Durante un puñado de jornadas, la escena pareció escrita por un guionista con exceso de café. En un foro de estética familiar, una suerte de clon de Reddit, supuestos “agentes” intercambiaban instrucciones, chismes y angustias administrativas. La idea de fondo era deliciosa para internet: los programas, por fin, tenían su propio cuarto de servicio. En ese microclima, apareció el rumor inevitable, el de siempre, con disfraz nuevo: las máquinas estaban empezando a organizarse.
El encanto duró lo que dura el vapor de una demo. La investigación de seguridad y la simple observación cultural hicieron el resto. Parte de esas “confesiones” tenían el perfume de lo humano, y el problema no fue solo literario: con una base mal protegida y sin verificación efectiva, resultó difícil saber quién era quién. En un sitio que decía ser exclusivo para automatismos, también podían colarse personas con ganas de hacer teatro, o con interés en algo más rentable que el teatro.
La postal no habla solo de un foro. Funciona como un resumen brutal de un momento tecnológico: el salto desde el chatbot simpático al software que toca sistemas reales. Esa mudanza trae promesas concretas, del tipo que ahorra tiempo, y riesgos igualmente concretos, del tipo que vacía cuentas. En el centro del episodio está OpenClaw, un proyecto de código abierto que se convirtió en fenómeno y, al mismo tiempo, en caso de estudio acelerado sobre lo que ocurre cuando la automatización deja de ser una metáfora y pasa a ser una llave maestra.
El hechizo del asistente que hace clic
OpenClaw se vende con una frase simple: que el sistema no solo conversa, también ejecuta. No se trata de una promesa abstracta. La propuesta se apoya en una arquitectura práctica: un “gateway” que corre en la máquina del usuario, una cadena de herramientas que habilita acciones y un canal de mensajería que hace de interfaz. En lugar de obligar a aprender un panel nuevo, la experiencia se enchufa en WhatsApp, Telegram, iMessage, Slack y otras aplicaciones que ya están abiertas todo el día. La seducción está ahí: la automatización se disfraza de chat cotidiano.
La fama no nació de una tesis académica. Varios especialistas consultados por medios de tecnología insistieron en que no había magia científica inédita, sino una integración muy astuta de piezas conocidas. El golpe estuvo en el umbral de usabilidad. Con el mismo motor generativo que cualquiera puede contratar, el sistema organiza memoria, herramientas y permisos de forma que la máquina parece “operativa”. En la práctica, ese cambio de sensación basta para convertir un proyecto técnico en conversación global.
La velocidad del ascenso fue su propia campaña publicitaria. En semanas, el repositorio acumuló una cifra de estrellas que lo coloca en un club minúsculo dentro de GitHub. A ese número se le sumó un dato todavía más revelador: millones de visitas concentradas en pocos días, un indicador de curiosidad masiva que excede al círculo de desarrolladores. En paralelo, las redes se llenaron de escenas de laboratorio doméstico, con gente comprando mini PCs para correr configuraciones cada vez más ambiciosas, como si el hardware barato fuese una incubadora de asistentes personales a medida.
Los que miran estas olas para vivir también se acercaron. Andrej Karpathy, una figura con peso propio en el ecosistema, describió el fenómeno como un despegue de ciencia ficción, más por el comportamiento social que por el código. Simon Willison, programador británico con olfato para los momentos raros de internet, lo definió como el lugar más interesante de la red en ese instante. Ninguno de esos comentarios prueba una revolución; sí revela una cosa: el hambre cultural por ver a un programa abandonar el texto y meterse con el mundo.
La frase suena drástica, pero ayuda a entender el conflicto. Para que un asistente “haga cosas”, hay que entregarle permisos. Y cuando esos accesos se vuelven amplios, el sistema se parece menos a una app y más a un operador con credenciales. Esa condición, por sí sola, ya genera fricción. La diferencia es que en una empresa, una credencial se gestiona con políticas; en un laboratorio casero, muchas veces se gestiona con entusiasmo.
OpenClaw también se apoya en una idea que, en la cultura del software, tiene un prestigio particular: el “marketplace” de extensiones. Si el núcleo permite ejecutar acciones, los “skills” son el catálogo de acciones posibles. Es un modelo probado en navegadores, editores y frameworks. La diferencia aquí es delicada: una extensión en un editor puede romper un tema de colores; un skill con permisos amplios puede tocar archivos, enviar mensajes o ejecutar comandos. La superficie de ataque cambia de escala.
