OpenClaw continúa enfrentando vulnerabilidades y riesgos de mala configuración, incluso después de aplicar parches rápidos y anunciar su transición hacia una fundación respaldada por OpenAI.
Este asistente personal autónomo ha cambiado de nombre varias veces: comenzó como Clawdbot, luego pasó a llamarse Moltbot, y ahora es conocido como OpenClaw. Aunque el nombre ha evolucionado, el producto es esencialmente el mismo.
El 14 de febrero de 2026, su desarrollador, Peter Steinberger, anunció su incorporación a OpenAI. A partir de ese momento, el proyecto comenzó su transición hacia la OpenClaw Foundation, con apoyo financiero y técnico de OpenAI. Sin embargo, la noticia constante que rodea a OpenClaw no es su crecimiento, sino sus fallos de seguridad.
Un asistente revolucionario… y un dolor de cabeza en ciberseguridad
OpenClaw combina una propuesta extremadamente atractiva para profesionales ocupados con una exposición casi magnética a los ataques.
En enero, Cisco Talos lo describió como “innovador” y prácticamente el asistente soñado para usuarios exigentes. No obstante, desde el punto de vista de la seguridad, lo calificó como una auténtica pesadilla.
Vulnerabilidades recientes y parches acelerados
No se puede negar que el equipo de OpenClaw ha reaccionado rápidamente ante los problemas detectados.
Entre los incidentes más relevantes:
- CVE-2026-25157, corregido el 25 de enero (versión 2026.1.25).
- CVE-2026-25253, una vulnerabilidad de ejecución remota con un solo clic, parcheada inicialmente el 29 de enero.
- Posteriormente se detectó que la corrección era incompleta y el sandbox Docker podía eludirse (CVE-2026-24763), solucionado en la versión 2026.1.30.
- También se resolvieron CVE-2026-25593 y CVE-2026-25475.
Actualmente, la versión más reciente es 2026.2.17 y no se conocen CVEs sin corregir.
Sin embargo, esto no significa que el uso de OpenClaw sea automáticamente seguro.
El problema de las versiones antiguas
Miles de instalaciones siguen ejecutando versiones anteriores a 2026.1.30, lo que implica que continúan siendo vulnerables. Los atacantes explotan activamente estas implementaciones desactualizadas.
Además, OpenClaw sigue expuesto a errores comunes de configuración en agentes de IA. Estos problemas son conocidos, pero muchas veces no se gestionan adecuadamente.
El especialista Jamieson O’Reilly comparó OpenClaw con un mayordomo brillante, pero advirtió: “Asegúrate de que recuerde cerrar la puerta”.
La pregunta crítica es: ¿cuántos usuarios saben dónde están esas “puertas” y cómo cerrarlas correctamente?
Ataques en la cadena de suministro: el caso ClawHavoc
A finales de enero se detectó un ataque denominado ClawHavoc.
Los atacantes subieron “habilidades” maliciosas a ClawHub, el mercado oficial de plugins. La documentación indicaba que era necesario instalar un agente auxiliar, pero este instalaba en realidad el malware Atomic Stealer, que robaba claves API de OpenClaw.
Con esas claves, el atacante obtenía control remoto total del asistente y de todos los servicios conectados.
Incluso cualquier infostealer instalado antes del 1 de febrero de 2026 podía robar claves API de implementaciones vulnerables.
Exposición masiva en Internet
El 31 de enero de 2026, Censys identificó 21.639 instancias expuestas públicamente en Internet.
Esto significa que miles de despliegues están accesibles directamente desde la red pública, ampliando drásticamente la superficie de ataque.
Cabe destacar que todos estos incidentes son recientes y siguen siendo relevantes en 2026.
SecureClaw: una defensa de código abierto
Ante la persistencia de estos problemas, Alex Polyakov, fundador y CTO de Adversa AI, decidió actuar.
En lugar de limitarse a advertencias, desarrolló SecureClaw, una herramienta gratuita y de código abierto disponible en GitHub.
SecureClaw permite:
- Auditar el estado actual de una instalación.
- Ejecutar 55 comprobaciones automáticas de seguridad.
- Mapear riesgos según las categorías del OWASP Agentic Security Initiative.
- Relacionar amenazas con MITRE ATLAS y CoSAI Agentic AI Security.
- Detectar indicadores asociados a CVE-2026-25253, ClawHavoc y patrones de robo de credenciales.
Funciona tanto como plugin a nivel de código como habilidad de comportamiento, enseñando al agente a reconocer ataques.
Polyakov reconoce que no resuelve completamente el problema de la inyección de prompts —una vulnerabilidad aún abierta en la industria—, pero sí dificulta significativamente la explotación mediante defensa en múltiples capas.
El gran desafío: usabilidad versus seguridad
OpenClaw es demasiado útil para ser ignorado. Incluso Sam Altman ha mostrado confianza en su potencial.
Sin embargo, muchos usuarios no lo configuran de manera segura. Las recomendaciones tradicionales —actualizar versiones y configurar manualmente correctamente— no están siendo suficientes.
La verdadera pregunta es si la comunidad adoptará herramientas como SecureClaw y mejores prácticas antes de que los incidentes se multipliquen.
Reflexión final
OpenClaw simboliza el potencial y los riesgos de los agentes autónomos basados en inteligencia artificial.
Su rápida evolución, el respaldo institucional y el desarrollo de herramientas como SecureClaw son pasos positivos. Pero la realidad es que miles de instancias mal configuradas siguen activas.
La seguridad no depende solo de parches rápidos, sino de cultura técnica, gobernanza y responsabilidad en el despliegue.
Una cosa es clara: necesitamos hablar seriamente de OpenClaw, porque su impacto en la seguridad de Internet ya no es marginal.
