El Equipo Técnico de Respuesta a Emergencias de la Red Nacional de Computadoras de China (CNCERT) ha emitido una advertencia sobre la seguridad derivada del uso de OpenClaw (antes Clawdbot y Moltbot), un agente autónomo de inteligencia artificial (IA) autónomo, de código abierto y autohospedado.

En una publicación compartida en WeChat, CNCERT señaló que las «configuraciones de seguridad predeterminadas inherentemente débiles» de la plataforma, junto con su acceso privilegiado al sistema para facilitar las capacidades de ejecución autónoma de tareas, podrían ser exploradas por malos actores para tomar el control del punto final.

Esto incluye riesgos que surgen de inyecciones rápidas, donde instrucciones maliciosas incrustadas en una página web pueden hacer que el agente filtre información confidencial si se le engaña para que acceda y consuma el contenido.

El ataque también es referido como inyección rápida indirecta (IDPI) o inyección rápida entre dominios (XPIA), ya que los adversarios, en lugar de interactuar directamente con un modelo de lenguaje grande (LLM), utilizan funciones benignas de IA como armas como el resumen de páginas web o el análisis de contenido para ejecutar instrucciones manipuladas. esto puede rango de evadir los sistemas de revisión de anuncios basados ​​en inteligencia artificial e influir en las decisiones de contratación para envenenar la optimización de motores de búsqueda (SEO) y generar respuestas sesgadas al suprimir las críticas negativas.

OpenAI, en una publicación de blog publicada a principios de esta semana, dijo que los ataques rápidos de estilo inyección están evolucionando más allá de simplemente colocar instrucciones en contenido externo para incluir elementos de ingeniería social.

«Los agentes de IA son cada vez más capaces de navegar por la web, recuperar información y realizar acciones en nombre de un usuario», afirma. dicho. «Esas capacidades son útiles, pero también crean nuevas formas para que los atacantes intenten manipular el sistema».

Los riesgos de inyección rápida en OpenClaw no son hipotéticos. El mes pasado, investigadores de PromptArmor descubrieron que el función de vista previa del enlace en aplicaciones de mensajería como Telegram o Discord se puede convertir en una vía de filtración de datos cuando se comunica con OpenClaw mediante una inyección rápida indirecta.

La idea, a alto nivel, es engañar al agente de IA para que genere una URL controlada por el atacante que, cuando se presenta en la aplicación de mensajería como una vista previa del enlace, automáticamente hace que transmita datos confidenciales a ese dominio sin tener que hacer clic en el enlace.

«Esto significa que en sistemas de agentes con vistas previas de enlaces, la filtración de datos puede ocurrir inmediatamente después de que el agente de IA responda al usuario, sin que el usuario tenga que hacer clic en el enlace malicioso», dijo la compañía de seguridad de IA. dicho. «En este ataque, el agente es manipulado para construir una URL que utiliza el dominio de un atacante, con parámetros de consulta generados dinámicamente adjuntos que contienen datos confidenciales que el modelo conoce sobre el usuario».

Además de las indicaciones deshonestas, CNCERT también ha destacado otras tres preocupaciones:

• La posibilidad de que OpenClaw pueda eliminar inadvertida e irrevocablemente información crítica debido a una mala interpretación de las instrucciones del usuario.
• Los actores de amenazas pueden cargar habilidades maliciosas en repositorios como ClawHub que, cuando se instalan, ejecutan comandos arbitrarios o implementan malware.
• Los atacantes pueden aprovechar las vulnerabilidades de seguridad reveladas recientemente en OpenClaw para comprometer el sistema y filtrar datos confidenciales.

«Para sectores críticos, como las finanzas y la energía, tales violaciones podrían conducir a la fuga de datos comerciales centrales, secretos comerciales y repositorios de códigos, o incluso resultar en la parálisis completa de sistemas comerciales completos, causando pérdidas incalculables», agregó CNCERT.

