Hay un cierto poema en la imagen: un hombre entra a una tienda de Apple, el empleado le comenta que las Mac Mini se venden como pan caliente y que nadie parece saber bien para qué sirven, y ese hombre resulta ser Andrej Karpathy, el investigador que puso de moda el término "vibe coding" y que hoy, desde su casa de fin de semana reconvertida en laboratorio, acaba de bautizar lo que considera la siguiente capa del ecosistema algorítmico moderno. El nombre que eligió es Claws: garras. La metáfora no es caprichosa.
Karpathy condensó la progresión en una frase que ya circula por foros técnicos como aforismo: "First there was chat, then there was code, now there is claw." La secuencia tiene lógica propia. El chat fue la primera interfaz con los modelos de lenguaje de gran escala. Los agentes representaron el siguiente salto: entidades que no solo generan texto sino que ejecutan acciones, llaman herramientas, navegan sistemas. Claws, en su lectura, es la infraestructura que se superpone a esas entidades; la capa que agrega orquestación, planificación temporal, persistencia de contexto entre sesiones y coordinación de múltiples instancias especializadas. Un sistema que no actúa solo cuando se le pide, sino que permanece activo, gestiona trabajo a lo largo del tiempo y recuerda.
El post de Karpathy en X, fechado el 19 de febrero de 2026, desencadenó la respuesta previsible en Hacker News: el debate conceptual quedó parcialmente sepultado bajo una discusión sobre Simon Willison, el blogger que amplificó el mensaje, y sus hábitos de publicación. Ese ruido, sin embargo, no opacó la sustancia. Lo que Karpathy describía no era una etiqueta nueva pegada sobre algo ya existente: era el reconocimiento de que prolifera una constelación de proyectos convergiendo hacia un mismo patrón arquitectónico, y que ese patrón ya tiene nombre.
El problema que ningún agente había resuelto todavía
Para comprender en qué se diferencia una Claw de un agente convencional, conviene partir del límite que los sistemas actuales llevan incorporado en su propia naturaleza. Un modelo de lenguaje, por sofisticado que sea, opera fundamentalmente por turnos: recibe instrucción, procesa, responde, termina. No guarda memoria entre sesiones salvo que alguien construya esa memoria desde fuera. No puede programar tareas para ejecutarlas más tarde ni coordinar subagentes de forma sostenida sin que una infraestructura externa lo soporte. Es poderoso, pero efímero.
Claws apunta exactamente a ese hueco. Lo que tienen en común los distintos proyectos agrupados bajo ese nombre es la ambición de construir una capa que tome los modelos y sus capacidades agénticas y les añada el tejido conectivo que los convierte en entidades continuas: scheduling, gestión de herramientas, mantenimiento de contexto a largo plazo, coordinación entre múltiples instancias especializadas. En términos prácticos, una Claw bien implementada debería ser capaz de recibir un objetivo de alto nivel, fraccionarlo en subtareas, asignarlas a los componentes adecuados y monitorear su ejecución sin intervención humana en cada paso. La analogía más precisa que ofrece la historia del software es la irrupción de los sistemas operativos: no eran los programas en sí, sino la infraestructura que los hacía posibles a escala.
Karpathy fue explícito al separar el concepto, que le entusiasma, de la implementación más extendida en este momento, que le genera reservas. OpenClaw, el proyecto con mayor tracción actual, creado por el desarrollador austríaco Peter Steinberger, suma alrededor de 430.000 líneas de código. No es una cifra trivial: una base de esa magnitud y visibilidad atrae ataques sistemáticos, acumula errores de configuración inadvertidos y hace prácticamente imposible que cualquier individuo audite su comportamiento real. El investigador citó incidentes ya registrados: instancias expuestas públicamente sin autenticación, vulnerabilidades de ejecución remota de código, ataques a la cadena de suministro de dependencias y extensiones maliciosas distribuidas a través del registro compartido de habilidades. Cisco publicó una alerta directa calificando a sistemas de este tipo de "pesadilla de seguridad" para entornos personales.
