Tus desarrolladores ya están ejecutando OpenClaw en casa. Censys rastreado el agente de IA de código abierto de aproximadamente 1.000 instancias a más de 21.000 públicamente implementaciones expuestas en menos de una semana. La telemetría GravityZone de Bitdefender, extraída específicamente de entornos empresariales, confirmó el patrón que temían los líderes de seguridad: empleados que implementan OpenClaw en máquinas corporativas con comandos de instalación de una sola línea, que otorgan a los agentes autónomos acceso al shell, privilegios del sistema de archivos y tokens OAuth para Slack, Gmail y SharePoint.
CVE-2026-25253una falla de ejecución remota de código con un solo clic con calificación CVSS 8.8, permite a los atacantes robar tokens de autenticación a través de un único enlace malicioso y lograr un compromiso complete de la puerta de enlace en milisegundos. Una vulnerabilidad de inyección de comando separada, CVE-2026-25157permitía la ejecución de comandos arbitrarios a través del controlador SSH de macOS. Un análisis de seguridad de 3.984 habilidades en el mercado de ClawHub encontró que 283, aproximadamente el 7,1% de todo el registro, contienen fallas de seguridad críticas que exponen credenciales confidenciales en texto sin formato. y un auditoría separada de Bitdefender descubrió que aproximadamente el 17% de las habilidades que analizó mostraban un comportamiento claramente malicioso.
La exposición de las credenciales se extiende más allá del propio OpenClaw. Los investigadores de Wiz descubrieron que Moltbook, la pink social de agentes de IA construida sobre la infraestructura OpenClaw, dejó toda su base de datos Supabase accesible públicamente sin seguridad de nivel de fila habilitada. La infracción expuso 1,5 millones de tokens de autenticación API, 35.000 direcciones de correo electrónico y mensajes privados entre agentes que contenían claves API OpenAI en texto sin formato. Un único error de configuración le dio a cualquier persona con un navegador acceso completo de lectura y escritura a todas las credenciales de agente en la plataforma.
Las guías de configuración dicen que compre una Mac Mini. La cobertura de seguridad cube que no lo toques. Ninguno de los dos le da al líder de seguridad un camino controlado hacia la evaluación.
Y vienen rápido. La aplicación Codex de OpenAI alcanzó 1 millón de descargas en su primera semana. meta ha sido prueba detectada de integración de OpenClaw en el código base de su plataforma de IA. Una startup llamada ai.com gastó 8 millones de dólares en un anuncio del Super Bowl para promover lo que resultó ser un contenedor de OpenClaw, semanas después de que el proyecto se volviera viral.
Los líderes de seguridad necesitan un camino intermedio entre ignorar OpenClaw e implementarlo en {hardware} de producción. Marco Moltworker de Cloudflare proporciona uno: contenedores efímeros que aíslan al agente, almacenamiento R2 cifrado para un estado persistente y autenticación Zero Belief en la interfaz de administración.
Por qué las pruebas locales crean el riesgo que se supone que debe evaluar
OpenClaw opera con todos los privilegios de su usuario anfitrión. Acceso a la concha. Lectura/escritura del sistema de archivos. Credenciales OAuth para cada servicio conectado. Un agente comprometido hereda todo instantáneamente.
El investigador de seguridad Simon Willison, quien acuñó el término “inyección rápida”, describe lo que él llama la “Trifecta letal” para agentes de IA: acceso a datos privados, exposición a contenido no confiable y capacidades de comunicación externa combinadas en un solo proceso. OpenClaw tiene los tres, y por diseño. Los firewalls organizacionales ven HTTP 200. Los sistemas EDR monitorean el comportamiento del proceso, no el contenido semántico.
Una inyección rápida incrustada en una página internet resumida o en un correo electrónico reenviado puede desencadenar una filtración de datos que parece idéntica a la actividad regular del usuario. Los investigadores de Giskard demostraron exactamente esta ruta de ataque en enero, explotando el contexto de sesión compartido para recopilar claves API, variables de entorno y credenciales a través de canales de mensajería.