Para contrarrestar estos riesgos, se recomienda a los usuarios y organizaciones fortalecer los controles de red, evitar la exposición del puerto de administración predeterminado de OpenClaw a Internet, aislar el servicio en un contenedor, evitar almacenar credenciales en texto sin formato, descargar habilidades solo de canales confiables, deshabilitar las actualizaciones automáticas de habilidades y mantener actualizado al agente.

El desarrollo se produce cuando las autoridades chinas han tomado medidas para restringir que las empresas estatales y las agencias gubernamentales ejecuten aplicaciones OpenClaw AI en computadoras de oficina en un intento por contener los riesgos de seguridad, Bloomberg. reportado. Se dice que la prohibición también se extiende a las familias del personal militar.

La popularidad viral de OpenClaw también ha llevado a los actores de amenazas a aprovechar el fenómeno para distribuir repositorios maliciosos de GitHub haciéndose pasar por instaladores de OpenClaw para implementar ladrones de información como Atomic y Vidar Stealer, y un malware proxy basado en Golang conocido como calcetines fantasma usando instrucciones estilo ClickFix.

«La campaña no estaba dirigida a una industria en particular, sino que estaba dirigida en general a usuarios que intentaban instalar OpenClaw con repositorios maliciosos que contenían instrucciones de descarga para entornos Windows y macOS», Huntress dicho. «Lo que hizo que esto fuera exitoso fue que el malware estaba alojado en GitHub, y el repositorio malicioso se convirtió en la sugerencia mejor calificada en los resultados de búsqueda de IA de Bing para OpenClaw Windows».

Investigadores de ciberseguridad han descubierto un paquete npm malicioso que se hace pasar por un instalador de OpenClaw para implementar un troyano de acceso remoto (RAT) y robar datos confidenciales de hosts comprometidos.

El paquete, llamado «@openclaw-ai/openclawai,» fue subido al registro por un usuario llamado «openclaw-ai» el 3 de marzo de 2026. Se ha descargado 178 veces hasta la fecha. La biblioteca todavía está disponible para descargar en el momento de escribir este artículo.

JFrog, que descubrió el paquete, dijo que está diseñado para robar credenciales del sistema, datos del navegador, billeteras criptográficas, claves SSH, bases de datos de Apple Keychain e historial de iMessage, así como para instalar un RAT persistente con capacidades de acceso remoto, proxy SOCKS5 y clonación de sesiones de navegador en vivo.

«El ataque se destaca por su amplia recopilación de datos, su uso de ingeniería social para obtener la contraseña del sistema de la víctima y la sofisticación de su persistencia y C2. [command-and-control] infraestructura», dijo el investigador de seguridad Meitar Palas dicho. «Internamente, el malware se identifica como GhostLoader».

La lógica maliciosa se activa mediante un gancho postinstalación, que reinstala el paquete globalmente usando el comando: «npm i -g @openclaw-ai/openclawai». Una vez completada la instalación, el binario de OpenClaw apunta a «scripts/setup.js» mediante la propiedad «bin» en el archivo «package.json».

Vale la pena señalar que el «papelera«El campo se utiliza para definir archivos ejecutables que deben agregarse a la RUTA del usuario durante la instalación del paquete. Esto, a su vez, convierte el paquete en una herramienta de línea de comandos accesible globalmente.

El archivo «setup.js» sirve como cuentagotas de primera etapa que, al ejecutarse, muestra una convincente interfaz de línea de comandos falsa con barras de progreso animadas para dar la impresión de que OpenClaw se está instalando en el host. Una vez completado el supuesto paso de instalación, el script muestra un mensaje de autorización falso del llavero iCloud, solicitando a los usuarios que ingresen su contraseña del sistema.

Simultáneamente, el script recupera una carga útil JavaScript cifrada de segunda etapa del servidor C2 («trackpipe[.]dev»), que luego se decodifica, se escribe en un archivo temporal y se genera como un proceso secundario separado para continuar ejecutándose en segundo plano. El archivo temporal se elimina después de 60 segundos para cubrir los rastros de la actividad.

