Tu recepcionista IA en vivo en 3 minutos. Gana 11k créditos gratis →

Skills maliciosas de OpenClaw: Casos de ClawHub que realmente puedes verificar

Escrito porIvy Chen
Última actualización: June 24, 2026Verificado por expertos

La economía de skills de OpenClaw es un regalo y una desventaja. Los equipos de seguridad ahora etiquetan la última ola de incidentes bajo la palabra clave openclaw-malicious-skills para que cada informe se alinee con el mismo slug. Cada automatización reside dentro de un SKILL.md, y el marketplace de ClawHub hace que esas skills se instalen con un solo clic. Durante el último trimestre, varios equipos de seguridad independientes publicaron pruebas contundentes de cargas maliciosas que abusaron de esa confianza. En lugar de repetir listas de riesgos genéricas, este informe analiza tres incidentes documentados, cómo se desarrollaron y qué funcionó realmente para contenerlos.

TL;DR

  1. ClawHavoc (feb. 2026): Antiy Labs documentó una campaña de envenenamiento a gran escala en ClawHub donde skills falsas de "mantenimiento" abusaban del bloque de Prerrequisitos para descargar cargadores bash remotos. ClawHub ahora limita la velocidad de los nuevos publicadores y pasa cada carga a través de VirusTotal antes de listarla.
  2. Auditoría de ToxicSkills (feb. 2026): El rastreo de miles de skills por parte de Snyk marcó un porcentaje significativo como ladrones de credenciales o droppers de infostealers. OpenClaw respondió añadiendo un linting de texto plano obligatorio, etiquetas de procedencia y cuarentena automática para informes repetidos.
  3. Compromiso de npm de Cline (feb. 2026): StepSecurity y Endor Labs rastrearon una versión maliciosa de cline@2.3.0 que instalaba silenciosamente OpenClaw y precargaba skills específicas de "productividad" de ClawHub sembradas con cargas útiles ofuscadas. Esto obligó a Cline a rotar los tokens e impulsó a OpenClaw a distribuir manifiestos de lanzamiento firmados.

Por qué ClawHub sigue atrayendo a los adversarios

Las skills de OpenClaw son solo archivos de texto, pero el agente interpreta cada bloque de código delimitado como instrucciones que podría ejecutar. Los investigadores de seguridad han llamado a esto una "pesadilla de seguridad" porque una skill maliciosa equivale a un acceso arbitrario al shell si el operador la aprueba sin más. Las skills también heredan las credenciales de ambiente del agente (tokens de Discord, PATs de GitHub, claves de Stripe), lo que convierte a ClawHub en un objetivo natural para los actores de la cadena de suministro que buscan secretos de API. Ese contexto explica por qué los siguientes incidentes escalaron tan rápidamente.

Caso 1: Los scripts de mantenimiento falsos de ClawHavoc

El informe forense de Antiy Labs muestra que las cuentas de ClawHavoc subieron cientos de skills casi idénticas de "mantenimiento de gateway". Cada SKILL.md incrustaba un paso que instruía a los agentes a ejecutar un script de bash con el pretexto de instalar dependencias. La carga útil obtenía un binario que enumeraba ~/.openclaw, comprimía las credenciales y las publicaba en un dropbox remoto.

Pistas de detección

Los defensores notaron por primera vez un aumento en la etiqueta "maintenance" de ClawHub, además de búsquedas DNS salientes a dominios sospechosos. Si ejecutas espejos de ClawHub autohospedados, añade detecciones para bloques de Prerrequisitos idénticos, blobs base64 de más de 1 KB y cualquier SKILL que haga referencia a curl | bash sin fijar una suma de verificación.

Remediación

Los moderadores de ClawHub revocaron las cuentas de publicador, purgaron las skills y aplicaron retroactivamente el escaneo de VirusTotal en toda la cola restante. OpenClaw lanzó openclaw skills publish --scan para que las cargas pasen por la misma verificación multimotor, y los gateways se actualizaron para advertir a los operadores cuando una SKILL solicita acceso al shell fuera del espacio de trabajo.

