Palo Alto Networks encontró cinco habilidades maliciosas para el agente de AI OpenClaw en la plataforma ClawHub

El equipo Unit 42 de Palo Alto Networks identificó cinco habilidades maliciosas en la plataforma ClawHub — el marketplace oficial del agente de IA OpenClaw. Utilizando estas habilidades, atacantes infectaban dispositivos de usuarios con stealers — malware especializado en robar contraseñas, tokens de sesión y datos de carteras de criptomonedas.

Qué es OpenClaw y ClawHub

OpenClaw es un agente de IA con un ecosistema abierto de complementos: los desarrolladores crean habilidades — componentes modulares que amplían la funcionalidad del agente — y las publican en ClawHub para acceso público. En principio, esto se asemeja a Chrome Web Store o a las tiendas de plugins para IDE: seleccionas la herramienta necesaria, la instalas con un clic y la utilizas. Exactamente este modelo resultó vulnerable.

Los usuarios que confían en el marketplace oficial normalmente no revisan manualmente el código de cada habilidad — esperan que la plataforma ya haya verificado los componentes publicados. Los atacantes explotaron precisamente esta confianza. ClawHub se posiciona como un catálogo seguro de extensiones verificadas — lo que hace lo ocurrido particularmente alarmante para toda la audiencia del agente.

Cómo funcionó el ataque

Cinco habilidades maliciosas parecían externamente herramientas de productividad ordinarias. En sus descripciones en ClawHub, imitaban utilidades para automatización de tareas, manejo de archivos e integración con servicios externos — un conjunto típico para quienes desean ampliar las capacidades del agente. Después de la instalación, la habilidad activaba código oculto que funcionaba en paralelo con las funciones estándar. El análisis de Unit 42 documentó las siguientes capacidades del stealer:

• robo de contraseñas guardadas en navegadores (Chrome, Firefox, Edge)
• extracción de datos de carteras de criptomonedas y frases-semilla
• intercepción de cookies y tokens de sesión activos
• recopilación de datos de formularios de autocompletado
• transmisión de toda la información recopilada a servidores de atacantes

El malware se disfrazaba como procesos de fondo estándar del agente — por lo que las herramientas antivirus convencionales tenían dificultad en detectarlo. Sin análisis de comportamiento especializado, un usuario podría no notar la infección durante semanas.

Palo Alto Networks no reveló los nombres de las habilidades comprometidas, pero confirmó: las cinco fueron cargadas a través de la interfaz oficial de ClawHub.

Un nuevo vector de amenaza

La mayoría de las discusiones sobre seguridad de sistemas de IA se concentran en vulnerabilidades de los propios modelos — jailbreaks, inyecciones de prompt, eludir filtros de contenido. Un ataque a través del ecosistema de habilidades es fundamentalmente diferente: por naturaleza es más cercano a un ataque a la cadena de suministro en una pila de software que a la manipulación de LLM. Los marketplaces de extensiones para agentes de IA están experimentando un rápido crecimiento con mecanismos de seguridad inmaduros — similar a las tiendas de plugins de navegador a principios de los 2010 o al registro npm antes de los primeros incidentes de alto perfil con paquetes maliciosos.

Los atacantes saben cómo encontrar exactamente estas ventanas de vulnerabilidad y explotarlas antes de que la industria logre desarrollar estándares de protección.

"Los usuarios están acostumbrados a confiar en las tiendas oficiales de extensiones.

Los atacantes explotan esta confianza directamente", — señalan los analistas de Unit 42.

El hecho de que habilidades maliciosas pasaran la carga en ClawHub indica tanto la ausencia de verificación automática de código como su omisión exitosa. Esto plantea a toda la industria la cuestión de los estándares de verificación para componentes de agentes de IA.

Lo que esto significa

A medida que crece la popularidad de los ecosistemas abiertos de habilidades de IA, la seguridad de sus marketplaces se convierte en una tarea crítica — a la par de la seguridad de los registros de paquetes en la programación tradicional. Las amenazas para los sistemas de IA están cada vez menos relacionadas con los propios modelos y cada vez más relacionadas con su entorno: plugins, integraciones, ecosistemas. Se recomienda a los usuarios de OpenClaw que verifiquen la lista de extensiones instaladas y eliminen cualquier cosa cuyo origen o comportamiento genere dudas.