– Europa Press/Contacto/Thomas Fuller
MADRID, 5 Feb. (CIBERPRO) –
Las extensiones de ‘skills’ o capacidades para OpenClaw, el asistente de inteligencia artificial (IA) de código abierto que puede realizar diversas funciones en un ordenador, han encubierto un conjunto de ‘software’ malicioso o ‘malware’.
OpenClaw, que fue conocido inicialmente como Clawdbot y más tarde como Moltbot, ganó gran notoriedad en pocas semanas a pesar de los peligros asociados a permitir que una IA ejecutara cualquier tarea en el dispositivo.
A los ataques de ‘prompt injection’, los errores en la interpretación de comandos y el borrado de información sensible, se suma una nueva amenaza: las extensiones con ‘skills’ maliciosas.
La plataforma de detección de ‘malware’ OpenSourceMalware ha revelado que se publicaron 28 habilidades maliciosas en la plataforma de ‘skills’ de ClawHub entre el 27 y el 29 de enero, junto a 386 extensiones maliciosas que se subieron entre el 31 de enero y el 2 de febrero.
OpenSourceMalware ha indicado que estas ‘skills’ «se hacen pasar por herramientas de automatización de criptomonedas y distribuyen malware que roba datos de activos criptográficos», incluyendo claves API de intercambio, claves de billeteras privadas, credenciales y contraseñas del navegador.
Jason Miller, vicepresidente de producto de 1Password, ha calificado a ClawHub como una «superficie de ataque», destacando que la ‘skill’ más descargada era una relacionada con «Twitter». Miller comentó que al intentar descargarla, encontró enlaces como «aquí» y «este enlace», que parecían inofensivos, pero que en realidad ocultaban un ‘software’ malicioso que robaba información de macOS, afectando también a las sesiones del navegador, así como a las ‘cookies’, contraseñas y datos de autocompletado, ‘tokens’ y claves API, entre otros.
Ante estas vulnerabilidades, el creador de OpenClaw, Peter Steinberg, anunció en un mensaje en X (anteriormente Twitter) que han implementado una opción para «denunciar habilidades», permitiendo a los usuarios alertar sobre estas ‘skills’ maliciosas.
Been spending quite a bit of time making ClawHub more secure; you can now report skills, and only people with a GitHub account that’s not brand-new can upload skills.
This will eventually make this a much more trusted place. https://t.co/NLIVKCGxHR
— Peter Steinberger (@steipete) February 2, 2026
Además, Steinberg ha señalado que solo los usuarios de GitHub que no tengan cuentas recién creadas podrán subir estas habilidades a ClawHub. «Con el tiempo, esto hará que sea un lugar mucho más seguro», ha asegurado.