Para empeorar las cosas, la puerta de enlace OpenClaw se une a 0.0.0.0:18789 de forma predeterminadaexponiendo su API completa a cualquier interfaz de pink. Las conexiones de localhost se autentican automáticamente sin credenciales. Implemente detrás de un proxy inverso en el mismo servidor y el proxy colapsará completamente el límite de autenticación, reenviando el tráfico externo como si se originara localmente.
Los contenedores efímeros cambian las matemáticas
Cloudflare lanzó Moltworker como una implementación de referencia de código abierto que desacopla el cerebro del agente del entorno de ejecución. En lugar de ejecutarse en una máquina de la que usted es responsable, la lógica de OpenClaw se ejecuta dentro de Cloudflare Sandbox, una micro-VM efímera y aislada que muere cuando finaliza la tarea.
Cuatro capas componen la arquitectura. Un trabajador de Cloudflare en el borde maneja el enrutamiento y el proxy. El tiempo de ejecución de OpenClaw se ejecuta dentro de un contenedor aislado que ejecuta Ubuntu 24.04 con Node.js. El almacenamiento de objetos R2 maneja la persistencia cifrada entre reinicios de contenedores. Cloudflare Entry aplica la autenticación Zero Belief en cada ruta a la interfaz de administración.
La contención es la propiedad de seguridad que más importa. Un agente secuestrado mediante inyección rápida queda atrapado en un contenedor temporal sin acceso a su pink native ni a sus archivos. El contenedor muere y la superficie de ataque muere con él. No hay nada persistente de lo que girar. No hay credenciales en el directorio ~/.openclaw/ de su computadora portátil corporativa.
Cuatro pasos para un sandbox en funcionamiento
Poner en marcha una instancia de evaluación segura lleva una tarde. No se requiere experiencia previa en Cloudflare.
Paso 1: configurar el almacenamiento y la facturación.
Una cuenta de Cloudflare con un plan Staff Paid ($5/mes) y una suscripción R2 (nivel gratuito) lo cubre. El plan Staff incluye acceso a Sandbox Containers. R2 proporciona persistencia cifrada para que el historial de conversaciones y los emparejamientos de dispositivos sobrevivan a los reinicios del contenedor. Para una evaluación de seguridad pura, puede omitir R2 y ejecutar de forma completamente efímera. Los datos desaparecen con cada reinicio, que puede ser exactamente lo que desea.
Paso 2: generar tokens e implementar.
Clonar el repositorio de trabajadores moltinstale dependencias y establezca tres secretos: su clave API de Anthropic, un token de puerta de enlace generado aleatoriamente (openssl rand -hex 32) y, opcionalmente, una configuración de Cloudflare AI Gateway para enrutamiento de modelo independiente del proveedor. Ejecute npm ejecutar implementar. La primera solicitud activa la inicialización del contenedor con un arranque en frío de uno a dos minutos.
Paso 3: habilite la autenticación Zero Belief.
Aquí es donde el sandbox difiere de cualquier otra guía de implementación de OpenClaw. Configure Cloudflare Entry para proteger la interfaz de usuario del administrador y todas las rutas internas. Configure el dominio de su equipo de Entry y la etiqueta de audiencia de la aplicación como secretos de Wrangler. Redistribuir. Acceder a la interfaz de management del agente ahora requiere autenticación a través de su proveedor de identidad. Ese único paso elimina los paneles de administración expuestos y las fugas de tokens en URL que los escaneos de Censys y Shodan siguen encontrando en Web.
Paso 4: conecte un canal de mensajería de prueba.
Comience con una cuenta de Telegram desechable. Establece el token del bot como un secreto de Wrangler y vuelve a implementarlo. Se puede acceder al agente a través de un canal de mensajería que usted controla, que se ejecuta en un contenedor aislado, con persistencia cifrada y acceso de administrador autenticado.
