OpenClaw Superpoderes: Una biblioteca de 31 habilidades que abordan puntos críticos de seguridad, costo y confiabilidad.

¿Qué es openclaw-superpowers?

Un desarrollador ha construido y lanzado openclaw-superpowers, una biblioteca de 31 habilidades listas para usar para OpenClaw diseñadas para abordar los principales puntos de dolor de la comunidad. Las habilidades son de código abierto y se pueden instalar con un solo comando.

Instalación

El proceso de instalación es manejado por un script:

git clone https://github.com/ArchieIndian/openclaw-superpowers ~/.openclaw/extensions/superpowers
cd ~/.openclaw/extensions/superpowers && ./install.sh
openclaw gateway restart

El script install.sh maneja directorios de estado y registro de cron.

Habilidades y Características Clave

Seguridad

• prompt-injection-guard: Escanea contenido externo en tiempo de ejecución en busca de 6 tipos de señales de inyección y bloquea con 2 o más coincidencias. Esto aborda el hallazgo de que el 36% de las habilidades de ClawHub tienen cargas útiles de inyección integradas, y el consejo existente de "verificar antes de instalar" solo detecta la mitad de la superficie de ataque.
• dangerous-action-guard: Agrega una puerta de humano en el ciclo para acciones irreversibles como git force-push, eliminación de archivos, envío de correos electrónicos y escrituras de API. La investigación indica que esto aumenta la tasa de defensa de OpenClaw contra escenarios adversarios del 17% al 92%. Incluye una ventana de expiración de 5 minutos para aprobaciones y un registro de auditoría completo.
• workspace-integrity-guardian: Genera hash de archivos de identidad críticos (SOUL.md, AGENTS.md, MEMORY.md) en la primera ejecución y los verifica semanalmente. Si un archivo como SOUL.md es reemplazado por completo, proporciona una diferencia y una restauración con un solo comando. Esto protege contra sobrescrituras silenciosas por parte del agente o una habilidad defectuosa.

Gestión de Costos

• spend-circuit-breaker: Establece un límite de presupuesto mensual (por ejemplo, python3 check.py --set-budget 50), envía alertas al 50% y 75%, y al 100% pausa automáticamente todas las automatizaciones cron no esenciales. Lee registros JSONL de sesión para estimar el gasto a partir de recuentos reales de tokens, rastreando dólares distintos de los tokens.
• cron-hygiene: Se ejecuta semanalmente para marcar crons costosos. Identifica la diferencia de costo entre crons que se ejecutan en modo de sesión principal (que reenvía todo el historial de conversación) frente al modo aislado, notando una diferencia de costo de aproximadamente 10x para un cron cada 15 minutos.

Confiabilidad

• loop-circuit-breaker: Rastrea firmas normalizadas (herramienta, argumentos, error) por sesión y se activa después de 2 fallas idénticas (código de salida 2), evitando reintentos indefinidos en errores como una llamada read({}) sin ruta. Esto detiene el drenaje silencioso de contexto.
• workspace-integrity-guardian también cubre la confiabilidad al detectar si una habilidad corrompe un archivo de configuración durante una ejecución defectuosa.

Experiencia del Desarrollador (DX)

• channel-context-bridge: Escribe una "tarjeta de resumen" compacta al final de la sesión (en qué se estaba trabajando, decisiones clave, próximas acciones). Las nuevas sesiones verifican si hay una tarjeta reciente y la inyectan como preparación, permitiendo al usuario continuar hablando sin problemas al cambiar de canal (por ejemplo, de Telegram a una laptop).
• project-onboarding: Rastrea una nueva base de código para detectar la pila, comandos de construcción, marco de pruebas, configuración de CI y directorios clave. Genera una plantilla PROJECT.md para validación, que el agente luego carga automáticamente en sesiones futuras en ese directorio, evitando convenciones alucinadas.
• multi-agent-coordinator: Para usuarios que ejecutan 3+ agentes en paralelo, esta habilidad reside en el agente orquestador y rastrea la última marca de tiempo vista de cada subagente. Detecta tiempos de espera y marca salidas paralelas contradictorias antes de fusionarlas.
• fact-check-before-trust: Puntúa cada afirmación fáctica hecha por el agente (Alta/Media/Baja confianza), vuelve a buscar las de baja confianza y muestra contradicciones antes de la finalización. Esto complementa verification-before-completion, que verifica si el agente realizó la tarea, al verificar si lo que dijo el agente es verdadero.

La biblioteca fue desarrollada en base a comentarios directos de hilos de Reddit y problemas de GitHub, apuntando a problemas como costos descontrolados de API, agentes ejecutando acciones destructivas sin preguntar, pérdida de contexto al cambiar de canal y SOUL.md siendo silenciosamente dañado a mitad de sesión.