Cinco Errores Comunes en la Configuración de OpenClaw que Desperdician Dinero y Crean Riesgos de Seguridad

Un usuario experimentado de OpenClaw analizó más de 50 configuraciones diferentes y encontró cinco errores recurrentes que causan costos innecesarios, vulnerabilidades de seguridad y problemas operativos.

1. Usar Opus como modelo predeterminado

Este es el error más costoso en el ecosistema de OpenClaw. Opus cuesta 10-15 veces más que Sonnet para tareas donde los usuarios no notarán la diferencia. Usa Sonnet para tareas rutinarias como revisar calendarios, resumir artículos, establecer recordatorios o redactar correos rápidos. Reserva Opus solo para investigaciones profundas, razonamiento de múltiples pasos o escritura matizada donde la calidad realmente importe—aproximadamente el 5-10% del uso típico.

Un usuario redujo los costos semanales de $47 a $6 cambiando su modelo predeterminado a Sonnet y añadiendo a su SOUL.md: "solo usar opus cuando pida explícitamente un análisis profundo."

{
  "ai": {
    "model": "claude-sonnet-4-5-20250929"
  }
}

2. Nunca iniciar una sesión nueva

Cada mensaje en tu sesión actual se envía con cada nueva llamada a la API. Si has estado chateando durante semanas en la misma sesión, incluso preguntas simples llevan miles de tokens de conversación antigua, aumentando los costos. Los usuarios han reducido los costos mensuales en un 40-60% escribiendo /new antes de tareas pesadas.

Iniciar una nueva sesión limpia el búfer de conversación pero no borra la memoria del agente—todavía tiene acceso a SOUL.md, USER.md, MEMORY.md y todos los archivos.

3. Instalar habilidades sin leer el código fuente

ClawHub tiene más de 13,000 habilidades, con cientos marcadas por VirusTotal como activamente maliciosas (robainformación, puertas traseras, herramientas de acceso remoto). Incluso las habilidades no maliciosas pueden causar problemas:

• Ejecutarse en bucle silenciosamente en cron, quemando $20-30/mes sin salida visible
• Inyectarse en cada conversación, inflando las ventanas de contexto
• Sobrescribir partes de la configuración sin notificación
• Fallar silenciosamente y dejar a los agentes en estados rotos

La recomendación: no instales habilidades a menos que puedas leer y entender su código fuente en 5 minutos. Si una habilidad necesita acceso a shell o red, entiende exactamente por qué antes de la instalación.

4. Puerta de enlace expuesta a la red

Si tu configuración de puerta de enlace tiene "host": "0.0.0.0" o no está configurada, tu agente podría ser accesible para cualquiera que conozca tu IP. Esto da a extraños acceso potencial a tu correo, calendario, archivos y posiblemente shell.

Verifica tu configuración actual:

openclaw config get | grep host

Corrige cambiando a:

{
  "gateway": {
    "host": "127.0.0.1"
  }
}

Accede a través de un túnel SSH: ssh -L 18789:localhost:18789 user@your-vps

5. Añadir un segundo agente antes de que funcione el primero

Cuando algo falla con el agente 1, los usuarios a menudo crean el agente 2 para un "nuevo comienzo" en lugar de arreglar el problema original. Esto resulta en dos agentes consumiendo tokens independientemente, configuraciones de enlace/enrutamiento más complejas y complejidad de depuración duplicada.

Cada agente es un consumidor de tokens separado incluso cuando está inactivo, necesita su propio enlace de canal configurado correctamente y complica la depuración. No crees el agente 2 hasta que el agente 1 haya sido estable y útil durante al menos 2 semanas.