OpenClaw le brinda a un agente de IA acceso a sus archivos, correo electrónico, calendario y línea de comando, funcionando las 24 horas del día sin esperar a que se lo soliciten. Esta es una configuración útil para muchos profesionales. Se trata de una cantidad significativa de confianza para implementar en el software lanzado a finales de 2025 y que todavía está solucionando agujeros de seguridad.
Hemos pasado por investigaciones, divulgaciones de CVE y auditorías de seguridad desde que OpenClaw se volvió viral. Esto es lo que debe saber antes de otorgar acceso a algo importante.
Ataque de inyección rápida
La inyección rápida es el riesgo más documentado en el ecosistema OpenClaw y no es un problema que el equipo pueda diseñar por completo. Esto sucede cuando hay instrucciones maliciosas ocultas en el contenido que lee el agente (un correo electrónico, un documento compartido, una página web) y el modelo de lenguaje las trata como comandos válidos suyos.
Debido a que OpenClaw procesa mensajes entrantes, navega por sitios web y lee archivos como parte de operaciones normales, maneja constantemente entradas no confiables. El equipo de investigación de seguridad de IA de Cisco probó las capacidades de OpenClaw de terceros y descubrió que realizaban la filtración de datos y la inyección rápida sin el conocimiento del usuario.
El propio blog de OpenClaw describe la inyección rápida como “todavía un problema sin resolver en toda la industria” y recomienda utilizar un modelo robusto de última generación para reducir el riesgo. Los mejores modelos son más difíciles de gestionar, pero eso es una mitigación, no una solución. Limite el acceso del agente a lo que realmente necesita y tenga cuidado con las fuentes de contenido que permite procesar sin supervisión.
Habilidades maliciosas en repositorios comunitarios
Las habilidades son complementos modulares que amplían lo que OpenClaw puede hacer. Se comparten a través de ClawHub, el repositorio comunitario de la plataforma, y los agentes pueden buscarlos e instalarlos automáticamente. El problema es que las habilidades son código de extraños y no existe un entorno de pruebas eficaz que contenga lo que hacen.
El equipo de seguridad de Cisco llamó “¿Qué haría Elon?” que fue empujado artificialmente hasta la cima del embalse. Resultó ser malware: utilizaba una inyección rápida para eludir los controles de seguridad y enviar datos del usuario a un servidor externo. Cisco encontró nueve vulnerabilidades en esa única habilidad, dos de las cuales eran críticas, y una auditoría integral de 31,000 habilidades de agentes en múltiples plataformas encontró que el 26% tenía al menos una vulnerabilidad.
Antes de instalar cualquier habilidad que no haya escrito usted mismo, considérelo código no confiable. Bifurquelo, léalo y luego instálelo. Los números de descarga y las calificaciones de estrellas no son una señal de seguridad confiable aquí.
Vulnerabilidad de secuestro de WebSocket (CVE-2026-25253)
En enero de 2026, el investigador de seguridad Mav Levin reveló CVE-2026-25253, un error de secuestro de websocket entre sitios con una calificación de 8,8 en la escala de gravedad CVSS. Cualquier sitio web puede robar su token de autenticación y ejecutar código arbitrario en su máquina con un único enlace malicioso.
La vulnerabilidad fue parcheada en la versión 2026.1.29. Antes de lanzar ese parche, Sensis encontró más de 21.000 instancias de OpenClaw disponibles públicamente en Internet, muchas de ellas a través de HTTP simple. Si está ejecutando una versión anterior o no ha revisado la configuración de su red, solucione esto primero
Actualice al menos a la versión 2026.1.29 y no exponga el puerto de puerta de enlace directamente a Internet. Si necesita acceso remoto, enrútelo a través de un túnel VPN o SSH.
Robo de credenciales y configuración a través de infostellars
La mayoría de las infoestelares buscan contraseñas de navegador y cookies de sesión. Hudson Rock ha documentado el primer caso conocido en el que una infostellar tomó un archivo de configuración completo de OpenClaw de una máquina infectada, un resultado mucho más dañino que una contraseña robada.
