Las 1184 habilidades maliciosas de OpenClaw: un riesgo de robo de criptomonedas por valor de más de 100 millones de dólares

La auditoría reveló una infiltración masiva.341 habilidades maliciosasSe encontraron en el mercado de ClawHub.335 vinculados a una sola campaña.Se le llama ClawHavoc. No se trata de un simple error técnico; se trata de una campaña coordinada en la que se aprovecha la cadena de suministro propia del agente de la IA. La escala es impresionante: solo la campaña principal representa más del 12% de todas las habilidades presentes en el repositorio en el momento de la auditoría.

La amenaza es directa y grave. El malware que se ha distribuido, principalmente el Atomic macOS Stealer (AMOS), es una herramienta diseñada para robar datos sensibles. Se dirige específicamente a aquellos datos que son gestionados por los agentes de IA autónomos: claves SSH, credenciales de navegador, datos de la cartera de criptomonedas y claves de API. Esto convierte la máquina siempre en funcionamiento de cada usuario de OpenClaw en un posible lugar de almacenamiento para los atacantes. El enfoque de esta campaña en herramientas relacionadas con criptomonedas, más de 100 herramientas que se hacen pasar por carteras de Solana o Phantom, indica claramente la intención de obtener beneficios económicos directamente a partir de los activos robados.

Esta brecha socava los valores fundamentales de plataformas como OpenClaw. La promesa de una IA segura y autónoma se desvanece cuando el ecosistema destinado a agregar nuevas capacidades se convierte en un objetivo de ataque. El descubrimiento de ataques adicionales, utilizando métodos como “reverse shells” y puertas traseras ocultas, confirma que no se trata simplemente de robar datos, sino de establecer un control permanente sobre los sistemas de los usuarios. Para un proyecto basado en la confianza, esta es una vulnerabilidad fundamental.

El vector de ataque: Robar la “alma” del agente.

Este ataque se traduce directamente en robo de activos, ya que apunta a la identidad del agente. En un caso documentado a principios de este mes…Variante del Vidar Infostealer.Se logró extraer los archivos de configuración críticos de la máquina del infectado. No se realizó una búsqueda amplia; el malware logró capturar con éxito los datos esenciales del agente, incluyendo…openclaw.jsonContiene los tokens de acceso, además de la archiva device.json, que incluye claves criptográficas. Esto representa un cambio claro en el comportamiento del malware: los atacantes ahora buscan “el alma” del agente, y no solo las contraseñas del navegador.

La superficie de ataque está definida por los privilegios requeridos por el agente. Para que OpenClaw pueda funcionar, es necesario que…Acceso total tanto al sistema operativo como a la línea de comandos.Este vector de alto nivel de privilegios es precisamente lo que los programas maliciosos aprovechan para sus fines. Al robar los archivos de configuración, el atacante obtiene las claves necesarias para acceder a la instancia del agente en modo remoto, o bien puede disfrazarse como el cliente legítimo en las solicitudes autenticadas dirigidas al puerto de IA.

El riesgo financiero es inmediato y grave. Los archivos robados contienen las credenciales y los tokens necesarios para que el agente pueda gestionar las cuentas de los usuarios, acceder a las API y interactuar con los servicios. En el contexto de la detección anterior…Habilidades maliciosas que se disfrazan de “carteras criptográficas”.Esto crea un camino directo hacia la monetización. Un atacante, utilizando la identidad del agente, puede agotar las cuentas de los usuarios, iniciar transacciones no autorizadas y aprovechar el acceso establecido del agente a otras plataformas. De este modo, el “espíritu” robado puede convertirse en una herramienta para cometer fraudes por valor de más de 100 millones de dólares.

El catalizador y el riesgo: La adopción viral frente al control de la seguridad

El crecimiento explosivo del proyecto constituyó una oportunidad perfecta para que se produjera el abuso de poder. OpenClaw…El cambio de marca de Moltbot a OpenClaw ocurrió a finales de enero de 2026.Esto ocurrió al mismo tiempo que hubo un aumento significativo en el número de personas que adoptaron este proyecto. En pocas semanas, el número de estrellas en GitHub superó los 180.000. Esta rápida expansión se produjo en un contexto en el que no se realizaban revisiones de seguridad adecuadas para el mercado de habilidades abierto que ofrecía este proyecto. El resultado fue…Campaña de envenenamiento de la cadena de suministroAllí, los complementos maliciosos que se hacían pasar por herramientas criptográficas se extendían sin control.

Esta desconexión representa un fallo en la gobernanza del sistema. El investigador de seguridad Paul McCarty identificó 386 habilidades maliciosas a principios de febrero. Contactó varias veces al equipo responsable del proyecto. Según las pruebas, la respuesta del equipo fue que el creador del programa, Peter Steinberger, tenía demasiadas cosas que hacer para abordar el problema. Esta falta de supervisión permitió que los atacantes utilizaran ese ecosistema para crear malware. En otras palabras, se convirtió en una vía de distribución para el malware.

La transición a una fundación patrocinada por OpenAI puede proporcionar estabilidad organizativa, pero eso no elimina los daños causados. Los riesgos arquitectónicos del proyecto, como el almacenamiento de credenciales en formato sin cifrar y el uso de un mercado abierto con una evaluación mínima, siguen siendo problemas estructurales. La brecha ya ha demostrado ser grave.Amenaza para los dispositivos corporativosY la confianza que se necesita para que los agentes de IA autónomos funcionen correctamente está ahora gravemente comprometida.