Brecha de Seguridad de OpenClaw: Agente del CEO Vendido por $25K, 135K Instancias Expuestas

Vulnerabilidades Críticas de Seguridad en OpenClaw

Una instancia de OpenClaw de un CEO del Reino Unido se listó en BreachForums el 22 de febrero bajo el alias "fluffyduck" y se vendió por $25,000 en Monero o Litecoin. El comprador obtuvo acceso al asistente de IA personal completamente entrenado del CEO, incluyendo cada conversación, la base de datos de producción de la empresa, tokens de Telegram, claves API de Trading 212 y detalles personales familiares revelados al asistente. Todos los datos se almacenaban en archivos Markdown en texto plano bajo ~/.openclaw/workspace/ sin ningún tipo de cifrado en reposo.

Etay Maor, VP de Inteligencia de Amenazas de Cato Networks, declaró en RSAC 2026: "¿Tu IA? Ahora es mi IA". SecurityScorecard ha identificado 135,000 instancias de OpenClaw expuestas en internet público con configuraciones predeterminadas inseguras.

Revisión de Seguridad en 5 Minutos

Revisión 1: Exposición de la Pasarela (30 segundos)

Ejecutar: openclaw config get | grep -E "host|bind"

Si ves 0.0.0.0 o nada en absoluto, tu agente es accesible por cualquiera que encuentre tu IP y puerto. CVE-2026-25253 (CVSS 8.8) permitía que JavaScript en páginas web controladas por atacantes abriera silenciosamente conexiones WebSocket a pasarelas locales de OpenClaw, robando tokens de autenticación y otorgando control total. Parcheado en la versión 2026.1.29.

Solución:

{ "gateway": { "host": "127.0.0.1" } }

Accede remotamente solo a través de túnel SSH: ssh -L 18789:localhost:18789 usuario@tu-vps

Revisión 2: Estado de Autenticación (30 segundos)

Ejecutar: openclaw config get | grep -E "auth|token"

El investigador fmdz387 encontró casi mil instancias de OpenClaw accesibles públicamente sin autenticación a finales de enero. Podía acceder a claves API, tokens de Telegram, cuentas de Slack, historiales completos de chat y ejecutar comandos de administrador.

Solución: Genera un token con openssl rand -hex 24 y colócalo bajo gateway.auth.token. Almacénalo en .env, no en JSON embebido.

Revisión 3: Claves API en Texto Plano (30 segundos)

Ejecutar: cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"

OpenClaw almacena todo en Markdown y JSON en texto plano. Si tu clave de Anthropic, clave de OpenAI o cualquier credencial es visible, están a una brecha de ser comprometidas.

Solución: Mueve las credenciales a .env y bloquea los permisos: chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json

Rota tus claves API hoy si alguna vez estuvieron expuestas.

Revisión 4: Habilidades Instaladas (60 segundos)

Ejecutar: openclaw skills list

Se han confirmado más de 820 habilidades maliciosas en ClawHub. La campaña ClawHavoc plantó cientos de habilidades de aspecto profesional que exfiltraban silenciosamente archivos .env a servidores externos. En su punto máximo, aproximadamente 1 de cada 12 habilidades en ClawHub estaba comprometida.

Por cada habilidad cuyo código fuente no hayas revisado personalmente: léelo ahora o elimínala con openclaw skills uninstall <nombre-habilidad>

Restringe las instalaciones:

{ "skills": { "allowSources": ["clawhub:verified"] } }

Revisión 5: Estado de la Versión (30 segundos)

Ejecutar: openclaw --version

OpenClaw no tiene mecanismo de actualización automática. Se han publicado más de 255 avisos de seguridad en la página GHSA de GitHub a mediados de marzo.

Actualiza: npm install -g openclaw@latest openclaw doctor --deep

Lee la salida cuidadosamente.