Openclaw AI sufre una vulnerabilidad de seguridad, los usuarios podrían ser atacados por "skills" maliciosos

Un informe de la empresa de ciberseguridad Certik fechado el 16/3/2026 advierte que Openclaw, una plataforma de inteligencia artificial de código abierto, presenta múltiples vulnerabilidades de seguridad, especialmente en su mecanismo de “escaneo de habilidades” que no es suficiente para proteger a los usuarios de extensiones (skills) maliciosas de terceros.

Según el informe, el modelo de seguridad de Openclaw depende demasiado de la detección y advertencia, en lugar de la aislamiento en tiempo de ejecución, lo que facilita que los atacantes accedan a nivel del sistema.

Limitaciones del proceso de revisión de Clawhub

En el mercado de Openclaw, Clawhub, las “skills” —aplicaciones de terceros que ofrecen funciones como automatización de sistemas o gestión de carteras de criptomonedas— son revisadas mediante varias capas, incluyendo Virustotal para escanear malware conocido, el Motor de Moderación Estática para detectar patrones sospechosos, y una herramienta de “detector de incoherencias” que verifica discrepancias entre la declaración de propósito de la skill y su comportamiento real.

Sin embargo, Certik argumenta que las reglas estáticas pueden ser eludidas simplemente reescribiendo el código. La evaluación basada en IA solo detecta intenciones explícitas, dejando pasar vulnerabilidades ocultas en el código que parecen razonables.

Vulnerabilidad “Pending”

Una debilidad importante es la forma en que se manejan los resultados del escaneo en espera. La skill aún puede ser instalada incluso si Virustotal no ha entregado resultados, proceso que puede durar varias horas o días, pero el sistema la considera “segura”.

Para demostrarlo, los investigadores de Certik crearon una skill de prueba llamada “test-web-searcher”. Esta skill parece normal pero contiene una vulnerabilidad que permite ejecutar comandos arbitrarios en el servidor. Cuando se ejecuta a través de Telegram, esta skill supera el sandbox opcional de Openclaw y realiza cálculos en una máquina de prueba, ejemplificando una intrusión completa en el sistema.

Recomendaciones y advertencias

El informe concluye que la detección no puede reemplazar una verdadera frontera de seguridad. Certik recomienda que Openclaw ejecute las skills de terceros en entornos aislados por defecto y que las skills declaren claramente sus necesidades de recursos, similar a los sistemas operativos móviles modernos.

Se advierte a los usuarios que la etiqueta “benign” en Clawhub no significa que sea segura. Hasta que se implementen mecanismos de aislamiento más robustos por defecto, la plataforma solo debe usarse en entornos de bajo valor, evitando información sensible o activos importantes.