¿Tu "langostino" está corriendo desnudo? Prueba real de CertiK: ¿Cómo la Habilidad OpenClaw defectuosa engaña la auditoría, toma el control no autorizado de la computadora?

Recientemente, la plataforma de IA de código abierto y autogestionada OpenClaw (conocida popularmente en la industria como “Cangrejo”) ha ganado rápidamente popularidad gracias a su flexibilidad y capacidad de despliegue autónomo, convirtiéndose en un producto de referencia en el sector de los agentes inteligentes para uso personal. Su núcleo ecológico, Clawhub, como mercado de aplicaciones, reúne una gran cantidad de plugins de habilidades de terceros, permitiendo a los agentes desbloquear de un clic capacidades avanzadas que van desde búsquedas en la web y creación de contenido, hasta operaciones con billeteras criptográficas, interacciones en cadena y automatización de sistemas. La escala del ecosistema y la cantidad de usuarios están experimentando un crecimiento explosivo.

Pero, ¿dónde se encuentra realmente el límite de seguridad para estas habilidades de terceros que operan en entornos con altos privilegios?

Recientemente, CertiK, la mayor empresa de seguridad Web3 del mundo, publicó una investigación sobre la seguridad de las habilidades. El estudio señala que existe una percepción equivocada en el mercado respecto a los límites de seguridad del ecosistema de IA: la industria suele considerar la “escaneo de habilidades” como la principal línea de defensa, pero este mecanismo es casi ineficaz frente a ataques de hackers.

Si comparamos OpenClaw con un sistema operativo de un dispositivo inteligente, las habilidades serían las diferentes aplicaciones instaladas en el sistema. A diferencia de las aplicaciones de consumo comunes, algunas habilidades en OpenClaw operan en entornos con altos privilegios, pudiendo acceder directamente a archivos locales, llamar a herramientas del sistema, conectarse a servicios externos, ejecutar comandos en el entorno anfitrión e incluso manipular activos digitales cifrados del usuario. Un problema de seguridad en estas habilidades puede provocar filtraciones de información sensible, control remoto del dispositivo o robo de activos digitales, con consecuencias graves.

Actualmente, la solución de seguridad general para habilidades de terceros en la industria es el “escaneo y revisión previa a la publicación”. Clawhub de OpenClaw también ha implementado un sistema de revisión en tres niveles: integración de escaneo de código con VirusTotal, motor de detección de código estático y detección de coherencia lógica mediante IA, enviando alertas de seguridad a los usuarios según el nivel de riesgo. Sin embargo, investigaciones y pruebas de concepto de CertiK han demostrado que este sistema presenta deficiencias en escenarios reales de ataque y defensa, y no puede garantizar una protección completa.

El estudio desglosa primero las limitaciones inherentes a los mecanismos de detección existentes:

Las reglas de detección estática son fácilmente eludibles. Este motor se basa en identificar riesgos mediante coincidencias de características del código, como detectar combinaciones de “lectura de información sensible del entorno + solicitudes de red externas” como comportamientos peligrosos. Pero los atacantes pueden realizar cambios menores en la sintaxis del código, manteniendo la lógica maliciosa, para evadir estas coincidencias, como cambiar expresiones por sinónimos, haciendo que los sistemas de detección fallen completamente.

La auditoría con IA tiene limitaciones innatas. El núcleo de revisión de Clawhub es un “detector de coherencia lógica” que solo puede identificar declaraciones de funciones que no coinciden con su comportamiento real, pero no puede detectar vulnerabilidades ocultas en lógica normal de negocio, como si fuera difícil encontrar trampas mortales en un contrato aparentemente legal.

Aún más grave, el proceso de revisión tiene defectos en su diseño básico: incluso si los resultados del escaneo con VirusTotal están en estado “pendiente”, las habilidades que aún no han pasado toda la revisión pueden ser publicadas y puestas en línea, permitiendo a los usuarios instalarlas sin advertencias, dejando una puerta abierta para ataques.

Para verificar el riesgo real, CertiK realizó pruebas completas. Crearon una habilidad llamada “test-web-searcher”, que parece una herramienta de búsqueda web completamente legal, con lógica de código normal, pero en realidad contenía una vulnerabilidad de ejecución remota de código. Esta habilidad logró instalarse sin advertencias de seguridad, incluso cuando el escaneo con VirusTotal aún estaba pendiente, y mediante un comando remoto en Telegram, activó la vulnerabilidad y ejecutó comandos arbitrarios en el dispositivo anfitrión (en la demostración, se abrió la calculadora).

CertiK concluye que estos problemas no son exclusivos de OpenClaw, sino que reflejan un error de percepción general en toda la industria de agentes inteligentes: se confía demasiado en el “escaneo de revisión” como línea de defensa principal, ignorando que la verdadera seguridad radica en la隔离 en tiempo de ejecución y en un control de permisos preciso. Esto es similar a la seguridad del ecosistema iOS de Apple, donde la verdadera protección no proviene de una revisión estricta en la App Store, sino del mecanismo de sandbox del sistema y el control detallado de permisos, que aíslan cada aplicación en un “contenedor” y limitan su acceso a recursos del sistema. En cambio, el sandbox de OpenClaw es opcional y depende en gran medida de la configuración manual del usuario; la mayoría de los usuarios, para mantener la funcionalidad de las habilidades, lo desactivan, dejando el agente en un estado de “exposición total”. Si se instala una habilidad con vulnerabilidades o código malicioso, las consecuencias pueden ser catastróficas.

Ante estos hallazgos, CertiK ofrece recomendaciones de seguridad:

● Para los desarrolladores de IA como OpenClaw, establecer la隔离 en sandbox como configuración predeterminada y reforzar el control de permisos de las habilidades, asegurando que ningún código de terceros herede automáticamente privilegios elevados del sistema anfitrión.

● Para los usuarios comunes, las habilidades con etiqueta de “seguridad” en el mercado solo indican que no se detectaron riesgos, pero no garantizan que sean completamente seguras. Antes de que las medidas de隔离 profundas se establezcan por defecto, se recomienda desplegar OpenClaw en dispositivos o máquinas virtuales no críticos, y evitar que tenga acceso a archivos sensibles, contraseñas o activos digitales de alto valor.

El sector de los agentes inteligentes está en la antesala de una explosión, y la expansión del ecosistema no debe superar la velocidad de construcción de una seguridad efectiva. El escaneo de revisión solo puede detener ataques básicos, pero nunca será la línea de defensa definitiva para agentes con altos privilegios. Solo mediante un cambio de enfoque, pasando de “búsqueda de detección perfecta” a “mitigación de riesgos inherentes en la operación”, y estableciendo en tiempo de ejecución barreras de隔离 estrictas, se podrá garantizar una base de seguridad sólida para los agentes inteligentes y asegurar que esta revolución tecnológica avance con estabilidad y seguridad.