Investigaciones recientes demuestran que el sistema de escaneo de habilidades de OpenClaw no constituye un límite seguro. Publicar habilidades de terceros sigue siendo un problema para la creación y el uso de agentes de IA.
Las habilidades de OpenClaw aún presentan amenazas de seguridad, y el reciente sistema de escaneo de habilidades no constituye una barrera segura, según una investigación reciente de expertos en seguridad. El escaneo de habilidades se ha propuesto como una puerta de entrada para los creadores de habilidades, con el objetivo de interceptar cargas útiles de datos potencialmente maliciosas o elementos maliciosos de la propia habilidad.
Tal y como Cryptopolitan informó, los servicios de terceros ya han planteado riesgos de seguridad, y la adopción de agentes de IA está acelerando y empeorando el problema.
OpenClaw permite al usuario crear agentes y ejecutarlos en una máquina local o un servidor. Sin embargo, las habilidades se integran inmediatamente con OpenClaw y pueden heredar el mismo acceso a recursos y herramientas. Dado que algunas habilidades implican tareas delicadas, como el acceso a monederos o interacciones en la cadena de bloques, los conjuntos de habilidades publicados por terceros conllevan un riesgo.
¿Cómo comprueba OpenClaw las habilidades para detectar intenciones maliciosas?
Investigaciones recientes han demostrado que Clawhub utiliza VirusTotal, así como el sistema de moderación interno de OpenClaw. Los resultados de estas comprobaciones clasifican las habilidades y muestran advertencias al usuario durante la instalación.
Este sistema aún es imperfecto y puede clasificar habilidades como inofensivas o incluso potencialmente dañinas. Surge un problema cuando VirusTotal marca la habilidad como sospechosa y OpenClaw como benigna. Se muestra una advertencia al usuario, quien aún puede confirmar la instalación de la habilidad. Las habilidades completamente marcadas como maliciosas no están permitidas para su descarga.
OpenClaw también ofrece aislamiento de procesos y controles de ejecución, pero estos son opcionales y no constituyen un límite predeterminado estricto para las funcionalidades de terceros. OpenClaw deja el aislamiento de procesos basado en Docker como opcional, y algunas herramientas siguen estando disponibles incluso con esta opción desactivada.
Los usuarios también optan por la vía directa porque los entornos de pruebas pueden ser difíciles de implementar y algunas funciones fallan. Esto también implica que la plataforma depende de revisiones y advertencias, un sistema que no ofrece protección directa al ejecutar las funciones del agente.
¿Puede OpenClaw detectar habilidades maliciosas?
OpenClaw ya ha implementado algunas medidas de seguridad, incluyendo comprobaciones de comportamientos específicamente vinculados al código malicioso que puede leer información confidencial y enviarla. Este enfoque se utiliza en la seguridad tradicional para detectar procesos, solicitudes y otros comportamientos sospechosos.
Las habilidades de los agentes de IA son más difíciles de analizar porque las entradas incluyen tanto código como instrucciones en lenguaje natural, además de su comportamiento en tiempo de ejecución. La seguridad tradicional puede tener puntos ciegos ante los comportamientos de los agentes.
El siguiente paso consiste en utilizar el escaneo con IA para detectar comportamientos más riesgosos que no fueron detectados por una búsqueda estática o el enfoque habitual de expresiones regulares. Los agentes de IA pueden ofrecer una visión de la coherencia interna de las habilidades, aunque no abarcan todas las posibles vulnerabilidades. Buscan el código más vulnerable o las inconsistencias generales.
Los investigadores observaron que el sistema de moderación y verificación de OpenClaw aprobaba las habilidades rápidamente, mientras que VirusTotal a veces tardaba días en detectarlas. También era posible añadir exploits a habilidades ya aprobadas. Esto significaba que el proceso de OpenClaw podía declarar que las habilidades eran inofensivas cuando en realidad contenían comportamientos inesperados.
Para los desarrolladores de agentes de IA, los investigadores recomiendan el uso de entornos aislados (sandboxes) o de herramientas para evitar que las habilidades se ejecuten, incluso si se consideran inofensivas. Los investigadores instaron a las plataformas de habilidades a asumir que las habilidades aparentemente normales pueden ocultar vulnerabilidades y a evitar su uso en entornos de alto valor, ya que podrían otorgar acceso a billeteras de criptomonedas u otra información confidencial.