«Si no se puede acceder al directorio de Safari (no hay acceso completo al disco), el script muestra un cuadro de diálogo de AppleScript que insta al usuario a otorgar FDA a la Terminal, completo con instrucciones paso a paso y un botón que abre Preferencias del Sistema directamente», explicó JFrog. «Esto permite que la carga útil de la segunda etapa robe notas de Apple, iMessage, historial de Safari y datos de correo».

La segunda etapa de JavaScript, que cuenta con alrededor de 11,700 líneas, es un ladrón de información completo y un marco RAT que es capaz de persistencia, recopilación de datos, descifrado del navegador, comunicación C2, un proxy SOCKS5 y clonación en vivo del navegador. También está equipado para robar una amplia gama de datos.

• Llavero macOS, incluidas las bases de datos login.keychain-db local y todas las bases de datos de llavero iCloud
• Credenciales, cookies, tarjetas de crédito y datos de autocompletar de todos los navegadores basados ​​en Chromium, como Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex y Comet.
• Datos de aplicaciones de billetera de escritorio y extensiones de navegador
• Frases iniciales de billetera de criptomonedas
• Claves SSH
• Credenciales de desarrollador y de nube para AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker y GitHub
• Configuraciones de agentes de inteligencia artificial (IA), y
• Datos protegidos por la FDA, incluidas Apple Notes, historial de iMessage, historial de navegación de Safari, configuraciones de cuentas de correo e información de cuentas de Apple

En la etapa final, los datos recopilados se comprimen en un archivo tar.gz y se filtran a través de múltiples canales, incluso directamente al servidor C2, Telegram Bot API y GoFile.io.

Es más, el malware entra en un modo demonio persistente que le permite monitorear el contenido del portapapeles cada tres segundos y transmitir cualquier dato que coincida con uno de los nueve patrones predefinidos correspondientes a claves privadas. clave WIFclave privada SOL, clave privada RSA, dirección BTC, dirección Ethereum, clave AWS, clave OpenAI y clave Strike.

Otras características incluyen controlar los procesos en ejecución, escanear los chats entrantes de iMessage en tiempo real y ejecutar comandos enviados desde el servidor C2 para ejecutar un comando de shell arbitrario, abrir una URL en el navegador predeterminado de la víctima, descargar cargas útiles adicionales, cargar archivos, iniciar/detener un proxy SOCKS5, enumerar los navegadores disponibles, clonar un perfil de navegador e iniciarlo en modo sin cabeza, detener la clonación del navegador, autodestruirse y actualizarse.

La función de clonación del navegador es particularmente peligrosa ya que inicia una instancia de Chromium sin cabeza con el perfil del navegador existente que contiene cookies, datos de inicio de sesión y de historial. Esto le brinda al atacante una sesión de navegador completamente autenticada sin necesidad de acceder a credenciales.

«El paquete @openclaw-ai/openclawai combina ingeniería social, entrega de carga útil cifrada, amplia recopilación de datos y una RAT persistente en un único paquete npm», dijo JFrog.

«El instalador de CLI falso y pulido y el mensaje de Llavero son lo suficientemente convincentes como para extraer contraseñas del sistema de desarrolladores cautelosos, y una vez capturadas, esas credenciales desbloquean el descifrado de Llavero de macOS y la extracción de credenciales del navegador que de otro modo serían bloqueadas por protecciones a nivel de sistema operativo».

OpenClaw ha solucionado un problema de seguridad de alta gravedad que, si se hubiera explotado con éxito, podría haber permitido que un sitio web malicioso se conectara a un agente de inteligencia artificial (IA) que se ejecuta localmente y tomara el control.

«Nuestra vulnerabilidad reside en el sistema central mismo: sin complementos, sin mercado, sin extensiones instaladas por el usuario, solo la puerta de enlace OpenClaw, que se ejecuta exactamente como está documentado», Oasis Security dicho en un informe publicado esta semana.