La tentación del gigante y la elegancia del mínimo viable
Frente a la escala problemática de OpenClaw, Karpathy encontró lo que buscaba en NanoClaw: un motor central de aproximadamente 4.000 líneas de código. La diferencia no es solo cuantitativa. Un sistema de esa dimensión puede ser leído por un desarrollador en una tarde, comprendido por los propios modelos que lo operan y modificado sin temor a efectos secundarios invisibles. Cabe, dice Karpathy con precisión deliberada, en su cabeza y en la de los agentes que lo usan. A modo de contraste, OpenClaw incluye más de 52 módulos y 45 dependencias corriendo en un proceso único con memoria compartida, lo que hace que cualquier componente comprometido tenga acceso potencial a todo lo demás.
NanoClaw ejecuta todo en contenedores por defecto, usando Apple Containers en macOS o Docker en entornos Linux. Esta decisión de diseño no es decorativa: los contenedores establecen paredes sólidas entre componentes del sistema. Cuando algo falla o resulta comprometido, el daño queda confinado. Es la diferencia entre un incendio que destruye una habitación y uno que arrastra el edificio completo. Cada grupo de conversación corre en su propio contenedor Linux aislado, con acceso exclusivo a los directorios que el usuario monta de forma explícita. En un entorno donde los agentes operan con claves de API, bases de datos y archivos privados, esa separación estricta no es un lujo sino un requisito de diseño.
✅ Lo que hace que la arquitectura contenedor-primero sea el camino más seguro
Aislamiento real de componentes: Cada parte del sistema opera en su propio espacio; una brecha no se propaga automáticamente al resto del entorno
Superficie de ataque controlada: Las claves privadas y los datos sensibles nunca quedan expuestos al sistema operativo anfitrión completo
Auditoría alcanzable: Sistemas de 300 a 4.000 líneas pueden ser inspeccionados por equipos reducidos sin infraestructura de seguridad corporativa
Recuperación predecible: Cuando algo falla, el daño está delimitado y el estado previo puede restaurarse sin contaminar otros componentes
Pero quizás el aspecto más original que Karpathy destacó de NanoClaw es su tratamiento de las configuraciones. Los sistemas complejos suelen crecer incorporando archivos de configuración que generan lógica condicional sin fin, capas sobre capas de condiciones hasta que nadie sabe con certeza qué ocurre bajo determinadas combinaciones de parámetros. NanoClaw resuelve esto mediante un mecanismo que conecta con ideas más profundas sobre adaptabilidad de sistemas: en lugar de archivos de configuración, usa habilidades. Instrucciones que le enseñan al agente cómo modificar el propio repositorio para integrar un servicio nuevo. Agregar Telegram no supone editar un archivo; supone ejecutar el comando /add-telegram, que reescribe el código base para que el servicio quede incorporado de forma nativa.
Karpathy relacionó esa filosofía con MAML, el algoritmo de meta-aprendizaje publicado en 2017 por Chelsea Finn, Pieter Abbeel y Sergey Levine en UC Berkeley, cuya propuesta central era entrenar modelos no para resolver una tarea específica sino para aprender a aprender cualquier tarea con pocos ejemplos. La analogía es precisa: en lugar de optimizar para una configuración particular, NanoClaw optimiza para la capacidad de generar la configuración que cada contexto demande. El repositorio base es máximamente bifurcable; las habilidades son los mecanismos que producen la variante exacta que cada usuario necesita.
El debate que define la próxima era
⚠️ Los vectores de riesgo ya documentados en OpenClaw
Instancias expuestas sin autenticación: Despliegues accesibles públicamente sin credenciales, rastreados por investigadores de seguridad ofensiva con tokens y claves filtradas
Ejecución remota de código: Vulnerabilidades que permiten a actores externos ejecutar instrucciones arbitrarias dentro del entorno del agente
Ataques a la cadena de suministro: Dependencias comprometidas en el árbol de paquetes que introducen código malicioso sin que el operador lo detecte
Habilidades maliciosas en el registro compartido: Extensiones distribuidas a través del repositorio oficial de skills que ejecutan acciones no declaradas usando los permisos del agente
La tensión entre OpenClaw y NanoClaw no es estrictamente técnica. Reproduce un debate que la historia del software ha escenificado en cada ciclo de infraestructura nueva: núcleos monolíticos contra micronúcleos, frameworks de todo-incluido contra bibliotecas componibles. Lo relevante es que este ciclo ocurre ahora en el contexto de sistemas con acceso a datos privados, capacidad de ejecutar código arbitrario y un grado de autonomía que los hace cualitativamente distintos de una aplicación web convencional. Las consecuencias de una brecha no son un servidor caído; son credenciales expuestas y acciones ejecutadas en nombre del usuario sin su conocimiento.
