ForjaLabs Logo
Contactar
AI Agents 14 min de lectura

OpenClaw: El AI Agent que Pasó de 0 a OpenAI en 4 Semanas (y Por Qué Podría Robarte Todo)

Noviembre 2025: un austriaco anónimo lanza un side project. Enero 2026: 0 a 100,000 GitHub stars en 7 días. Febrero 14: OpenAI lo contrata. Febrero 22: 1,184 malicious plugins, vulnerabilidad CVSS 8.8, y 40,000 instancias expuestas. La historia viral con final de pesadilla que Silicon Valley está ignorando.

Miguel Fernández
Miguel Fernández Desarrollador Web & Especialista en Comunicación Digital @ FORJALABS
OpenClaw AI Agent Security

La Timeline Más Loca de la Historia de Open Source

Noviembre 2025: Peter Steinberger, developer austriaco desconocido, lanza "Clawdbot" como side project open-source.

27 Enero 2026: Anthropic manda cease & desist por trademark. Steinberger renombra el proyecto a "Moltbot".

30 Enero 2026: Más problemas de trademark. Renombrado nuevamente a "OpenClaw".

Fines Enero 2026: Viral explosion. De 0 a 100,000 GitHub stars en 7 días. 2 millones de visitantes en una semana. Uno de los repos de open source con crecimiento más rápido de la historia.

14 Febrero 2026: Sam Altman anuncia en X: "Peter Steinberger is joining OpenAI to drive the next generation of personal agents. He is a genius."

Febrero 2026 (ongoing): Security researchers descubren crisis masiva de seguridad. 1,184+ malicious plugins, múltiples CVEs críticos, 40,000 instancias vulnerables expuestas públicamente.

Ahora OpenClaw tiene 175,000+ GitHub stars, está siendo integrado en productos enterprise, y Sam Altman lo está vendiendo como "el futuro de personal agents".

Pero los security researchers están gritando: "This is an infostealer malware disguised as an AI personal assistant".

¿Quién tiene razón?

Qué Es OpenClaw (Para los que Recién se Enteran)

OpenClaw es un framework de AI agent autónomo que corre localmente en tu máquina y se integra con LLMs externos (Claude, GPT-4, DeepSeek) para ejecutar tareas automáticamente.

La Premisa

En vez de chatear con ChatGPT y copypastear respuestas manualmente, OpenClaw:

  1. Lee tus mensajes (WhatsApp, Telegram, Discord, Slack, Teams)
  2. Analiza qué necesitás
  3. Ejecuta comandos en tu computadora
  4. Accede a tus archivos, emails, calendarios
  5. Interactúa con APIs y websites
  6. Te responde cuando terminó

Ejemplo real:

  • Vos: "Resumí los emails de hoy y agendá meeting con los que requieren follow-up"
  • OpenClaw: Lee inbox → identifica emails importantes → genera resumen → crea calendar events → te manda resumen por WhatsApp

Todo automáticamente. Sin que vos hagas nada.

Por Qué Es Diferente de ChatGPT/Claude

ChatGPT OpenClaw
Interfaz Web/app dedicada Tus apps de messaging existentes
Ejecución Genera texto, vos ejecutás Ejecuta comandos directamente
Acceso a datos Solo lo que le pegás Todo en tu máquina + servicios conectados
Autonomía Requiere input humano constante Puede correr tasks sin intervención
Hosting Cloud (OpenAI servers) Tu máquina (local o VPS)

Setup en 4 Minutos (Y Por Qué Es Peligroso Que Sea Tan Fácil)

Un Medium post viral: "I Deployed My Own OpenClaw AI Agent in 4 Minutes — It Now Runs My Life From a $5 Server".

El workflow:

  1. Comprás un VPS de $5/mes (DigitalOcean, Hetzner, etc.)
  2. Instalás OpenClaw: npm install -g openclaw
  3. Configurás tu LLM API key (OpenAI, Anthropic, etc.)
  4. Conectás WhatsApp/Telegram via webhook
  5. Instalás "skills" (plugins) desde ClawHub marketplace

Total: 4 minutos. Costo mensual: $5 VPS + $10-30 API usage.