El costo complete de una instancia de evaluación 24 horas al día, 7 días a la semana es de aproximadamente entre $7 y $10 por mes. Evaluate eso con una Mac Mini de $599 que tiene en su escritorio con acceso completo a la pink y credenciales en texto plano en su directorio de inicio.
Una prueba de estrés de 30 días antes de ampliar el acceso
Resiste el impulso de conectar algo actual. Los primeros 30 días deberían aplicarse exclusivamente a identidades desechables.
Cree un bot de Telegram dedicado y cree un calendario de prueba con datos sintéticos. Si la integración del correo electrónico es importante, cree una cuenta nueva sin reglas de reenvío, sin contactos y sin vínculos con la infraestructura corporativa. El punto es observar cómo el agente maneja la programación, el resumen y la investigación internet sin exponer datos que serían importantes en caso de una infracción.
Preste mucha atención al manejo de credenciales. garra abierta almacena configuraciones en archivos Markdown y JSON de texto sin formato de forma predeterminada, los mismos formatos que los ladrones de información sobre productos básicos como RedLine, Lumma y Vidar han sido apuntando activamente en instalaciones de OpenClaw. En el entorno de pruebas, ese riesgo permanece contenido. En una computadora portátil corporativa, esos archivos de texto plano son blancos fáciles para cualquier malware que ya esté presente en el terminal.
La zona de pruebas le brinda un entorno seguro para ejecutar pruebas adversas que son imprudentes y riesgosas en el {hardware} de producción, pero hay ejercicios que puede probar:
Envíe los enlaces del agente a páginas que contengan instrucciones integradas de inyección rápida y observe si las sigue.. La investigación de Giskard mostró que los agentes agregarían silenciosamente instrucciones controladas por el atacante a su propio archivo HEARTBEAT.md en su espacio de trabajo y esperarían más comandos de un servidor externo. Ese comportamiento debería ser reproducible en un entorno de pruebas donde las consecuencias sean cero.
Otorgue acceso limitado a la herramienta y observe si el agente solicita o intenta permisos más amplios. Supervise las conexiones salientes del contenedor en busca de tráfico hacia puntos finales que no autorizó.
Pruebe las habilidades de ClawHub antes y después de la instalación. OpenClaw integró recientemente el análisis VirusTotal en el mercado y ahora todas las habilidades publicadas se analizan automáticamente. Por separado, avise a Seguridad Suite de código abierto ClawSec agrega detección de deriva para archivos de agentes críticos como SOUL.md y verificación de suma de verificación para artefactos de habilidades, lo que proporciona una segunda capa de validación.
Proporcionar al agente instrucciones contradictorias desde diferentes canales. Pruebe con una invitación de calendario con directivas ocultas. Envíe un mensaje de Telegram que intente anular el mensaje del sistema. Documente todo. La zona de pruebas existe, por lo que estos experimentos no conllevan ningún riesgo de producción.
Finalmente, confirme que se mantengan los límites de la zona de pruebas. Intente acceder a recursos fuera del contenedor. Verifique que la terminación del contenedor elimine todas las conexiones activas. Compruebe si la persistencia de R2 expone un estado que debería haber sido efímero.
El libro de jugadas que dura más que OpenClaw
Este ejercicio produce algo más duradero que una opinión sobre una herramienta. El patrón de ejecución aislada, integraciones escalonadas y validación estructurada antes de expandir la confianza se convierte en su marco de evaluación para cada implementación de IA agente que sigue.
Construir una infraestructura de evaluación ahora, antes de que llegue el próximo agente viral, significa adelantarse a la curva de la IA en la sombra en lugar de documentar la brecha que causó. El modelo de seguridad de IA agente que implemente en los próximos 30 días determina si su organización captura las ganancias de productividad o se convierte en la próxima revelación.
