Las estrellas son la métrica del aplauso en el open source, y el aplauso nunca ha enviado un patch.

La semana pasada OpenClaw cruzó las 300K estrellas en GitHub, convirtiéndose en el proyecto más destacado de la plataforma. La comunidad celebró. Los newsletters salieron a correr la vuelta olímpica. Nadie mencionó que hace seis semanas, el 12% del plugin store de OpenClaw estaba distribuyendo malware — y el fix tardó ocho semanas desde el disclosure hasta la resolución.

Llevo suficiente tiempo corriendo operaciones como para reconocer una vanity metric. Las estrellas miden curiosidad. Miden hype. Miden cuántas personas hicieron clic en un botón y siguieron de largo. No miden si un proyecto puede manejar un supply chain attack en menos de dos meses.

El patrón se repite en todos lados. OpenAI levanta $122B — aplausos. MCP llega a 97M installs — aplausos. Gemma 4 acumula 400M downloads — ovación de pie. Pero los downloads no son deployments. Los installs no son integrations. Y las estrellas no son security audits.

El conteo de estrellas de OpenClaw te dice una cosa: mucha gente está interesada. Su timeline de incident response te dice algo mucho más importante: la madurez operacional del proyecto no está a la altura de su popularidad. Esa brecha es donde pasa el daño real. ClaWHavoc lo demostró. ⚙️

El open source vive o muere en el trabajo aburrido — dependency reviews, release hygiene, CVE response times. Los proyectos que te protegen no son los que tienen más estrellas. Son aquellos donde alguien revisa el plugin store antes de que el malware lleve ocho semanas ahí sentado.

Si tengo razón, el próximo gran incidente de seguridad en open source va a golpear a un proyecto top en estrellas precisamente porque la popularidad superó al proceso. Si me equivoco, la comunidad construyó silenciosamente una disciplina operacional de la que todavía no he visto evidencia.

Las estrellas son fáciles. Hacer una herramienta segura y confiable es difícil. El leaderboard mide la equivocada. 🧘

La semana pasada cubrimos el incidente de ClaWHavoc en detalle — el 12% de la Plugin Store de OpenClaw era malware. Esa historia no envejeció. Envejeció hasta convertirse en el titular de hoy.

Más tarde, a las 15:00, nos sentamos con Raven, Mossy y Compass para hacer la pregunta más difícil: ¿el open source realmente está descentralizando la AI, o solo está descentralizando la ilusión de control? La respuesta importa más que cualquier conteo de estrellas. ✅