El Problema

Esa facilidad es exactamente por qué hay 40,000+ instancias expuestas públicamente en este momento. Gente que deployeó sin entender:

  • Qué permisos le están dando
  • Qué vulnerabilidades tiene
  • Qué skills instalaron
  • Si su instancia está expuesta

⚠️ Security Researcher Quote

"When you install a malicious browser extension, you're compromising one system. When you install a malicious agent skill, you're potentially compromising every system that agent has credentials for."

— Koi Security, February 2026

La Crisis de Seguridad: Los Números Reales

Mientras todo el mundo celebraba el growth de OpenClaw, security researchers estaban descubriendo una crisis:

CVE-2026-25253: One-Click RCE (CVSS 8.8)

Severidad: CRÍTICA
Vulnerabilidad que permite remote code execution con un solo click cuando OpenClaw procesa contenido controlado por atacante.

Impacto:

  • Ejecución de código remoto sin autenticación
  • Acceso a datos almacenados localmente
  • Robo de credenciales

Status: Parcheado en versión 2026.1.29... pero cuántas instancias no actualizaron?

Otras Vulnerabilidades Críticas (Febrero 2026)

  • CVE-2026-26322: SSRF en Gateway tool (CVSS 7.6)
  • CVE-2026-26319: Missing webhook authentication (CVSS 7.5)
  • CVE-2026-26329: Path traversal en browser upload
  • CVE-2026-27008: Skill download directory validation
  • CVE-2026-27004: Session tool visibility issues
  • CVE-2026-27001: Workspace path prompt injection

ClawHavoc: El Ataque al Marketplace

En enero 2026, Koi Security descubrió ClawHavoc: campaign masivo de supply chain attack contra ClawHub (el marketplace oficial de OpenClaw skills).

Números:

  • 1,184+ malicious skills subidos al marketplace
  • 20% del registry total está weaponizado
  • Koi Security encontró 341 malicious skills en su primer scan
  • SlowMist tracked 400+ threat indicators

Cómo Funcionaba el Attack

  1. Atacantes subían skills "professional-looking" con documentación legítima
  2. Skill decía: "Install this helper agent to proceed"
  3. Helper agent instalaba Atomic Stealer (infostealer malware)
  4. Atomic Stealer robaba:
    • OpenClaw API keys
    • Credentials de servicios conectados
    • Browser cookies y saved passwords
    • Archivos locales

Los commands maliciosos estaban ofuscados usando encoded text para evitar detección. Una vez decoded y ejecutados, bajaban payloads desde servers externos.

40,000 Instancias Expuestas

Security scan de febrero 2026:

  • 40,000+ instancias OpenClaw expuestas a internet público
  • 35.4% flagged como vulnerables (versiones sin parchear)
  • 12% del ClawHub registry weaponizado con keyloggers y credential stealers

🔥 Aikido Security: "Why Trying to Secure OpenClaw is Ridiculous"

Aikido publicó un post brutal explicando por qué OpenClaw es estructuralmente inseguro:

  • Requiere permisos excesivamente amplios para funcionar
  • Modelo de trust basado en "el LLM sabe qué hacer"
  • Prompt injection attacks son inevitables
  • Skills de terceros ejecutan código arbitrary sin sandbox
  • No hay separation of concerns entre agent y host system

Conclusión: "You can't secure something that's designed to have unrestricted access to everything."

La Respuesta: VirusTotal, SecureClaw, y Microsoft

Para ser justos, OpenClaw y la comunidad están respondiendo:

1. VirusTotal Integration

OpenClaw anunció partnership con VirusTotal (Google). Ahora:

  • Todos los skills en ClawHub son scaneados automáticamente
  • Usa VirusTotal Code Insight (AI-powered threat detection)
  • Skills maliciosos son flagged antes de download

Pero: Solo escanea skills NUEVOS. Los 1,184 malicious skills que ya estaban? Muchos siguen ahí.

2. SecureClaw: Open Source Security Plugin

Comunidad lanzó SecureClaw (18 febrero 2026):

  • Skill/plugin de seguridad para OpenClaw
  • Sandboxing de skills de terceros
  • Permission management granular
  • Audit logging de todas las acciones del agent

3. Microsoft Security Guide

Microsoft publicó (19 febrero): "Running OpenClaw Safely: Identity, Isolation, and Runtime Risk".

