La integración generalizada de asistentes de IA como OpenClaw introduce riesgos críticos de seguridad que exponen a los usuarios a acciones no autorizadas, exposición de datos, compromisos del sistema y vaciamiento de billeteras de criptomonedas, según la firma de ciberseguridad CertiK.
OpenClaw es un agente de IA autoalojado que se integra con plataformas de mensajería como WhatsApp, Slack y Telegram, y puede realizar acciones de forma autónoma en las computadoras de los usuarios, como la gestión de correo electrónico, calendarios y archivos.
Se estima que hay alrededor de 2 millones de usuarios activos mensuales de la plataforma, según Openclaw.vps. Un estudio de McKinsey en noviembre reveló que el 62% de los encuestados afirmó que sus organizaciones ya estaban experimentando con agentes de IA.
Sin embargo, CertiK advierte que se ha convertido en un “vector primario de ataque a la cadena de suministro a gran escala”.
OpenClaw creció de un proyecto paralelo llamado Clawdbot, lanzado en noviembre de 2025, a más de 300.000 estrellas en GitHub, una función de marcadores o “me gusta” en la plataforma de desarrolladores, lo que indica un aumento en su popularidad pero acumulando una grave “deuda de seguridad” en el proceso, señaló CertiK.
Sin embargo, a las pocas semanas de su lanzamiento, Bitsight identificó 30.000 instancias de OpenClaw expuestas a internet, y los investigadores de SecurityScorecard encontraron 135.000 instancias en 82 países, con 15.200 específicamente vulnerables a la ejecución remota de código.
OpenClaw también se ha convertido en la “plataforma de agente de IA más agresivamente escudriñada desde el punto de vista de la seguridad”, acumulando más de 280 avisos de seguridad de GitHub, 100 vulnerabilidades y exposiciones comunes (CVE), y una “serie de ataques a nivel de ecosistema” desde su lanzamiento en noviembre, escribieron los investigadores de CertiK en un informe compartido con Cointelegraph.
Dado que OpenClaw actúa como un puente entre las entradas externas y la ejecución del sistema local, “introduce vectores de ataque clásicos”, dijeron los investigadores.
Estos incluyen el secuestro de la puerta de enlace local, donde sitios web maliciosos o cargas útiles podrían explotar la presencia de la máquina local del agente para extraer datos sensibles del usuario o ejecutar comandos no autorizados.
Relacionado: SlowMist presenta un stack de seguridad Web3 para agentes de IA autónomos
CertiK advirtió sobre los peligros de los complementos (plugins), que podrían añadir canales, herramientas, rutas HTTP, servicios y proveedores, mientras que las habilidades maliciosas podrían instalarse desde fuentes locales o de mercados.
A diferencia del malware tradicional, las “habilidades maliciosas” pueden manipular el comportamiento a través del lenguaje natural, resistiendo el escaneo convencional.
“Una vez lanzado, el malware puede exfiltrar información sensible como contraseñas y credenciales de billeteras de criptomonedas.”
Las puertas traseras maliciosas también pueden estar ocultas dentro de bases de código funcionales legítimas, “donde obtienen URLs aparentemente benignas que finalmente entregan comandos de shell o cargas útiles de malware”, añadieron.
Los investigadores de CertiK dijeron a Cointelegraph que los atacantes sembraron estratégicamente habilidades maliciosas en varias categorías de alto valor, “incluyendo utilidades para Phantom, rastreadores de billeteras, buscadores de billeteras internas, herramientas de Polymarket e integraciones de Google Workspace”.
“Lanzaron una red notablemente amplia en todo el ecosistema cripto, con la carga útil principal diseñada para atacar a un gran número de billeteras de extensión de navegador simultáneamente, como MetaMask, Phantom, Trust Wallet, Coinbase Wallet, OKX Wallet y muchas otras”, dijeron.
Los investigadores añadieron que había una “clara superposición en la técnica con el ecosistema de robo de criptomonedas más amplio, como la ingeniería social, señuelos de utilidad falsos, robo de credenciales, phishing centrado en billeteras”.
“Todas estas son jugadas bien conocidas del manual del ‘crypto drainer’, y las vimos utilizadas aquí.
El fundador de OpenClaw, Peter Steinberg, quien recientemente se unió a OpenAI, dijo que están trabajando en la mejora de la seguridad de OpenClaw.
“Algo en lo que trabajamos durante los últimos dos meses es la seguridad. Así que las cosas están mucho mejor en ese frente”, dijo Steinberg en el evento “ClawCon” el lunes en Tokio.
A principios de este mes, la firma de ciberseguridad OX Security informó sobre una campaña de phishing que utilizó publicaciones falsas de GitHub y un token “CLAW” falso para atraer a los desarrolladores de OpenClaw a conectar billeteras cripto.
CertiK aconsejó a los usuarios comunes “que no son profesionales de la seguridad, desarrolladores o geeks experimentados” que no instalen y usen OpenClaw desde cero, sino que esperen “versiones más maduras, robustas y manejables”.
La empresa de ciberseguridad SlowMist introdujo un marco de seguridad para agentes de IA a principios de marzo, presentándolo como una “fortaleza digital” para defenderse de los riesgos que conllevan los sistemas autónomos que manejan acciones en cadena y activos digitales.
Revista: Los bancos quieren gestionar los exchanges de criptomonedas de Vietnam, el plan de $70M en BTC de Boyaa: Asia Express