Los investigadores de ciberseguridad revelaron que han detectado un caso de infección de saqueador de información que logró filtrar el entorno de configuración OpenClaw (anteriormente Clawdbot y Moltbot) de una víctima.
“Este hallazgo marca un hito importante en la desarrollo del comportamiento de los ladrones de información: la transición del robo de credenciales de navegador a la monasterio de las ‘almas’ e identidades de agentes personales de IA (inteligencia sintético)”, dijo Hudson Rock.
Alon Gal, CTO de Hudson Rock, dijo a The Hacker News que el saqueador probablemente era una cambio de Vidar según los detalles de la infección. Vidar es un saqueador de información estereotipado que se sabe que está activo desde finales de 2018.
Dicho esto, la compañía de ciberseguridad dijo que la captura de datos no fue facilitada por un módulo OpenClaw personalizado en el interior del malware saqueador, sino a través de una “rutina amplia de captura de archivos” diseñada para agenciárselas ciertas extensiones de archivos y nombres de directorios específicos que contienen datos confidenciales.
Esto incluía los siguientes archivos:
- openclaw.json, que contiene detalles relacionados con el token de puerta de enlace OpenClaw, inmediato con la dirección de correo electrónico redactada y la ruta del espacio de trabajo de la víctima.
- device.json, que contiene claves criptográficas para operaciones seguras de emparejamiento y firma en el interior del ecosistema OpenClaw.
- soul.md, que contiene detalles de los principios operativos básicos, pautas de comportamiento y límites éticos del agente.
Vale la pena señalar que el robo del token de autenticación de la puerta de enlace puede permitir a un atacante conectarse a la instancia tópico de OpenClaw de la víctima de forma remota si el puerto está expuesto, o incluso hacerse sobrevenir por el cliente en solicitudes autenticadas a la puerta de enlace de IA.
“Si admisiblemente el malware pudo poseer estado buscando ‘secretos’ estereotipado, sin darse cuenta encontró oro al capturar todo el contexto eficaz del asistente de inteligencia sintético del favorecido”, agregó Hudson Rock. “A medida que los agentes de inteligencia sintético como OpenClaw se integren más en los flujos de trabajo profesionales, los desarrolladores de robo de información probablemente lanzarán módulos dedicados diseñados específicamente para descifrar y analizar estos archivos, de forma muy similar a como lo hacen hoy con Chrome o Telegram”.
La divulgación se produce cuando los problemas de seguridad con OpenClaw llevaron a los mantenedores de la plataforma agente de código descubierto a anunciar una asociación con VirusTotal para agenciárselas habilidades maliciosas cargadas en ClawHub, establecer un maniquí de amenaza y anexar la capacidad de auditar posibles configuraciones incorrectas.
La semana pasada, el equipo de OpenSourceMalware detalló una campaña de habilidades maliciosas de ClawHub en curso que utiliza una nueva técnica para evitar el escaneo de VirusTotal alojando el malware en sitios web similares a OpenClaw y usando las habilidades puramente como señuelos, en superficie de grabar la carga útil directamente en sus archivos SKILL.md.
“El cambio de cargas bártulos integradas a alojamiento de malware extranjero muestra que los actores de amenazas se adaptan a las capacidades de detección”, dijo el investigador de seguridad Paul McCarty. “A medida que crecen los registros de habilidades de IA, se convierten en objetivos cada vez más atractivos para los ataques a la sujeción de suministro”.
Otro problema de seguridad destacado por OX Security se refiere a Moltbook, un foro de Internet similar a Reddit diseñado exclusivamente para agentes de inteligencia sintético, principalmente aquellos que ejecutan OpenClaw. La investigación encontró que una cuenta de AI Agent, una vez creada en Moltbook, no se puede eliminar. Esto significa que los usuarios que deseen eliminar las cuentas y eliminar los datos asociados no tienen ningún memorial.
Es más, un descomposición publicado por el equipo STRIKE Threat Intelligence de SecurityScorecard incluso encontró cientos de miles de instancias de OpenClaw expuestas, lo que probablemente exponga a los usuarios a riesgos de ejecución remota de código (RCE).
 |
| Sitio web fariseo de OpenClaw que sirve malware |
“Las vulnerabilidades de RCE permiten a un atacante expedir una solicitud maliciosa a un servicio y ejecutar código improcedente en el sistema subyacente”, dijo la empresa de ciberseguridad. “Cuando OpenClaw se ejecuta con permisos para correo electrónico, API, servicios en la montón o fortuna internos, una vulnerabilidad RCE puede convertirse en un punto de pivote. Un mal actor no necesita entrar en múltiples sistemas. Necesita un servicio expuesto que ya tenga autoridad para proceder”.
OpenClaw ha tenido un gran interés vírico desde su inicio en noviembre de 2025. Al momento de escribir este artículo, el plan de código descubierto tiene más de 200.000 estrellas en GitHub. El 15 de febrero de 2026, el director ejecutor de OpenAI, Sam Altman, dijo que el fundador de OpenClaw, Peter Steinberger, se uniría a la empresa de inteligencia sintético y agregó: “OpenClaw vivirá en una fundación como un plan de código descubierto que OpenAI seguirá apoyando”.
