garra abiertael asistente de inteligencia synthetic de código abierto anteriormente conocido como Clawdbot y luego Moltbot, cruzó 180.000 estrellas de GitHub y dibujó 2 millones de visitantes en una sola semanasegún el creador Peter Steinberger.
Investigadores de seguridad que escanearon Web encontraron más 1.800 instancias expuestas Filtración de claves API, historiales de chat y credenciales de cuentas. El proyecto ha sido rebautizado dos veces en las últimas semanas debido a disputas de marcas.
El movimiento de base de IA agente es también la mayor superficie de ataque no administrada que la mayoría de las herramientas de seguridad no pueden ver.
Los equipos de seguridad empresarial no implementaron esta herramienta. Tampoco sus firewalls, EDR o SIEM. Cuando los agentes se ejecutan en {hardware} BYOD, las pilas de seguridad quedan ciegas. Esa es la brecha.
Por qué los perímetros tradicionales no pueden detectar amenazas de IA agentes
La mayoría de las defensas empresariales tratan la IA agente como otra herramienta de desarrollo que requiere controles de acceso estándar. OpenClaw demuestra que la suposición es arquitectónicamente errónea.
Los agentes operan dentro de los permisos autorizados, extraen contexto de fuentes influenciables por el atacante y ejecutan acciones de forma autónoma. Su perímetro no ve nada de eso. Un modelo de amenaza incorrecto significa controles incorrectos, lo que significa puntos ciegos.
“Los ataques de IA en tiempo de ejecución son semánticos más que sintácticos”, Carter Rees, vicepresidente de Inteligencia Synthetic de Reputacióndijo a VentureBeat. “Una frase tan inofensiva como ‘Ignorar instrucciones previas’ puede conllevar una carga útil tan devastadora como un desbordamiento del búfer, pero no tiene nada en común con firmas de malware conocidas”.
Simon Willison, el desarrollador de software program e investigador de IA que acuñó el término “inyección rápida”, describe lo que él llama “Trifecta letal” para los agentes de IA. Incluyen el acceso a datos privados, la exposición a contenido no confiable y la capacidad de comunicarse externamente. Cuando estas tres capacidades se combinan, los atacantes pueden engañar al agente para que acceda a información privada y se la envíe. Willison advierte que todo esto puede pasar sin que se envíe ni una sola alerta.
OpenClaw tiene los tres. Lee correos electrónicos y documentos, extrae información de sitios internet o archivos compartidos y actúa enviando mensajes o activando tareas automatizadas. El firewall de una organización ve HTTP 200. Los equipos SOC ven el comportamiento del proceso de monitoreo de EDR, no el contenido semántico. La amenaza es la manipulación semántica, no el acceso no autorizado.
Por qué esto no se limita a los desarrolladores entusiastas
Los científicos de IBM Analysis Kaoutar El Maghraoui y Marina Danilevsky analizaron OpenClaw esta semana y concluyeron desafía la hipótesis de que los agentes autónomos de IA deben integrarse verticalmente. La herramienta demuestra que “esta capa versatile de código abierto puede ser increíblemente poderosa si tiene acceso completo al sistema” y que la creación de agentes con verdadera autonomía “no se limita a las grandes empresas” sino que “también puede ser impulsada por la comunidad”.
Eso es exactamente lo que lo hace peligroso para la seguridad empresarial. Un agente altamente capaz sin controles de seguridad adecuados crea importantes vulnerabilidades en los contextos laborales. El Maghraoui destacó que la cuestión ha pasado de si las plataformas agentes abiertas pueden funcionar a “qué tipo de integración es más importante y en qué contexto”. Las preguntas de seguridad ya no son opcionales.
Lo que revelaron los escaneos de Shodan sobre las puertas de enlace expuestas
El investigador de seguridad Jamieson O’Reilly, fundador de la empresa Crimson Teaming Dvuln, servidores OpenClaw expuestos identificados usando Shodan buscando huellas dactilares HTML características. Una easy búsqueda de “Clawdbot Management” arrojó cientos de resultados en segundos. De las instancias que examinó manualmente, ocho estaban completamente abiertas sin autenticación. Estas instancias proporcionaron acceso completo para ejecutar comandos y ver datos de configuración a cualquiera que los descubriera.
O’Reilly encontró claves API de Anthropic. Fichas de bot de Telegram. Credenciales flojas de OAuth. Historiales de conversaciones completos en todas las plataformas de chat integradas. Dos instancias abandonaron meses de conversaciones privadas en el momento en que se completó el protocolo de enlace de WebSocket. La pink ve tráfico de host native. Los equipos de seguridad no tienen visibilidad de qué agentes llaman o qué datos devuelven.
He aquí por qué: OpenClaw confía en localhost de forma predeterminada sin necesidad de autenticación. La mayoría de las implementaciones se ubican detrás de nginx o Caddy como un proxy inverso, por lo que cada conexión parece provenir de 127.0.0.1 y se trata como tráfico native confiable. Las solicitudes externas entran directamente. El vector de ataque específico de O’Reilly ha sido parcheado, pero la arquitectura que lo permitió no ha cambiado.
Por qué Cisco lo llama una “pesadilla de seguridad”
Equipo de investigación de seguridad y amenazas de IA de Cisco publicó su evaluación esta semanacalificando a OpenClaw como “innovador” desde una perspectiva de capacidad pero “una absoluta pesadilla” desde una perspectiva de seguridad.