La falla ha sido nombrada en código. GarraJacked por la empresa de ciberseguridad.

El ataque asume el siguiente modelo de amenaza: un desarrollador tiene OpenClaw configurado y ejecutándose en su computadora portátil, con su puertaun servidor WebSocket local, vinculado a localhost y protegido por una contraseña. El ataque se activa cuando el desarrollador llega a un sitio web controlado por un atacante mediante ingeniería social o algún otro medio.

La secuencia de infección sigue los pasos siguientes:

• JavaScript malicioso en la página web abre una conexión WebSocket al host local en el puerto de puerta de enlace de OpenClaw.
• El script aplica fuerza bruta a la contraseña de la puerta de enlace aprovechando un mecanismo de limitación de velocidad que falta.
• Después de una autenticación exitosa con permisos de nivel de administrador, el script se registra sigilosamente como un dispositivo confiable, que la puerta de enlace aprueba automáticamente sin ningún aviso del usuario.
• El atacante obtiene control total sobre el agente de IA, lo que le permite interactuar con él, volcar datos de configuración, enumerar los nodos conectados y leer registros de aplicaciones.

«Cualquier sitio web que visite puede abrir uno en su host local. A diferencia de las solicitudes HTTP normales, el navegador no bloquea estas conexiones entre orígenes», dijo Oasis Security. «Entonces, mientras navega por cualquier sitio web, JavaScript que se ejecuta en esa página puede abrir silenciosamente una conexión a su puerta de enlace OpenClaw local. El usuario no ve nada».

«Esa confianza fuera de lugar tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluida la aprobación silenciosa de nuevos registros de dispositivos sin avisar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento. Desde localhost, es automático».

Tras una divulgación responsable, OpenClaw impulsó una solución en menos de 24 horas con versión 2026.2.25 publicado el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible, auditen periódicamente el acceso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para identidades no humanas (también conocidas como agentes).

El desarrollo se produce en medio de un escrutinio de seguridad más amplio del ecosistema OpenClaw, principalmente debido al hecho de que los agentes de IA tienen acceso arraigado a sistemas dispares y la autoridad para ejecutar tareas a través de herramientas empresariales, lo que lleva a un radio de explosión significativamente mayor en caso de verse comprometidos.

Informes de Bitsight y Confianza neuronal han detallado cómo las instancias de OpenClaw que se dejan conectadas a Internet representan una superficie de ataque ampliada, con cada servicio integrado ampliando aún más el radio de explosión y pueden transformarse en un arma de ataque incorporando inyecciones rápidas en el contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.

La divulgación se produce cuando OpenClaw también parchó una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido malicioso para registrar archivos a través de solicitudes WebSocket en una instancia de acceso público en el puerto TCP 18789.

Dado que el agente lee sus propios registros para solucionar ciertas tareas, un actor de amenazas podría abusar de la laguna de seguridad para incorporar inyecciones indirectas, lo que tendría consecuencias no deseadas. El asunto fue abordado en versión 2026.2.13que se envió el 14 de febrero de 2026.

«Si el texto inyectado se interpreta como información operativa significativa en lugar de una entrada no confiable, podría influir en las decisiones, sugerencias o acciones automatizadas», Eye Security dicho. «Por lo tanto, el impacto no sería una ‘adquisición instantánea’, sino más bien: manipulación del razonamiento del agente, influencia en los pasos de solución de problemas, posible divulgación de datos si el agente es guiado para revelar el contexto y mal uso indirecto de las integraciones conectadas».

En las últimas semanas, también se ha descubierto que OpenClaw es susceptible a múltiples vulnerabilidades (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), que varían de gravedad moderada a alta, y que podrían dar lugar a la ejecución remota de código, inyección de comandos, falsificación de solicitudes del lado del servidor (SSRF), omisión de autenticación y cruce de rutas. Las vulnerabilidades han sido abordadas en las versiones de OpenClaw. 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2y 2026.2.14.

