OpenClaw prometía automatizar tu vida con IA, pero terminó como experimento polémico: vulnerabilidades, vetos corporativos y muchas preguntas abiertas.
OpenClaw, del juguete viral al experimento más polémico de la IA
OpenClaw, del juguete viral al experimento más polémico de la IA | Los Bonobos

OpenClaw, del juguete viral al experimento más polémico de la IA

OpenClaw nació con una promesa seductora: un asistente de IA que no solo habla, sino que realmente hace cosas por ti. Ordena tu supermercado, limpia tu bandeja de entrada, automatiza tareas en el ordenador… todo desde una única interfaz, siempre encendida en tu máquina.

Pero en cuestión de semanas, ese experimento de código abierto pasó de ser la nueva joya de GitHub a convertirse en el caso de estudio más incómodo sobre cómo no desplegar agentes autónomos en el mundo real. Auditorías independientes, empresas vetándolo en sus redes internas y una larga lista de vulnerabilidades críticas han convertido a OpenClaw en la advertencia perfecta de esta era de IA acelerada.

¿Qué es realmente OpenClaw?

En lo técnico, OpenClaw es un framework de “agente personal” que corre en tu dispositivo y se conecta a tus apps y servicios: correo, mensajería, navegador, gestor de contraseñas, almacenamiento en la nube. A diferencia de un chatbot clásico, no se queda en el texto; puede ejecutar comandos, leer y escribir archivos, llamar APIs y coordinar múltiples tareas de forma autónoma.

Su poder viene de un ecosistema de “skills” o complementos que cualquiera puede publicar: pequeñas piezas de código que enseñan al agente a hacer cosas nuevas, desde revisar tu repositorio en GitHub hasta lanzar contenedores o administrar un servidor. Esa flexibilidad es la misma que, más tarde, se convertiría en su talón de Aquiles.

El experimento que se escapó del laboratorio

En pocas semanas, OpenClaw fue descrito como uno de los proyectos de código abierto de más rápido crecimiento de la historia reciente de GitHub, con una comunidad entusiasta que lo conectaba a todo lo que encontraba a su paso. El problema: buena parte de esas conexiones se hacían desde portátiles personales y equipos corporativos sin que los equipos de seguridad supieran siquiera que el agente estaba allí.

Esa mezcla –software experimental, permisos amplios y despliegues improvisados– es el caldo de cultivo perfecto para lo que vino después.

De asistente ideal a “pesadilla de seguridad”

La investigación sistemática sobre OpenClaw no la inició el propio proyecto, sino la comunidad de seguridad. Un informe de la plataforma Argus documentó más de 500 vulnerabilidades, incluyendo fallos críticos en autenticación y gestión de secretos, con credenciales OAuth almacenadas en ficheros JSON sin cifrar. A partir de ahí, la bola comenzó a crecer.

Equipos de empresas como Cisco y Sophos llegaron a una conclusión similar: la combinación de acceso privilegiado al dispositivo, marketplace de skills sin filtrar y exposición a contenido no confiable lo convierte en una “pesadilla de seguridad” para cualquier entorno empresarial.

Skills maliciosas: cuando la tienda de apps se convierte en campo minado

El corazón de la polémica está en el marketplace de skills. Investigadores encontraron cientos de paquetes maliciosos en cuestión de minutos de análisis, muchos de ellos creados por un mismo actor y diseñados para exfiltrar datos o instalar infostealers en los equipos donde corría OpenClaw.

Algunos de estos módulos, presentados como automatizaciones inocentes, realizaban exfiltración de datos y ataques de prompt injection sin conocimiento del usuario: leían archivos sensibles, robaban tokens y los enviaban a servidores externos. Cisco acabó publicando un escáner de skills de código abierto, una suerte de antivirus específico para este nuevo ecosistema.

Instancias expuestas: la puerta abierta a todo Internet

A la contaminación del marketplace se sumó otro problema: la forma en que muchos usuarios desplegaron OpenClaw. Escaneos de internet identificaron decenas de miles de instancias expuestas, con decenas de miles vulnerables a ejecución remota de código por un detalle de diseño revelador: el sistema confiaba en cualquier tráfico que aparentara venir de “localhost”.

Como la mayoría de despliegues se ponían detrás de proxies como nginx o Caddy, las peticiones externas se disfrazaban de tráfico local para el propio agente. Resultado: desde fuera, un atacante podía hablar con OpenClaw como si estuviera sentado delante del ordenador de la víctima, con acceso a sus mismos permisos y herramientas.

Cuando el asistente se vuelve insider

Algunos analistas llegaron a describir OpenClaw como “el mayor incidente de seguridad de la historia de la IA soberana” y “el insider más peligroso de 2026”, porque el agente se sienta justo en el punto ciego de los controles clásicos: tiene confianza, acceso y, al mismo tiempo, capacidad de actuar sin supervisión directa.

Firmas especializadas subrayaron que el problema no era solo de bugs, sino de arquitectura: un sistema que combina acceso a datos personales, claves de servicios en la nube y capacidad de hablar con el exterior, todo orquestado por un modelo de IA vulnerable a manipulación por prompt injection. Es una invitación a que un correo malicioso, una página web o una skill “inocente” se conviertan en el inicio de una brecha grave.

Del laboratorio al veto corporativo

Lo que empezó como debate entre investigadores terminó llegando a los consejos de administración. Meta y otras grandes tecnológicas han prohibido explícitamente el uso de OpenClaw en sus redes y dispositivos de trabajo, alegando que el riesgo de fuga de datos sensibles y de comprometer infraestructuras críticas es demasiado alto.

Analistas de riesgo lo han calificado como riesgo inaceptable para la mayoría de las empresas, y varios gobiernos han publicado advertencias específicas sobre su uso en organismos públicos. La etiqueta es clara: herramienta fascinante para experimentar, pero tóxica como estándar corporativo.

La investigación que importa: qué nos dice OpenClaw sobre el futuro de la IA

Más allá del caso concreto, la investigación alrededor de OpenClaw deja una idea incómoda: la IA ya no es solo un modelo que responde; es software que actúa en nuestro nombre, a una velocidad y a una escala que no podemos supervisar en tiempo real. Cuando ese software está mal diseñado o mal desplegado, no hablamos de un bug más, sino de un nuevo tipo de riesgo sistémico.

El mensaje para empresas y usuarios es sencillo, aunque poco cómodo: no basta con preguntarse qué puede hacer un agente de IA; hay que preguntarse qué puede romper cuando algo sale mal. OpenClaw ha sido el primer aviso serio. No será el último.

Ayúdanos a llegar más lejos:
comparte esta historia.

Ver más publicaciones

Únete al newsletter y recibe contenido exclusivo y noticias directo en tu correo

Ayúdanos a llegar más lejos:
comparte esta historia.