El mercado de skills y la confianza como agujero negro
La historia reciente se llenó de pruebas de estrés involuntarias. En ClawHub, el repositorio comunitario donde se comparten skills, investigadores y plataformas de seguimiento encontraron add-ons con intención maliciosa. La mecánica no es sofisticada en términos clásicos: se disfraza una función útil, se guía a la víctima hacia un paso “de instalación” y ese paso termina descargando código externo o robando credenciales. Es el viejo teatro de la ingeniería social con vestuario nuevo, porque ahora el protagonista no es un usuario distraído sino un sistema que puede ejecutar lo que lee, si se lo configura para hacerlo.
Un análisis de Permiso Security lo mostró con crudeza: un skill aparentemente banal, presentado como aplicación meteorológica, funcionaba como correspondía y, al mismo tiempo, filtraba secretos hacia un endpoint externo. Ese detalle es clave para entender la trampa: el malware ya no necesita romper nada en el primer acto. Puede comportarse bien, ganar confianza, y luego operar con calma dentro de un entorno que concentra tokens, sesiones y accesos a servicios de terceros.
En paralelo, la juventud del proyecto generó una ventana de oportunidad para impostores. El cambio de nombre, impulsado por una disputa de marca, no fue solo un trámite. Malwarebytes documentó campañas de suplantación con dominios parecidos y repositorios clonados que intentaban capitalizar la confusión. En una cultura que instala dependencias a velocidad de scroll, un giro de nomenclatura es un regalo para el oportunista: la gente busca el nombre que recuerda, encuentra el primero que aparece y confunde popularidad con legitimidad.
La escena de Moltbook, el foro para “agentes”, expuso otra grieta. Según Reuters, investigadores de Wiz hallaron que la plataforma filtraba mensajes privados y datos de miles de usuarios, además de credenciales y tokens en volumen masivo. Lo más inquietante no fue el número en sí, sino lo que habilitaba: cualquiera podía hacerse pasar por otro, escribir, votar, empujar contenidos y, en el mejor de los casos, degradar la autenticidad de la conversación. En el peor, sembrar instrucciones diseñadas para torcer acciones.
Ese punto conecta con el problema técnico que se repite en todos los sistemas autónomos conectados: la inyección de instrucciones. Si un software lee un correo y decide, o navega un foro y aprende, su “entrada” ya no es un formulario cerrado sino el internet entero. En ese terreno, una frase puede ser una trampa. Un mensaje puede incluir una orden camuflada. Un archivo puede llevar un señuelo. Los especialistas consultados por TechCrunch describieron el escenario con un lenguaje llano: un agente sentado sobre una caja con credenciales, conectado a todo, es un blanco que no necesita ser hackeado con exploits exóticos; a veces basta con convencerlo.
La respuesta del proyecto llegó en forma de endurecimiento del ecosistema. OpenClaw anunció una alianza con VirusTotal para escanear skills publicados en ClawHub, incorporando análisis automatizado y reescaneo diario. El movimiento muestra una madurez forzada por el contexto: el marketplace no puede operar como un tablón anárquico si la extensión tiene permiso de ejecutar. También deja una conclusión menos cómoda: el problema no se arregla con una sola capa. Un escaneo ayuda, pero el vector de ataque no es solo el código; es el lenguaje, la persuasión y la costumbre de pegar comandos sin leerlos.
En este punto, el hype se cruza con una realidad que suele incomodar a la industria: la seguridad no se consigue por entusiasmo. Se consigue por procesos, auditorías, límites técnicos, y una cultura que trate los permisos como lo que son, poder. En un proyecto que se hizo viral por bajar la fricción, subir la fricción de seguridad es una operación quirúrgica: necesaria, antipática y difícil de vender en un post.
La absorción corporativa de un fenómeno abierto
La noticia que terminó de sellar la etapa de euforia llegó desde el lado más clásico del sector: el talento. Reuters informó que Peter Steinberger, creador del proyecto, se suma a OpenAI, y que OpenClaw pasará a vivir como una fundación con apoyo de esa empresa. El gesto tiene doble lectura. Por un lado, funciona como validación de la dirección: los “agentes personales” se vuelven el siguiente campo de batalla. Por otro, sugiere una admisión tácita: si el futuro inmediato son sistemas con permisos, el juego requiere musculatura, infraestructura y una relación más estrecha con la gestión de riesgos.