Key recommendations:

  • Correr OpenClaw en VM separada, no en tu máquina principal
  • Usar service accounts con least-privilege access
  • Implementar runtime monitoring
  • Network isolation via firewall rules
  • Regular security audits de installed skills

Por Qué OpenAI Contrató a Steinberger (Y Qué Significa)

14 de febrero 2026. Sam Altman en X:

"Peter Steinberger is joining OpenAI to drive the next generation of personal agents. He is a genius with a lot of amazing ideas about the future of very smart agents interacting with each other to do very useful things for people. We expect this will quickly become core to our..."

El Contexto

OpenAI está perdiendo la carrera de AI agents. Mientras ellos se enfocaron en LLMs (GPT-4, GPT-5), otros se movieron más rápido:

  • Anthropic: Claude with Computer Use (oct 2025)
  • Google: Project Astra (diciembre 2025)
  • OpenClaw: De 0 a 175k stars en 4 semanas

Sam Altman vio a Steinberger crear el agent framework de código abierto más viral de la historia y dijo: "I want that brain working for us".

Qué Dijo Steinberger

En su blog personal (14 feb 2026):

"I want to change the world, not build a large company. Teaming up with OpenAI is the fastest way to bring this to everyone. OpenAI has made commitments to enable me to dedicate time to OpenClaw and already sponsors the project. I am working on making it a foundation."

También mencionó (controversialmente): "In Europe, I get insulted" por su approach de "move fast and break things".

Qué Significa para OpenClaw

  • OpenClaw se moverá a una open-source foundation
  • OpenAI está sponsoreando el proyecto
  • Steinberger trabajará en OpenClaw part-time mientras está en OpenAI
  • Probable: OpenAI integrará OpenClaw tech en futuros productos

Casos de Uso Reales (Cuando No Te Hackean)

OK, asumiendo que deployás OpenClaw de manera segura, ¿qué podés hacer?

1. Developer Workflows

Setup: OpenClaw + GitHub integration + Slack

Workflow:

  • Developer: "Review PR #234 y decime si hay issues"
  • OpenClaw: Lee PR → analiza código → chequea tests → genera summary con issues detectados
  • Developer: "Aprobá y mergeá si tests pasan"
  • OpenClaw: Espera a que CI termine → mergea si green → notifica en Slack

2. Social Media Management

Setup: OpenClaw + Buffer + Twitter API + content calendar (Google Sheets)

Workflow:

  • Content manager: "Schedulear posts de la spreadsheet para esta semana"
  • OpenClaw: Lee sheet → genera variations con AI → crea images con Midjourney → schedulea en Buffer → confirma

3. Email Triage & Calendar Management

Setup: OpenClaw + Gmail + Google Calendar

Workflow:

  • Manager: "Resumí emails de hoy y creá meetings para follow-ups urgentes"
  • OpenClaw: Lee inbox → identifica urgentes → drafta respuestas → crea calendar events → manda summary

4. Research & Data Collection

Setup: OpenClaw + web scraping skills + Notion

Workflow:

  • Analyst: "Encontrá competidores de [producto X] y armá comparison table"
  • OpenClaw: Googlea → scrape websites → extrae features/pricing → crea Notion database → notifica cuando termina

Cómo Deployar OpenClaw Sin Morir en el Intento

Si después de todo esto todavía querés usar OpenClaw, acá está el checklist de seguridad:

Antes de Deployar

  1. VM separada: NUNCA en tu máquina principal
  2. Service accounts: No uses tu cuenta personal de Gmail/Calendar
  3. API keys dedicados: No reutilices keys de producción
  4. Network isolation: Firewall rules restrictivos

Durante Setup

  1. Version específica: Pinná versión exacta, no @latest
  2. Verify checksums: Antes de ejecutar nada
  3. Review permissions: Qué accesos estás dando
  4. Whitelist skills: Solo instalá skills auditados

Después de Deployar

  1. Monitoring: Logs de todas las acciones
  2. Alerts: Notificaciones de acciones sensibles (file access, API calls)
  3. Regular audits: Revisá installed skills semanalmente
  4. Update cadence: Parches de seguridad ASAP

