una saco de datos Supabase mal configurada perteneciente a Moltbook que quedó expuesta en JavaScript del flanco del cliente, lo que hace que las claves API secretas de cada agente registrado en el sitio sean de vacante llegada y permite el llegada completo de repaso y escritura a los datos de la plataforma. Según Wiz, la exposición incluyó 1,5 millones de tokens de autenticación API, 35.000 direcciones de correo electrónico y mensajes privados entre agentes.
- Se ha descubierto que los actores de amenazas explotan la mecánica de la plataforma de Moltbook para amplificar el envergadura y canalizar a otros agentes cerca de hilos maliciosos que contienen inyecciones rápidas para manipular su comportamiento y extraer datos confidenciales o robar criptomonedas.
- “Es posible que Moltbook además haya creado inadvertidamente un laboratorio en el que los agentes, que pueden ser objetivos de detención valencia, procesan e interactúan constantemente con datos que no son de confianza, y en el que no se establecen barreras de seguridad en la plataforma, todo por diseño”, dijo Zenity Labs.
“El primer problema, y quizás el más atroz, es que OpenClaw se plinto en el maniquí de idioma configurado para muchas decisiones críticas para la seguridad”, señalaron los investigadores de HiddenLayer Conor McCauley, Kasimir Schulz, Ryan Tracey y Jason Martin. “A menos que el becario habilite proactivamente la función de zona de pruebas de la útil basada en Docker de OpenClaw, el llegada completo a todo el sistema sigue siendo el valencia predeterminado”.
Entre otros problemas de construcción y diseño identificados por la compañía de seguridad de IA se encuentran la incapacidad de OpenClaw para filtrar contenido no confiable que contiene secuencias de control, barreras de seguridad ineficaces contra inyecciones de avisos indirectos, memorias modificables y avisos del sistema que persisten en futuras sesiones de chat, almacenamiento en texto sin formato de claves API y tokens de sesión, y ninguna aprobación explícita del becario ayer de ejecutar llamadas a herramientas.
En un mensaje publicado la semana pasada, Persmiso Security argumentó que la seguridad del ecosistema OpenClaw es mucho más crucial que las tiendas de aplicaciones y los mercados de extensiones de navegador conveniente al amplio llegada de los agentes a los datos de los usuarios.
“Los agentes de IA obtienen credenciales para toda su vida digital”, señaló el investigador de seguridad Ian Ahl. “Y a diferencia de las extensiones de navegador que se ejecutan en un entorno incomunicación con cierto nivel de aislamiento, estos agentes operan con todos los privilegios que usted les otorga”.
“El mercado de habilidades agrava esto. Cuando instalas una extensión de navegador maliciosa, estás comprometiendo un sistema. Cuando instalas una tiento de agente solapado, estás potencialmente comprometiendo todos los sistemas para los que el agente tiene credenciales”.
La larga nómina de problemas de seguridad asociados con OpenClaw ha llevado al Ocupación de Industria y Tecnología de la Información de China a emitir una alerta sobre instancias mal configuradas, instando a los usuarios a implementar protecciones para acogerse contra ataques cibernéticos y violaciones de datos, informó Reuters.
“Cuando las plataformas de agentes se vuelven virales más rápido de lo que maduran las prácticas de seguridad, la mala configuración se convierte en la principal superficie de ataque”, dijo Ensar Seker, CISO de SOCRadar, a The Hacker News por correo electrónico. “El aventura no es el agente en sí; es exponer herramientas autónomas a redes públicas sin identidad, control de llegada y límites de ejecución reforzados”.
“Lo que es trascendental aquí es que el regulador chino está señalando explícitamente el aventura de configuración en ocupación de prohibir la tecnología. Eso se alinea con lo que los defensores ya saben: los marcos de agentes amplifican tanto la productividad como el radiodifusión de ataque. Un único punto final expuesto o un complemento demasiado permisivo puede convertir un agente de IA en una capa de automatización no intencional para los atacantes”.
