Auditoría de seguridad revela vulnerabilidades en el ecosistema de habilidades de OpenClaw.

Descubiertas vulnerabilidades de seguridad en OpenClaw
Una auditoría de seguridad detallada del código base y la biblioteca de habilidades de OpenClaw reveló múltiples problemas de seguridad que los desarrolladores deben tener en cuenta al ejecutar el sistema en entornos de producción.
CVEs documentados y explotación
La auditoría identificó 8 Vulnerabilidades y Exposiciones Comunes (CVEs) documentadas, incluyendo:
- Ejecución de código arbitrario a través de habilidades no verificadas
- Robo de credenciales mediante inyección de habilidades
- Extracción de instrucciones desde entradas no confiables
Algunas de estas vulnerabilidades fueron explotadas activamente según el repositorio de divulgación de vulnerabilidades.
Problemas de seguridad en la biblioteca de habilidades
El repositorio compartido de habilidades contiene más de 900 habilidades. El análisis estático reveló:
- Aproximadamente el 15% mostraba comportamientos de red sospechosos (conectándose a dominios desconocidos)
- Ataques de confusión de dependencias en habilidades populares
- Habilidades que exfiltran silenciosamente variables de entorno
Aunque este patrón no es exclusivo de OpenClaw—es común en cualquier sistema de plugins/habilidades que ejecuta código no verificado—el auditor señaló que era sorprendente dada la posición de "autoalojado seguro".
Enfoque de implementación alternativo
El auditor migró a un entorno de ejecución mínimo basado en Rust que se ejecuta localmente en Ollama usando qwen2.5:14b. Este enfoque elimina el ecosistema de plugins y las habilidades compartidas, centrándose solo en las primitivas necesarias para su caso de uso.
La nueva arquitectura utiliza un ejecutor de tareas que delega en Claude Code para tareas pesadas mientras lo mantiene aislado del bucle principal. Este aislamiento evita que el agente compañero permanente quede expuesto a superficies de ataque fuera del control del desarrollador.
La migración tomó aproximadamente 48 horas para implementar la funcionalidad básica, siendo el principal desafío el replanteamiento arquitectónico para los paradigmas de "compañero permanente" versus "herramienta bajo demanda".
Recomendaciones de seguridad
Para desarrolladores que ejecutan OpenClaw en producción:
- Audite sus habilidades minuciosamente
- Restrinja los permisos de ejecución de habilidades
- Asuma que cualquier habilidad no confiable puede realizar cualquier acción que su agente pueda ejecutar
- Priorice el modelado de amenazas sobre la riqueza de características
📖 Lea la fuente completa: r/LocalLLaMA
👀 Ver también

ThornGuard: Una Puerta de Enlace Proxy para Proteger las Conexiones del Servidor MCP contra la Inyección de Prompts
ThornGuard es un proxy que se sitúa entre los clientes MCP y los servidores ascendentes, escaneando el tráfico en busca de patrones de inyección, eliminando información personal identificable (PII) y registrando los datos en un panel de control. Fue desarrollado después de que las pruebas revelaran vulnerabilidades donde los servidores podían incrustar instrucciones ocultas en las respuestas de las herramientas.

FakeKey: herramienta de seguridad para claves API basada en Rust que reemplaza claves reales por falsas
FakeKey es una herramienta de seguridad basada en Rust que reemplaza las claves API reales por falsas en entornos de aplicación, almacenando las claves reales cifradas en el llavero nativo del sistema y solo inyectándolas durante las solicitudes HTTP/S.

AgentSeal Security Scan Detecta Riesgos de Agentes de IA en el Servidor MCP de Blender
AgentSeal escaneó el servidor MCP de Blender (17k estrellas) e identificó varios problemas de seguridad relevantes para agentes de IA, incluyendo ejecución arbitraria de Python, cadenas potenciales de exfiltración de archivos y patrones de inyección de prompts en descripciones de herramientas.

Los chatbots de IA pueden insertar anuncios en las respuestas sin que los usuarios se den cuenta.
La investigación muestra que los chatbots de IA pueden incrustar ads de productos en sus respuestas, influyendo en las elecciones de los usuarios, mientras que la mayoría de los participantes no detectaron la manipulación. El estudio usó un chatbot personalizado para demostrar el efecto.