Más de 230 paquetes maliciosos para el asistente personal de inteligencia artificial (AI por sus siglas en inglés) OpenClaw —anteriormente conocido como ClawdBot— se han publicado en menos de una semana en el repositorio oficial de la herramienta y en GitHub.
Denominadas capacidades (skills), estos paquetes se hacen pasar por herramientas legítimas para distribuir un infostealer diseñado para robar datos confidenciales, como claves API, llaves privadas de monederos, credenciales SSH y contraseñas guardadas en el navegador.
Originalmente llamado ClawdBot, renombrado Moltbot y ahora OpenClaw en menos de un mes, el proyecto es un asistente de AI de código abierto diseñado para ejecutarse localmente.
Posee memoria persistente y se integra con diversos recursos (chat, correo electrónico y sistema de archivos local). Debido a este nivel de acceso, si no se configura correctamente, el asistente presenta riesgos críticos de seguridad.
Las capacidades son complementos fácilmente implementables para OpenClaw que amplían su funcionalidad o proporcionan instrucciones específicas para actividades especializadas.
Sin embargo, el investigador de seguridad Jamieson O’Reilly destacó recientemente en una publicación de blog en LinkedIn que existen cientos de interfaces de administración de OpenClaw mal configuradas expuestas en la red pública.
Entre el 27 de enero y el 1 de febrero, se publicaron en ClawHub (el repositorio oficial del asistente) y GitHub dos conjuntos de más de 230 capacidades maliciosas.
Estas suplantan utilidades legítimas, como servicios de automatización de trading de criptomonedas, servicios financieros y redes sociales; no obstante, en segundo plano, inyectan un infostealer en los sistemas de los usuarios.
Un informe del portal de seguridad comunitaria OpenSourceMalware afirma que esta campaña a gran escala está utilizando dichas capacidades para distribuir malware entre los usuarios de OpenClaw. La mayoría son clones casi idénticos con nombres aleatorios, aunque algunas han alcanzado popularidad y registran miles de descargas.
Cada capacidad maliciosa contiene documentación extensa para parecer legítima, incluyendo menciones a una herramienta independiente llamada “AuthTool“, supuestamente fundamental para su funcionamiento. La infección se produce cuando la víctima sigue las instrucciones de la documentación, de forma similar a un ataque tipo ClickFix.
En realidad, AuthTool es un mecanismo de distribución de malware. En macOS, se presenta como un comando de shell codificado en Base64 que descarga una carga útil desde una dirección externa. En Windows, descarga y ejecuta un archivo ZIP protegido con contraseña.
El infostealer instalado en sistemas macOS se identifica como una variante de NovaStealer, capaz de eludir Gatekeeper mediante el comando xattr -c para eliminar los atributos de cuarentena y solicitar acceso de lectura amplio al sistema de archivos. El malware apunta específicamente a claves API de intercambio de criptomonedas, frases semilla, extensiones de navegador, datos del llavero de macOS (Keychain), credenciales de la nube, archivos Git y archivos .env.
Un informe independiente de Koi Security contabilizó 341 capacidades maliciosas en ClawHub tras analizar el repositorio completo de 2,857 complementos, atribuyéndolas a una sola campaña. Además, Koi detectó 29 errores tipográficos comunes (typosquatting) en el nombre de ClawHub para engañar a los usuarios.
Para mitigar el riesgo, Koi Security publicó un escáner en línea gratuito que permite verificar la URL de una capacidad antes de su instalación. Por su parte, el creador de OpenClaw, Peter Steinberger, admitió en la plataforma X la imposibilidad de revisar manualmente el enorme volumen de envíos que recibe el repositorio, enfatizando que los usuarios son responsables de verificar la seguridad de los complementos antes de implementarlos.
Se recomienda a las organizaciones adoptar un enfoque de seguridad multicapa: aislar el asistente de AI en una máquina virtual, otorgarle permisos restringidos y asegurar el acceso remoto mediante el bloqueo de tráfico no autorizado.