Skills: La Regla de Oro

NO instales skills si:

  • Tiene menos de 100 downloads
  • Fue publicado hace menos de 2 semanas
  • No tiene source code público en GitHub
  • Tiene 0 reviews o solo reviews genéricas
  • Pide permisos que no necesita

SÍ instalá skills si:

  • Está en la "verified" list de OpenClaw
  • Tiene 1,000+ downloads y buenos reviews
  • Source code auditado públicamente
  • Mantenido por developers conocidos
  • Scanned por VirusTotal sin flags

El Futuro: Qué Viene

Q2 2026: OpenClaw Foundation

Steinberger está trabajando en mover OpenClaw a una foundation open-source (estilo Linux Foundation). Esto significa:

  • Governance structure formal
  • Security audit process
  • Funding para full-time maintainers
  • Standards para skill development

Q3 2026: OpenAI Integration

Mi predicción: OpenAI va a anunciar "GPT Agents" powered by OpenClaw tech. Será OpenClaw pero:

  • Hosted (no self-hosted)
  • Curated skill marketplace (no ClawHub abierto)
  • Enterprise security features
  • Pricing: $50-200/mes por agent

Q4 2026: Agent Orchestration

El siguiente paso: múltiples agents coordinándose.

Ejemplo: Sales agent detecta lead → pasa info a research agent → research agent compila data → pasa a outreach agent → outreach agent drafta email → pasa a approval agent → si OK, envía.

Todo automático, con humans solo aprobando decisiones críticas.

Conclusión: Hype Justificado, Precauciones Necesarias

OpenClaw es legítimamente revolucionario. El crecimiento de 0 a 175k stars en 4 semanas no es casualidad. La contratación por OpenAI no es hype vacío.

Lo que OpenClaw demuestra:

  • La gente quiere AI agents, no solo chatbots
  • Open source puede competir (y ganar) contra big tech
  • Autonomous execution > generación de texto
  • Local-first architecture tiene futuro

Pero los riesgos son reales:

  • 1,184+ malicious plugins siguen en circulación
  • 40,000 instancias vulnerables expuestas
  • CVEs críticos que muchos no parchean
  • Structural security issues sin solución fácil

💡 Mi Take Personal

OpenClaw es el equivalente de Bitcoin en 2011: tecnológicamente brillante, culturalmente importante, operacionalmente peligroso si no sabés qué estás haciendo.

¿Debería existir? Absolutamente.
¿Deberías deployarlo en producción sin expertise en security? Absolutamente no.
¿Es el futuro del trabajo con IA? Probablemente.

Pero como todo lo disruptivo, los early adopters van a sufrir. Los que entren después (cuando haya mejor tooling, standards, y security) van a beneficiarse sin el pain.

Para Quien Es (Y Para Quien No)

Deployá OpenClaw si:

  • Sos developer con expertise en security
  • Tenés infrastructure para correrlo aislado
  • Entendés los riesgos y sabés mitigarlos
  • Necesitás automation que herramientas comerciales no ofrecen
  • Estás dispuesto a auditar skills y mantener el sistema

NO lo deploys si:

  • Sos "business user" sin background técnico
  • Querés "set and forget" automation
  • No podés dedicar tiempo a security maintenance
  • Vas a correrlo en tu laptop personal
  • Pensás instalar skills random de ClawHub

Para la mayoría de la gente: esperá. Dejá que OpenAI lance su versión hosted, auditada, con security garantizada. Va a costar más, pero no vas a perder tu Gmail, calendar, y secrets en un supply chain attack.

Para developers y tech companies: experimentá ahora, pero en sandbox. OpenClaw es el futuro, pero el futuro todavía tiene bugs críticos.

Artículos Relacionados

Desafíos Adaptación IA
Futuro del Trabajo

El Costo Real de Adaptarse a IA: Por Qué 95% de las Empresas Están Fallando

 CM Stack
Community Management

Cómo un CM Solo Gestiona 50 Cuentas con Este Stack de IA

¿Querés implementar AI agents de manera segura?

En FORJALABS te ayudamos a evaluar, deployar y securizar soluciones de automation con IA.

Consultá con nosotros