Un agente de configuración de OpenClaw contiene claves API y tokens de autenticación para cada servicio conectado. Un atacante que obtenga el archivo no sólo tiene sus credenciales; Tienen un agente que puede dirigir como usted. Los investigadores de Malwarebytes observaron que los adversarios apuntan cada vez más a los sistemas de IA en este nivel, recopilando no solo los detalles de inicio de sesión sino también la configuración completa de un agente de IA individual.
Mantenga actualizada la protección de los terminales de su máquina. Rote las claves API periódicamente y establezca una vida útil de los tokens más corta cuando sus proveedores lo permitan.
Acción autónoma sin aprobación humana
El sistema de latidos de OpenClaw despierta al agente en un horario específico y le permite tomar medidas sin que se le solicite. Esa autonomía es intencional. Esto significa que el agente puede hacer el trabajo resultante antes de que usted tenga la oportunidad de opinar.
Un empleado de Meta que trabaja en seguridad de IA compartió públicamente que no podía evitar que OpenClock borrara una gran parte de su bandeja de entrada de correo electrónico. En otro caso, un usuario descubrió que su agente había redactado y enviado una refutación legal a su compañía de seguros sin preguntar. Esto funcionó para él, pero el problema subyacente es el mismo en ambos sentidos: el agente actúa según lo que considera útil y su juicio no siempre es correcto.
La política de herramientas de OpenClaw le permite solicitar confirmación humana antes de ciertos tipos de acciones. Utilice esas configuraciones para algo irreversible, como eliminaciones, mensajes salientes y cualquier cosa que implique pagos.
Instancias abiertas e implementaciones mal configuradas
OpenClaw se conecta a plataformas de correo electrónico, calendario, almacenamiento de archivos y mensajería. Cuando está mal configurado o se deja accesible al público, la exposición puede ser grave.
El ejemplo más obvio proviene de Moltbook, una plataforma de terceros construida sobre OpenClaw. Una mala configuración de la base de datos dejó todo su backend abierto a Internet cuatro días después del lanzamiento, exponiendo 1,5 millones de claves API de agente, más de 35.000 direcciones de correo electrónico y miles de mensajes privados. Este fue un proyecto separado, pero muestra lo que sucede cuando las implementaciones basadas en OpenClaw se mueven rápidamente sin bloquear los controles de acceso.
La autoridad holandesa de protección de datos aconsejó a las organizaciones que no implementaran agentes experimentales como OpenClaw en sistemas que manejan datos sensibles o controlados, citando una combinación de acceso local extenso y un modelo de seguridad inmaduro. Si lo está ejecutando de manera profesional, manténgalo separado en una máquina virtual o contenedor dedicado con controles estrictos sobre lo que puede alcanzar.
Pasos para reducir su riesgo
Microsoft ha publicado recomendaciones para implementar agentes autohospedados con certificados persistentes, y se traducen específicamente a OpenClaw. Ejecútelo en una máquina dedicada o en un contenedor aislado en lugar de en su computadora principal y otorgue solo permisos mínimos para hacer su trabajo.
Establezca límites de gasto a nivel del proveedor de API, no solo dentro de la configuración de OpenClaw. Un latido mal configurado puede generar una factura importante de la noche a la mañana y los límites a nivel de proveedor son más confiables. Controle las acciones inmutables detrás de la aprobación humana y revise periódicamente la memoria y los registros de comportamiento del agente, especialmente después de que procese contenido de fuentes externas.
El desarrollador de OpenClaw, Peter Steinberger, dice que la seguridad es la principal prioridad del equipo y que el proyecto ha enviado varios parches sólidos, así como un modelo de seguridad comprobable por máquina. Este es un verdadero progreso para un proyecto tan joven. Aún así, la configuración conservadora es una compensación razonable por el poder que ofrece, y los valores predeterminados por sí solos no son suficientes.
¿Qué significa esto para ti?
OpenClaw es una plataforma capaz y la comunidad que la rodea está creciendo rápidamente. El amplio acceso al sistema y un ecosistema de experiencia de terceros en rápida expansión también hacen que una configuración cuidadosa sea esencial, especialmente en un contexto profesional.
La mayoría de los riesgos aquí son manejables si se abordan antes de que se conviertan en problemas. Limite el acceso, supervise lo que instala y no dé a los agentes autoridad sobre nada que le incomode perder. A medida que la plataforma madure, se volverá más fuerte, pero hasta entonces, depende de usted asegurarla.
