Las puertas de enlace de agentes de IA como OpenClaw parecen un portal a un futuro que, incluso hace unos meses, parecía increíblemente distante. Ese futuro es genuinamente transformador, pero también aterrador en algunos aspectos muy específicos.
OpenClaw funciona gracias a una especie de pacto fáustico. Es atractivo precisamente porque tiene acceso real a su máquina local, sus aplicaciones, sus sesiones de navegador, sus archivos y, a menudo, a la memoria a largo plazo. Pero ese nivel de acceso significa que todavía no existe una forma segura de ejecutarlo en una máquina que tenga credenciales corporativas o tenga acceso a sistemas de producción.
Lo más importante es que OpenClaw nos enseña sobre los riesgos de los agentes de IA no controlados en general.
El problema del texto plano
La memoria y la configuración de OpenClaw no son conceptos abstractos. Son archivos legibles que viven en ubicaciones predecibles en el disco. Y son texto plano.
Si un atacante compromete la misma máquina en la que ejecuta OpenClaw, no necesita hacer nada sofisticado. Los ladrones de información modernos extraen directorios comunes y filtran cualquier cosa que parezca credenciales, tokens, registros de sesión o configuraciones de desarrollador. Si su agente almacena claves API en texto plano, tokens de webhook, transcripciones y memoria a largo plazo en ubicaciones conocidas, un ladrón de información puede apoderarse de todo en segundos.
Y desafortunadamente, los ecosistemas de agentes como el de OpenClaw también ponen a los usuarios en mayor riesgo de descargar un ladrón de información.
Habilidades maliciosas
En el ecosistema OpenClaw, una “habilidad” es a menudo un archivo de rebajas: una página de instrucciones que le dice a un agente cómo realizar una tarea especializada. En la práctica, Markdown es un instalador para agentes.
Mientras navegaba por ClawHub, noté que la habilidad más descargada en ese momento era una habilidad de «Twitter». Parecía normal: el tipo de cosa que esperarías instalar sin pensarlo dos veces.
Sin embargo, era un vehículo de distribución de malware. Descargué el binario final de forma segura y lo envié a VirusTotal, y el veredicto fue inequívoco: fue marcado como malware de robo de información de macOS.
Este es el tipo de malware que no sólo “infecta tu computadora”. Asalta todo lo valioso en ese dispositivo:
- Sesiones del navegador y cookies
- Credenciales guardadas y datos de autocompletar
- Tokens de desarrollador y claves API
- Claves SSH
- Credenciales en la nube
- Cualquier otra cosa que pueda convertirse en una apropiación de cuenta.
El problema va más allá de OpenClaw
Este problema no es exclusivo de OpenClaw. Muchos agentes están adoptando el formato abierto Agent Skills, en el que una habilidad es una carpeta centrada en un archivo SKILL.md con metadatos e instrucciones de formato libre, y también puede agrupar scripts y otros recursos. Incluso la documentación de OpenAI describe la misma forma básica: un archivo SKILL.md más scripts y recursos opcionales.
Eso significa que una “habilidad” maliciosa no es sólo un problema de OpenClaw. Es un mecanismo de distribución que puede viajar a través de cualquier ecosistema de agentes que admita el mismo estándar.
Lo que hace que esto sea peor que una típica filtración de credenciales es el contexto.
Un solo token API robado es malo. Cientos de tokens y sesiones robados para los servicios críticos de su vida son aún peores.
Pero cien tokens y sesiones robados, además de un archivo de memoria a largo plazo que describe quién eres, qué estás construyendo, cómo escribes, con quién trabajas y qué te importa, es algo completamente distinto. Es la materia prima necesaria para suplantarlo, chantajearlo o incluso hacerse pasar por usted de una manera que ni siquiera sus amigos y familiares más cercanos pueden detectar.
Qué deberían hacer las empresas ahora mismo
Si está experimentando con OpenClaw, no lo haga en un dispositivo de la empresa. Punto final. OpenClaw es una herramienta que, por ahora, renuncia a una limitación esencial: la seguridad. Las preguntas frecuentes del proyecto presentan claramente el acuerdo fáustico: «No existe una configuración ‘perfectamente segura'».
Pero la respuesta a largo plazo no es dejar de crear agentes. La respuesta es construir la capa de confianza que falta a su alrededor. Las habilidades necesitan procedencia. La ejecución necesita mediación. Los permisos deben ser específicos, revocables y aplicados continuamente, no concedidos una vez y olvidados.
Si los agentes van a actuar en nuestro nombre, las credenciales y las acciones confidenciales no pueden ser «tomadas» por cualquier código que se ejecute. Deben ser negociados, gobernados y auditados en tiempo real.
Esta es exactamente la razón por la que necesitamos esa siguiente capa: cuando las “habilidades” se conviertan en la cadena de suministro, el único futuro seguro será aquel en el que cada agente tenga su propia identidad y tenga la autoridad mínima que necesita en este momento, con un acceso limitado en el tiempo, revocable y atribuible.
Ese futuro no existe hoy, pero el trabajo para hacerlo real y seguro ya está en marcha. 1Password está decidido a ser la empresa que lo haga posible.
Fuente