Investigadores de ciberseguridad revelaron que han detectado un caso de infección de ladrón de información que logró filtrar la información de una víctima. garra abierta (anteriormente Clawdbot y Moltbot) entorno de configuración.
«Este hallazgo marca un hito importante en la evolución del comportamiento de los ladrones de información: la transición del robo de credenciales del navegador a la recolección de las 'almas' e identidades de la IA personal. [artificial intelligence] agentes», Hudson Rock dicho.
Alon Gal, CTO de Hudson Rock, dijo a The Hacker News que el ladrón probablemente era una variante de Vidar según los detalles de la infección. Vidar es un ladrón de información estándar que se sabe que está activo desde finales de 2018.
Dicho esto, la compañía de ciberseguridad dijo que la captura de datos no fue facilitada por un módulo OpenClaw personalizado dentro del malware ladrón, sino a través de una «rutina amplia de captura de archivos» diseñada para buscar ciertas extensiones de archivos y nombres de directorios específicos que contienen datos confidenciales.
Esto incluía los siguientes archivos:
- openclaw.json, que contiene detalles relacionados con el Token de puerta de enlace OpenClawjunto con la dirección de correo electrónico redactada de la víctima y la ruta del espacio de trabajo.
- device.json, que contiene claves criptográficas para operaciones seguras de emparejamiento y firma dentro del ecosistema OpenClaw.
- alma.mdque contiene detalles de los principios operativos básicos, pautas de comportamiento y límites éticos del agente.
Vale la pena señalar que el robo del token de autenticación de la puerta de enlace puede permitir que un atacante se conecte remotamente a la instancia local de OpenClaw de la víctima si el puerto está expuesto, o incluso hacerse pasar por el cliente en solicitudes autenticadas a la puerta de enlace de AI.
«Si bien el malware pudo haber estado buscando 'secretos' estándar, sin darse cuenta encontró oro al capturar todo el contexto operativo del asistente de inteligencia artificial del usuario», agregó Hudson Rock. «A medida que los agentes de inteligencia artificial como OpenClaw se integren más en los flujos de trabajo profesionales, los desarrolladores de robo de información probablemente lanzarán módulos dedicados diseñados específicamente para descifrar y analizar estos archivos, de manera muy similar a como lo hacen hoy con Chrome o Telegram».
La revelación surge como problemas de seguridad con OpenClaw incitó a los mantenedores de la plataforma agente de código abierto a anunciar una asociación con VirusTotal para buscar habilidades maliciosas cargadas en ClawHub, establecer un modelo de amenaza y agregar la capacidad de Auditoría para posibles errores de configuración..
La semana pasada, el equipo de OpenSourceMalware detalló una campaña de habilidades maliciosas de ClawHub en curso que utiliza una nueva técnica para evitar el escaneo de VirusTotal alojando el malware en sitios web similares a OpenClaw y usando las habilidades puramente como señuelos, en lugar de incrustar la carga útil directamente en sus archivos SKILL.md.
«El cambio de cargas útiles integradas a alojamiento de malware externo muestra que los actores de amenazas se adaptan a las capacidades de detección», dijo el investigador de seguridad Paul McCarty. dicho. «A medida que crecen los registros de habilidades de IA, se convierten en objetivos cada vez más atractivos para los ataques a la cadena de suministro».
Otro problema de seguridad destacado por las preocupaciones de seguridad de OX Moltbookun foro de Internet similar a Reddit diseñado exclusivamente para agentes de inteligencia artificial, principalmente aquellos que ejecutan OpenClaw. La investigación encontró que una cuenta de AI Agent, una vez creada en Moltbook, no se puede eliminar. Esto significa que los usuarios que deseen eliminar las cuentas y eliminar los datos asociados no tienen ningún recurso.
Es más, un análisis publicado por el equipo STRIKE Threat Intelligence de SecurityScorecard también encontró cientos de miles de instancias OpenClaw expuestasprobablemente exponiendo a los usuarios a riesgos de ejecución remota de código (RCE).
 |
| Sitio web falso de OpenClaw que sirve malware |
«Las vulnerabilidades de RCE permiten a un atacante enviar una solicitud maliciosa a un servicio y ejecutar código arbitrario en el sistema subyacente», la empresa de ciberseguridad dicho. «Cuando OpenClaw se ejecuta con permisos para correo electrónico, API, servicios en la nube o recursos internos, una vulnerabilidad RCE puede convertirse en un punto de pivote. Un mal actor no necesita entrar en múltiples sistemas. Necesita un servicio expuesto que ya tenga autoridad para actuar».
OpenClaw ha tenido un gran interés viral desde su debut en noviembre de 2025. Al momento de escribir este artículo, el proyecto de código abierto ha más de 200.000 estrellas en GitHub. El 15 de febrero de 2026, el director ejecutivo de OpenAI, Sam Altman dicho El fundador de OpenClaw, Peter Steinberger, se uniría a la empresa de IA y añadió: «OpenClaw vivirá en una fundación como un proyecto de código abierto que OpenAI seguirá apoyando».
Fuente