Instalaste OpenClaw porque un compañero de trabajo no paraba de hablar de eso. Un agente de IA — un programa que ejecuta tareas en tu computadora sin que tengas que hacer clic en cada botón — administrando tus archivos, correos y calendario. Le diste acceso al shell (permiso para ejecutar comandos directamente en tu sistema operativo). Todo se sentía fluido. Automatizado. Tranquilo.

Nadie te mencionó que esa cosa ejecutando comandos en tu laptop tiene el mismo modelo de seguridad que una tienda de apps sin moderar de 2014. Cualquiera con una cuenta de GitHub de una semana podía subir un "skill" — un plugin que extiende lo que OpenClaw puede hacer — a ClawHub, el marketplace oficial. Sin revisión. Sin escaneo. Sin firmas. Pura buena vibra.

El 27 de marzo de 2026, OpenClawd publicó una actualización de seguridad con verificación de skills y sandboxing en tiempo de ejecución — contenedores aislados que impiden que los plugins toquen cualquier cosa fuera de su caja. Esto llegó ocho semanas después de que investigadores de Koi Security descubrieran que 341 de los 2,857 skills en ClawHub eran malware. Eso es 11.9%. Casi uno de cada ocho.

Aquí va la línea de tiempo. El 30 de enero, OpenClaw parchó CVE-2026-25253 — una vulnerabilidad (una falla de seguridad lo suficientemente grave como para recibir un número de rastreo oficial) con una puntuación de 8.8 sobre 10 en la escala de severidad. La falla permitía a los atacantes crear un solo enlace que, al hacer clic, robaba tu token de autenticación (la llave digital que prueba que eres tú) y les daba ejecución remota de código completa — la capacidad de ejecutar cualquier comando en tu máquina como si estuvieran sentados frente a tu teclado.

Tres días antes, el 27 de enero, el primer skill malicioso ya había aparecido en ClawHub. Para el 31 de enero, una cuenta llamada hightower6eu estaba subiendo masivamente en todas las categorías. La auditoría del 1 de febrero de Koi Security rastreó 335 de esos 341 skills hasta una campaña coordinada que llamaron ClawHavoc. La carga maliciosa: Atomic macOS Stealer (AMOS) — un programa compacto que cosecha las contraseñas de tu keychain, datos del navegador de más de 60 extensiones de wallets cripto, llaves SSH (las credenciales que tu máquina usa para conectarse a servidores) y archivos de tus carpetas de Escritorio y Documentos. Para el 16 de febrero, la cuenta había crecido a 824 skills maliciosos en más de 10,700 entradas del marketplace.

Mientras tanto, Bitsight escaneó internet y encontró más de 30,000 instancias de OpenClaw expuestas en el puerto 18789 — la puerta de red por la que OpenClaw escucha — entre el 27 de enero y el 8 de febrero. Como lo dijo Danny Wilson de OpenClawd: "Ahora hay dos formas de ser comprometido antes de siquiera ejecutar tu primer comando de OpenClaw."

Si esto te suena familiar, debería. npm — el gestor de paquetes de JavaScript — tuvo su incidente de event-stream en 2018: una librería confiable secuestrada para robar wallets de criptomonedas. PyPI — el índice de paquetes de Python — enfrentó oleadas de ataques de typosquatting en 2022, donde paquetes maliciosos imitaban a los populares con nombres ligeramente mal escritos. La fórmula nunca cambia: marketplace abierto más cero verificación más crecimiento explosivo es igual a autores de malware que se mueven más rápido que los mantenedores.

La solución de OpenClawd agrega tres capas: un pipeline de verificación (análisis automatizado que bloquea patrones sospechosos antes de la publicación), sandboxing en tiempo de ejecución (cada skill corre aislado con permisos explícitos) e instaladores firmados (prueba criptográfica de que el software no fue alterado). Ingeniería sólida. Un problema: solo cubre el hosting administrado de OpenClawd. La mayoría de los usuarios de OpenClaw corren instancias self-hosted. Ellos no reciben nada. El ecosistema más amplio de skills todavía no tiene un estándar de firma criptográfica.

Si corres cualquier agente de IA con acceso al shell — OpenClaw o cualquier otro — trátalo como un servidor en producción. Audita qué permisos tiene. Fija las versiones de tus plugins para que las actualizaciones no se cuelen. Nunca instales skills sin verificar. Asume que cada plugin de terceros es hostil hasta que se demuestre lo contrario. Esto no es paranoia. Es higiene operativa ⚙️

La era del agente de IA personal acaba de tener su primera crisis real de cadena de suministro. La limpieza va a tomar más tiempo que el ciclo de hype que la creó. Tu automatización debería hacer tu vida más tranquila — no entregarle tu keychain a un desconocido 🫶