El equipo de Cisco lanzó un código abierto Escáner de habilidades que combina análisis estático, flujo de datos de comportamiento, análisis semántico LLM y escaneo VirusTotal para detectar habilidades de agentes maliciosos. Probó una habilidad de terceros llamada “¿Qué haría Elon?” contra OpenClaw. El veredicto fue un fracaso decisivo. Surgieron nueve hallazgos de seguridad, incluidos dos problemas críticos y cinco de alta gravedad.
La habilidad period funcionalmente malware. Le indicó al bot que ejecutara un comando curl, enviando datos a un servidor externo controlado por el autor de la habilidad. Ejecución silenciosa, cero conciencia del usuario. La habilidad también implementó inyección rápida directa para eludir las pautas de seguridad.
“El LLM no puede distinguir inherentemente entre instrucciones de usuario confiables y datos recuperados que no son confiables”, dijo Rees. “Puede ejecutar el comando incorporado, convirtiéndose efectivamente en un ‘diputado confuso’ que actúa en nombre del atacante”. Los agentes de IA con acceso al sistema se convierten en canales encubiertos de fuga de datos que evitan el DLP tradicional, los servidores proxy y el monitoreo de endpoints.
Por qué la visibilidad de los equipos de seguridad acaba de empeorar
La brecha de management se está ampliando más rápido de lo que la mayoría de los equipos de seguridad creen. A partir del viernes, los agentes de OpenClaw están formando sus propias redes sociales. Canales de comunicación que existen completamente fuera de la visibilidad humana.
Moltbook se anuncia a sí misma como “una pink social para agentes de IA” donde “los humanos pueden observar”. Las publicaciones pasan por la API, no por una interfaz seen para los humanos. Scott Alexander del Códice Astral Diez confirmó que no es trivialmente fabricado. Pidió a su propio Claude que participara, y “hizo comentarios bastante similares a todos los demás”. Un humano confirmó que su agente inició una comunidad con temática religiosa “mientras yo dormía”.
Las implicaciones de seguridad son inmediatas. Para unirse, los agentes ejecutan scripts de shell externos que reescriben sus archivos de configuración. Publican sobre su trabajo, los hábitos de sus usuarios y sus errores. La fuga de contexto como apuestas en la mesa para la participación. Cualquier inyección rápida en una publicación de Moltbook se aplica en cascada a las otras capacidades de su agente a través de conexiones MCP.
Moltbook es un microcosmos de un problema más amplio. La misma autonomía que hace que los agentes sean útiles los hace vulnerables. Cuanto más puedan hacer de forma independiente, más daño puede causar un conjunto de instrucciones comprometido. La curva de capacidad está superando a la curva de seguridad por un amplio margen. Y las personas que crean estas herramientas suelen estar más entusiasmadas con lo que es posible que preocupadas por lo que es explotable.
Lo que deben hacer los líderes de seguridad el lunes por la mañana
Los firewalls de aplicaciones internet ven el tráfico de agentes como HTTPS regular. Las herramientas EDR monitorean el comportamiento del proceso, no el contenido semántico. Una pink corporativa típica ve tráfico de host native cuando los agentes llaman a los servidores MCP.
“Trate a los agentes como infraestructura de producción, no como una aplicación de productividad: privilegios mínimos, tokens con alcance, acciones en lista permitida, autenticación sólida en cada integración y auditabilidad de extremo a extremo”, Itamar Golan, fundador de Seguridad inmediata (ahora parte de SentinelOne), dijo a VentureBeat en una entrevista exclusiva.
Audite su pink en busca de puertas de enlace de IA agentes expuestas. Ejecute escaneos de Shodan en sus rangos de IP en busca de firmas OpenClaw, Moltbot y Clawdbot. Si sus desarrolladores están experimentando, querrá saberlo antes de que lo hagan los atacantes.
Mapa dónde existe la trifecta letal de Willison en su entorno. Identifique sistemas que combinen acceso a datos privados, exposición a contenido no confiable y comunicación externa. Supongamos que cualquier agente con los tres es weak hasta que se demuestre lo contrario.
Segmentar el acceso de forma agresiva. Su agente no necesita acceso a todo Gmail, todo SharePoint, todo Slack y todas sus bases de datos simultáneamente. Trate a los agentes como usuarios privilegiados. Registre las acciones del agente, no solo la autenticación del usuario.
Analice las habilidades de su agente en busca de comportamientos maliciosos. Cisco lanzó su Skill Scanner como código abierto. Úselo. Algunos de los comportamientos más dañinos se esconden dentro de los propios archivos.
Actualice sus manuales de respuesta a incidentes. La inyección inmediata no parece un ataque tradicional. No hay firmas de malware, anomalías en la pink ni accesos no autorizados. El ataque ocurre dentro del razonamiento del modelo. Su SOC necesita saber qué buscar.
Establezca una política antes de prohibir. No se puede prohibir la experimentación sin convertirse en el obstáculo de la productividad que evitan los desarrolladores. Construir barreras que canalicen la innovación en lugar de bloquearla. Shadow AI ya está en tu entorno. La pregunta es si tienes visibilidad sobre ello.
El resultado closing
OpenClaw no es la amenaza. Es la señal. Las brechas de seguridad que exponen estas instancias expondrán cada implementación de IA agente que su organización cree o adopte durante los próximos dos años. La experimentación de base ya ocurrió. Las brechas de management están documentadas. Se publican los patrones de ataque.
El modelo de seguridad de IA agente que cree en los próximos 30 días determina si su organización obtiene ganancias de productividad o se convierte en la próxima divulgación de violaciones. Valida tus controles ahora.
