Se han revelado distintas fallas de seguridad de alta gravedad en
OpenClaw
(anteriormente Clawdbot y Moltbot) que podría permitir la ejecución remota de
código (RCE) a través de un enlace malicioso o exfiltrar datos de la Organización.
OpenClaw es un asistente personal autónomo de inteligencia artificial (IA) de
código abierto que se ejecuta localmente en los dispositivos del usuario y se
integra con una amplia gama de plataformas de mensajería. Aunque se lanzó
inicialmente en noviembre de 2025, el proyecto ha ganado popularidad
rápidamente en las últimas semanas, y su repositorio de GitHub supera las
150.000 estrellas al momento de escribir este artículo.
Vulnerabilidad de One-Click
El problema, identificado como
CVE-2026-25253
(CVSS: 8.8), se ha solucionado en la
versión 2026.1.29, publicada el 30 de enero de 2026. Se ha descrito como una vulnerabilidad de
exfiltración de tokens que compromete completamente la puerta de enlace.
«La interfaz de control confía en la URL de la puerta de enlace de la
cadena de consulta sin validación y se conecta automáticamente al cargar,
enviando el token de puerta de enlace almacenado en la carga útil de
conexión de WebSocket», declaró Peter Steinberger, creador y responsable de mantenimiento de
OpenClaw, en un
aviso.
Al hacer clic en un enlace creado o visitar un sitio web malicioso, el
token puede enviarse a un servidor controlado por un atacante. Este
puede entonces conectarse a la puerta de enlace local de la víctima, modificar
la configuración (sandbox, políticas de la herramienta) e invocar
acciones privilegiadas, logrando RCE con un solo clic.
OpenClaw es una plataforma de agente abierto que se ejecuta en el equipo y
funciona desde las aplicaciones de chat,
afirmó Steinberger.
«A diferencia de los asistentes SaaS, donde tus datos residen en servidores
ajenos, OpenClaw se ejecuta donde tú elijas: portátil, laboratorio doméstico
o VPS. Tu infraestructura. Tus claves. Tus datos».
Mav Levin, investigador de seguridad fundador de DepthFirst, a quien se le
atribuye el descubrimiento de la vulnerabilidad,
afirmó
que esta puede explotarse para crear una cadena de exploits RCE de un solo
clic que tarda solo milisegundos después de que la víctima visite una página
web maliciosa.
Varias vulnerabilidades de Inyección
Además,
el equipo de
ZeroLeaks probó la aplicación
y obtuvo una puntuación de 2/100 y el 91% de los ataques de inyección
tuvieron éxito [PDF].
Esto significa que si se utiliza Clawdbot, cualquiera que interactúe con el
agente puede acceder y manipular todo el prompt del sistema, las
configuraciones internas de las herramientas, los archivos de memoria… todo
lo que se introduzcas en SOUL.md y AGENTS.md, las habilidades,
todo es accesible y corre el riesgo de inyección.
Skills maliciosas de ClawHub
Según nuevos hallazgos de Koi Security, una auditoría de seguridad de 2.857 skills en
ClawHub
ha detectado 341 skills maliciosas en múltiples campañas, lo que expone
a los usuarios a nuevos riesgos en la cadena de suministro.
ClawHub es una plataforma diseñada para facilitar a los usuarios de OpenClaw
la búsqueda e instalación de habilidades de terceros. Es una extensión
del proyecto OpenClaw.
Los skills utilizan prerrequisitos falsos para instalar un malware de macOS
llamado
Atomic Stealer (AMOS). Este conjunto se conoce como ClawHavoc.
Según Koi, las habilidades maliciosas se hacen pasar por:
- Errores tipográficos de ClawHub (clawhub, clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub);
-
Herramientas de criptomonedas como monederos y rastreadores de monederos
Solana; - Bots de Polymarket (polymarket-trader, polymarket-pro, polytrading);
-
Utilidades de YouTube (youtube-summarize, youtube-thumbnail-grabber,
youtube-video-downloader); - Actualizadores automáticos (auto-updater-agent, update, updater);
-
Herramientas financieras y de redes sociales (yahoo-finance-pro,
x-trends-tracker); -
Herramientas de Google Workspace que afirman estar integradas con Gmail,
Calendario, Hojas de Cálculo y Drive; - Rastreadores de gas de Ethereum;
- Buscadores de Bitcoin perdidos
Para los agentes que gestionan flujos de trabajo sensibles o datos
privados, todos estos errores, vulnerabilidades y ataques supone un
verdadero problema.