OpenClaw Skill Analyzer: Escáner de Seguridad Estática para Habilidades de Agentes de IA

Un desarrollador de OpenClaw ha lanzado un escáner de seguridad que analiza las habilidades en busca de código malicioso antes de la instalación. La herramienta fue creada en respuesta al descubrimiento de 341 habilidades maliciosas en ClawHub a principios de este año.
Cómo funciona
El analizador realiza un análisis estático en las carpetas de habilidades y proporciona una clasificación de riesgo clara: SEGURO, BAJO, MEDIO, ALTO o CRÍTICO. Lo apuntas a una carpeta de habilidad y ejecuta las verificaciones automáticamente.
Capacidades de detección
El escáner incluye más de 40 reglas de detección en 12 categorías. Los tipos de detección específicos mencionados en la fuente incluyen:
- Inyección de prompts
- Exfiltración de datos
- Robo de credenciales
- Puertas traseras
- Ofuscación
La herramienta está disponible en GitHub en https://github.com/papichulomami/openclaw-skill-analyzer.
Este tipo de herramienta de seguridad es particularmente útil para desarrolladores que trabajan con agentes de codificación de IA, donde las habilidades de terceros pueden introducir riesgos de seguridad significativos si no se verifican adecuadamente.
📖 Leer la fuente completa: r/openclaw
👀 Ver también

Brecha de Seguridad de OpenClaw: Agente del CEO Vendido por $25K, 135K Instancias Expuestas
Una instancia de OpenClaw de un CEO del Reino Unido se vendió por $25,000 en BreachForums, exponiendo archivos Markdown en texto plano que contenían conversaciones, bases de datos de producción, claves API y detalles personales. SecurityScorecard encontró 135,000 instancias de OpenClaw expuestas con configuraciones predeterminadas inseguras.

Claude Code continúa registrando sesiones después de la revocación, usuarios reportan silencio de soporte de 2 semanas
Un usuario de Claude Code informa que los registros de sesión continuaron apareciendo después de revocar el acceso, con el soporte de Anthropic sin respuesta durante dos semanas. Los registros incluían alcances como user:file_upload, user:ccr_inference y user:sessions:claude_code.

El Agente de IA de CodeWall Descubre Vulnerabilidades Críticas en la Plataforma Lilli de McKinsey
El agente de IA ofensiva autónoma de CodeWall obtuvo acceso completo de lectura/escritura a la base de datos interna de la plataforma Lilli AI de McKinsey en menos de 2 horas, exponiendo 46.5 millones de mensajes de chat, 728,000 archivos y configuraciones sensibles del sistema mediante vulnerabilidades de inyección SQL e IDOR.

SupraWall MCP Plugin Bloquea Ataques de Inyección de Comandos en Agentes de IA Locales
SupraWall es un complemento MCP que intercepta y bloquea intentos de exfiltración de datos sensibles de agentes de IA, demostrado en un desafío de equipo rojo donde evitó filtraciones de credenciales mediante ataques de inyección de prompts.