Caso 2: La recolección masiva de credenciales de ToxicSkills

La investigación "ToxicSkills" de Snyk rastreó el registro público y marcó las entradas cuyos bloques de código exfiltraban .env, aws/credentials o los almacenes de contraseñas del navegador. Los clústeres maliciosos reutilizaban plantillas para utilidades de Git, resumidores de PDF y "copias de seguridad seguras". Los tres codificaban silenciosamente los secretos en base64 y los publicaban en APIs externas.

Por qué funcionó

El código malicioso nunca tocó los binarios; vivía dentro de markdown, por lo que los filtros tradicionales de tipo de archivo lo dejaban pasar. Muchos operadores confían en la aprobación de ejecución automática, por lo que el agente ejecutaba comandos como cat ~/.config/... sin intervención humana.

Mitigación que perduró

Después del informe, ClawHub exigió verificaciones de antigüedad de la cuenta y correos electrónicos verificados antes de publicar nuevas skills. Se añadieron metadatos de procedencia a metadata.openclaw para que las instalaciones puedan ser rastreadas. OpenClaw también añadió openclaw skills lint --exfil, que busca comandos de alerta (p. ej., cat, tar, scp, curl) que tocan rutas sensibles, forzando una anulación humana antes de la instalación.

Caso 3: El compromiso de npm de Cline que sembró implantes de ClawHub

Endorlabs vinculó una inyección de prompt contra el bot de triaje de Cline a una versión maliciosa de npm (cline@2.3.0). El hook postinstall del paquete comprometido instalaba silenciosamente OpenClaw de forma global y precargaba skills específicas de ClawHub como focus-assistant-pro y drive-sync-suite. Esas skills, a su vez, llamaban a CDNs externas, soltaban un infostealer y exfiltraban tokens.

Radio de impacto

Aunque el gateway nunca se emparejó automáticamente con los canales, el daemon seguía teniendo acceso al sistema de archivos y a la red. Los ejecutores de CI que almacenaban en caché los módulos de npm empaquetaron sin saberlo el implante en imágenes doradas. Este incidente demostró cómo un ataque tradicional a la cadena de suministro podría utilizarse para sembrar skills maliciosas de agentes de IA.

Lecciones aprendidas

Cline rotó los tokens de npm, añadió la firma de Sigstore y ahora requiere dos mantenedores para el lanzamiento. OpenClaw introdujo comprobaciones de manifiestos firmados para que las futuras instalaciones silenciosas deban coincidir con una suma de comprobación publicada. ClawHub añadió etiquetas de "editor anclado" para que los operadores puedan limitar las instalaciones a skills verificadas por la organización.

Guía para operadores para prevenir la próxima oleada

  1. Sincronización de inteligencia de amenazas: Suscríbete al feed de moderación de ClawHub y al radar SLSA de StepSecurity. Trátalos como si fueran feeds de CVE para las skills.
  2. Listas de permitidos inmutables: Replica solo los ID de las skills que ya has auditado. El modo npx clawhub sync --allowlist de ClawHub existe por esta razón.
  3. Linting automatizado + Revisión humana: Ejecuta openclaw skills lint --exfil y bloquea las aprobaciones automáticas para las skills que leen secretos, tocan /usr/bin o generan shells.
  4. Monitores de tiempo de ejecución: Implementa reglas de Falco u OSQuery que alerten cada vez que el proceso de OpenClaw genere curl, tar o scp; eso es lo que todas las skills maliciosas en estos casos tenían en común.
  5. Delimitación de credenciales: Rota los PAT y las claves de API para que el agente solo tenga ámbitos por repositorio. El equipo de ClawHavoc monetizó específicamente los PAT de GitHub con ámbitos de repositorio y flujo de trabajo porque podían enviar PR maliciosos a otros lugares.

Conclusión

La cobertura más reciente de los medios de comunicación apunta en una dirección: los mercados de skills son ahora un objetivo principal de la cadena de suministro para los agentes de IA. Los informes de ClawHavoc de Antiy Labs, la auditoría ToxicSkills de Snyk y el análisis del incidente cline@2.3.0 de StepSecurity muestran el mismo patrón: las skills maliciosas ganan cuando la revisión es superficial y falta la monitorización en tiempo de ejecución. Para los operadores de OpenClaw, la conclusión práctica es simple: confía en la evidencia de los casos publicados, aplica puertas de procedencia y linting antes de la instalación, y monitoriza la ejecución en vivo como si fuera una infraestructura de producción.