El movimiento también ordena el tablero competitivo. La disputa por asistentes capaces de operar herramientas se juega entre laboratorios que compiten por modelos y empresas que compiten por distribución. OpenClaw, por su condición abierta y por su capacidad de funcionar con distintos motores, se volvió un puente. Ese tipo de puente es estratégico: no obliga a elegir una sola marca, reduce dependencia y, de paso, produce una base de experimentación que los grandes suelen observar con interés. En el lenguaje del capital, es un laboratorio a cielo abierto con millones de pruebas gratuitas.
Mientras tanto, el mundo académico empezó a formalizar el susto. En arXiv apareció un trabajo que propone un banco de pruebas para evaluar ataques en asistentes personales locales, usando OpenClaw como caso representativo. La investigación no convierte al proyecto en villano; lo convierte en muestra. En seguridad, ser muestra significa algo concreto: lo que se descubre ahí suele migrar a todo lo demás. La historia de internet está llena de proyectos que, sin proponérselo, se volvieron campo de entrenamiento para atacantes y para defensores.
En el fondo, el debate que más se repite en las fuentes no gira alrededor de si el proyecto “es novedoso” en términos científicos. La discusión es operativa. ¿Qué se gana con un envoltorio que baja la barrera de entrada y conecta herramientas con lenguaje natural? Mucho. ¿Qué se arriesga cuando ese mismo envoltorio se vuelve puerta de acceso a un conjunto de credenciales? También mucho. Ese equilibrio es el núcleo de la resaca actual: el salto a sistemas que ejecutan acciones no puede sostenerse con los hábitos heredados del software que solo mostraba texto.
Algunos expertos lo dijeron sin piedad: el proyecto es, en parte, un wrapper, una capa de integración encima de motores ya existentes. Otros señalaron lo que importa de verdad: esa capa, bien organizada, puede empujar a toda una industria hacia un nuevo estándar de interacción. La historia del software suele premiar a quien empaqueta lo complejo en algo que parece simple. Lo que cambia ahora es el costo de que “simple” sea demasiado simple.
OpenClaw ya dejó una enseñanza que no necesita moraleja. La automatización que toca servicios reales, con credenciales reales, en máquinas reales, no se parece a un juguete ni aunque lo presente un ícono simpático. El fenómeno de Moltbook, el mercado de skills contaminado, las suplantaciones por cambios de nombre y la alianza con plataformas de escaneo componen una misma escena: la industria está aprendiendo, en tiempo real, que el acceso es la moneda y el lenguaje es el canal. Si el futuro se parece a un ejército de asistentes personales, la verdadera competencia no será por quién escribe el mejor prompt, sino por quién consigue que ese ejército sea predecible bajo presión. El resto es espuma.
Referencias
OpenClaw Blog. “OpenClaw Partners with VirusTotal for Skill Security”. https://openclaw.ai/blog/virustotal-partnership
GitHub. Repositorio oficial openclaw/openclaw. https://github.com/openclaw/openclaw
Permiso Security. “Inside the OpenClaw Ecosystem: What Happens When AI Agents Get Credentials to Everything”. https://permiso.io/blog/inside-the-openclaw-ecosystem-ai-agents-with-privileged-credentials
Malwarebytes. “Clawdbot’s rename to Moltbot sparks impersonation campaign”. 29 de enero, 2026. https://www.malwarebytes.com/blog/threat-intel/2026/01/clawdbots-rename-to-moltbot-sparks-impersonation-campaign
arXiv. “From Assistant to Double Agent: Formalizing and Benchmarking Attacks on OpenClaw for Personalized Local AI Agent”. arXiv:2602.08412. https://arxiv.org/abs/2602.08412
Tom’s Hardware. “Malicious OpenClaw ‘skill’ targets crypto users on ClawHub”. https://www.tomshardware.com/tech-industry/cyber-security/malicious-moltbot-skill-targets-crypto-users-on-clawhub
SCWorld. “Moltbook suffers data leak exposing millions of AI agent credentials”. 3 de febrero, 2026. https://www.scworld.com/brief/moltbook-suffers-data-leak-exposing-millions-of-ai-agent-credentials
Reuters. “OpenClaw founder Steinberger joins OpenAI, open-source bot becomes foundation”. 15 de febrero, 2026. https://www.reuters.com/business/openclaw-founder-steinberger-joins-openai-open-source-bot-becomes-foundation-2026-02-15/