«A medida que los marcos de agentes de IA se vuelven más frecuentes en los entornos empresariales, el análisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA», afirmó Endor Labs.

En otros lugares, una nueva investigación ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se están utilizando como conductos para entregar una nueva variante de Atomic Stealer, un ladrón de información de macOS desarrollado y alquilado por un actor de delitos cibernéticos conocido como Araña de galleta.

«La cadena de infección comienza con un SKILL.md normal que instala un requisito previo», Trend Micro dicho. «La habilidad parece inofensiva en la superficie e incluso fue etiquetada como benigna en VirusTotal. Luego, OpenClaw va al sitio web, busca las instrucciones de instalación y continúa con la instalación si el LLM decide seguir las instrucciones».

Las instrucciones alojadas en el sitio web «openclawcli.vercel[.]app» incluye un comando malicioso para descargar una carga útil de ladrón desde un servidor externo («91.92.242[.]30») y ejecútelo.

Los cazadores de amenazas también han señalado una nueva campaña de entrega de malware en el que se identificó a un actor de amenazas con el nombre @liuhui1010, que dejó comentarios en páginas legítimas de listas de habilidades, instando a los usuarios a ejecutar explícitamente un comando que proporcionaron en la aplicación Terminal si la habilidad «no funciona en macOS».

El comando está diseñado para recuperar Atomic Stealer de «91.92.242[.]30», una dirección IP previamente documentada por Koi Security y OpenSourceMalware para distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.

Es más, un análisis reciente de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de IA Straiker ha descubierto no menos de 71 programas maliciosos, algunos de los cuales se hacían pasar por herramientas de criptomonedas legítimas pero contenían funciones ocultas para redirigir fondos a billeteras controladas por actores de amenazas.

Otras dos habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas de múltiples capas que emplea una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Las habilidades se han atribuido a un actor de amenazas que opera bajo los alias «26medias» en ClawHub y «BobVonNeumann» en Moltbook y X.

«BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para que los agentes interactúen entre sí», dijeron los investigadores Yash Somalkar y Dan Regalado. «Desde esa posición, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para extenderse entre sí de forma predeterminada. Es un ataque a la cadena de suministro con una capa de ingeniería social construida encima».

Sin embargo, lo que hace bob-p2p-beta es instruir a otros agentes de inteligencia artificial para que almacenen las claves privadas de la billetera Solana en texto sin formato, compren tokens $BOB sin valor en pump.fun y enruten todos los pagos a través de una infraestructura controlada por el atacante. La segunda habilidad pretende ofrecer una herramienta de generación de imágenes benigna para generar credibilidad del desarrollador.

Dado que ClawHub se está convirtiendo en un nuevo terreno fértil para los atacantes, se recomienda a los usuarios auditar las habilidades antes de instalarlas, evitar proporcionar credenciales y claves a menos que sea esencial y monitorear el comportamiento de las habilidades.

Los riesgos de seguridad asociados con los tiempos de ejecución de agentes autohospedados como OpenClaw también han llevado a Microsoft a emitir un aviso, advirtiendo que la implementación sin vigilancia podría allanar el camino para la exposición/exfiltración de credenciales, modificación de la memoria y compromiso del host si se puede engañar al agente para que recupere y ejecute código malicioso, ya sea a través de habilidades envenenadas o inyecciones rápidas.

«Debido a estas características, OpenClaw debe tratarse como una ejecución de código no confiable con credenciales persistentes», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho. «No es apropiado ejecutarlo en una estación de trabajo personal o empresarial estándar».

«Si una organización determina que OpenClaw debe ser evaluado, debe implementarse solo en un entorno completamente aislado, como una máquina virtual dedicada o un sistema físico separado. El tiempo de ejecución debe usar credenciales dedicadas y sin privilegios y acceder solo a datos no confidenciales. El monitoreo continuo y un plan de reconstrucción deben ser parte del modelo operativo».