Preguntas frecuentes

¿Qué son las skills maliciosas de OpenClaw?

Las skills maliciosas de OpenClaw son capacidades de agentes de IA, a menudo distribuidas a través de ClawHub, que contienen código oculto o disfrazado diseñado para realizar acciones no autorizadas como la exfiltración de datos, el robo de credenciales o la puesta en peligro del sistema. Explotan los permisos y los mecanismos de confianza del agente.

¿Cómo puedo identificar una skill maliciosa de OpenClaw?

Busca comportamientos sospechosos como solicitudes de permisos excesivos, actividad de red inusual o intentos de acceder a archivos sensibles. Verifica siempre el editor, comprueba los metadatos de procedencia y utiliza herramientas de linting de seguridad como openclaw skills lint --exfil antes de la instalación. Desconfía de las skills que prometen una funcionalidad que parece demasiado buena para ser verdad o que requieren un acceso inesperado al shell.

¿Qué es ClawHub y por qué es un objetivo?

ClawHub es el mercado oficial de skills para OpenClaw, que permite a los usuarios instalar fácilmente nuevas capacidades de agentes de IA. Es un objetivo porque las skills heredan todos los permisos del agente de IA, incluido el acceso a los recursos del sistema y a las credenciales sensibles. Esto lo convierte en un vector atractivo para los ataques a la cadena de suministro, como demuestran incidentes como ClawHavoc y ToxicSkills.

¿Qué medidas ha tomado OpenClaw para mejorar la seguridad?

Tras los incidentes, OpenClaw y ClawHub han implementado requisitos de publicación más estrictos (por ejemplo, antigüedad de la cuenta, correos electrónicos verificados), han introducido etiquetas de procedencia para la trazabilidad y han añadido mecanismos de cuarentena automática para las skills denunciadas. OpenClaw también distribuye ahora manifiestos de lanzamiento firmados y proporciona herramientas como openclaw skills publish --scan y openclaw skills lint --exfil para mejorar la investigación de seguridad.

Tu recepcionista IA, en vivo en minutos.

Escala tu recepción con una IA que nunca duerme. Solvea atiende consultas ilimitadas en múltiples canales, agenda citas automáticamente en tu calendario y evita oportunidades perdidas las 24 horas.

Descargar app iOSProbar en PC

¿Puede la inyección de prompts llevar a la ejecución de skills maliciosas?

Sí, como se vio en el compromiso de npm de Cline, la inyección de prompts puede ser un vector. Los atacantes pueden manipular a los agentes de IA a través de prompts diseñados para ejecutar comandos no deseados o cargar skills maliciosas. Esto pone de manifiesto la necesidad de una validación de entradas robusta y una revisión cuidadosa de cualquier skill que interactúe con los prompts del usuario o con datos externos.

Recepcionista IA

La forma más sencilla de no perder ningún cliente: teléfono, email, SMS o chat

TeléfonoEmailSMSChat en vivo

Solvea responde cada conversación en todos los canales. Se configura en minutos, sin código y con plantillas incluidas.

  • Funciona 24/7 sin descansos ni horas extra
  • Configuración sin código con plantillas listas para usar
  • Se conecta con las herramientas que ya usas
  • Omnicanal: un agente para cada punto de contacto
Descargar app iOSProbar en PC

No se requiere tarjeta

Artículos relacionados

Ver todos los artículos
AI News

¿El servicio en segundo plano de OpenClaw no se detiene? Aquí está la solución real

Ivy Chen
AI News

Uso de Claude como Computadora de Código: Qué es y cómo funciona

Ivy Chen
AI News

OpenClaw para la gestión de redes sociales: casos de uso, beneficios y dónde encaja X

Ivy Chen
AI News

OpenClaw vs Claude Code: ¿Cuál se adapta mejor a tu flujo de trabajo?

Ivy Chen
AI Receptionist 101

¿Qué es un recepcionista de IA? Una guía en lenguaje sencillo

Ivy Chen
AI News

Gestión de la memoria en OpenClaw: Mantén a los agentes listos tras sesiones maratonianas

Ivy Chen