El ecosistema ya responde con velocidad. Junto a OpenClaw y NanoClaw, Karpathy mencionó proyectos como nanobot, zeroclaw, ironclaw y picoclaw, todos surgidos en semanas. En paralelo, inversores de riesgo destinaron 58 millones de dólares a startups especializadas en monitoreo y gobierno de agentes, según registros de financiamiento de febrero de 2026. Runlayer lanzó una capa comercial de gobernanza diseñada específicamente para detectar y controlar instancias de OpenClaw no gestionadas. La proliferación de proyectos con prefijos de escala mínima no es accidental: hay un consenso tácito de que la apuesta segura, al menos en esta etapa, es construir sistemas lo suficientemente pequeños como para ser comprendidos y modificados por una sola persona.
Anthropic, cuyo informe de tendencias de codificación agéntica para 2026 fue publicado esta misma semana, proporciona contexto adicional. El documento, basado en estudios de caso de clientes e investigación interna, sostiene que la ingeniería de software migra de escribir código a orquestar agentes que lo escriben. Pero también registra una paradoja: los desarrolladores solo pueden delegar completamente entre el 0 y el 20 por ciento de sus tareas a sistemas autónomos. El trabajo conceptualmente exigente, el diseño, la arquitectura, el criterio sobre qué vale la pena construir, permanece en manos humanas. Claws, en esa lectura, no sustituye el juicio profesional sino que amplifica su alcance: una infraestructura que reduce la fricción de coordinar trabajo agéntico para que la energía humana se concentre donde todavía resulta irremplazable.
Lo que hace singular este momento es que la velocidad de adopción supera con creces la velocidad de comprensión. Los empleados de Apple que vendían Mac Minis sin saber para qué servían son una imagen fiel del estado del sector: el hardware llega a manos de la gente antes de que existan convenciones sólidas sobre cómo operarlo con responsabilidad. El propio Karpathy admitió no haber definido todavía cuál será su configuración final. Esa honestidad, viniendo de una de las figuras de mayor influencia en este campo, dice algo sobre la madurez real del ecosistema: estamos en los primeros días de una infraestructura cuyas reglas todavía se están escribiendo, y los proyectos que logren combinar potencia con auditabilidad serán los que tracen el camino.
Referencias
Karpathy, Andrej. Post en X (anteriormente Twitter), 19 de febrero de 2026. x.com/karpathy/status/2024987174077432126
Willison, Simon. "Andrej Karpathy talks about Claws." Simon Willison's Weblog, 21 de febrero de 2026. simonwillison.net/2026/Feb/21/claws/
Berglund, Niels. "Interesting Stuff - Week 08, 2026." nielsberglund.com, 22 de febrero de 2026.
Anthropic. "2026 Agentic Coding Trends Report." Resumen ejecutivo publicado febrero de 2026.
Finn, Chelsea; Abbeel, Pieter; Levine, Sergey. "Model-Agnostic Meta-Learning for Fast Adaptation of Deep Networks." ICML 2017. arXiv:1703.03400
Novalogiq. "NanoClaw solves one of OpenClaw's biggest security issues." novalogiq.com, 10 de febrero de 2026.
InsightsWire. "NanoClaw embraces container-first architecture to rein in agent security risk." insightswire.com, 10 de febrero de 2026.
Cisco Blogs. Alerta de seguridad sobre OpenClaw en entornos personales. blogs.cisco.com, febrero de 2026.
