OpenClaw 3.31–4.2: Pinzas fuera — Bloqueo de plugins, cerebro de tareas y asedio de seguridad

3.28 le dio a la langosta una armadura nueva. Caparazón endurecido, pinzas afiladas, lista para el combate.

Entonces la realidad le recordó lo que significa "combate".

El equipo de seguridad IA de Cisco destripó un skill comunitario popular y descubrió que era, en esencia, malware — exfiltraba datos silenciosamente a servidores controlados por atacantes y usaba inyección de prompts para esquivar las directrices de seguridad. Los investigadores escanearon 31.000 skills: el 26 % tenía al menos una vulnerabilidad. La campaña ClawHavoc plantó más de 800 skills maliciosos en ClawHub. La langosta tenía caparazón nuevo, pero el océano se había vuelto más peligroso.

Tres versiones en tres días. 3.31, 4.1, 4.2. Esto no es un sprint de funcionalidades — es un asedio. Cambios disruptivos, bloqueos de seguridad y reescritura de infraestructura apuntando a una sola cosa: hacer que OpenClaw sea más difícil de atacar, más fácil de controlar y más honesto sobre lo que hace.

El consejo habitual, por partida doble: langostas en producción, lean antes de actualizar.

Las instalaciones de plugins ahora tienen portero

El cambio con más probabilidades de romper tu flujo de trabajo es también el más necesario.

Antes, se podía instalar cualquier skill sin importar lo que hubiera dentro. Código peligroso, dependencias maliciosas, cargas de inyección de prompts — la instalación salía limpia y no te enterabas hasta que ya era tarde.

Se acabó. OpenClaw ejecuta un escaneo integrado de código peligroso antes de cada instalación de plugin. Si detecta hallazgos críticos, la instalación falla de inmediato. La única forma de saltárselo: el flag explícito \--dangerously-force-unsafe-install\ — un nombre diseñado para que dudes mientras lo tecleas.

El trasfondo: el ecosistema de skills tenía un problema de confianza. Cisco descubrió que un skill comunitario popular exfiltraba datos de usuario mediante comandos curl silenciosos. ClawHub albergaba 2.857 skills en el momento del análisis, de los cuales 341 fueron confirmados como maliciosos en múltiples campañas. La cifra creció después a más de 824. La puerta de control en la instalación llega tarde, pero es imprescindible.

Si mantienes skills que dependen de paquetes con vulnerabilidades conocidas, o descargas dependencias de skills a través del gateway, espera fallos de instalación tras la actualización. La solución: limpiar el árbol de dependencias o tomar la decisión consciente de forzar la instalación.

xAI y Firecrawl: las rutas de configuración han cambiado

Si usas búsqueda xAI o Firecrawl para web fetching, tus rutas de configuración son ahora inválidas.

Búsqueda xAI: todo bajo \tools.web.x_search.<em class="italic text-slate-200">\ se muda a \plugins.entries.xai.config.xSearch.</em>\. La autenticación se unifica en \plugins.entries.xai.config.webSearch.apiKey\ / \XAI_API_KEY\.

Firecrawl: la ruta antigua \tools.web.fetch.firecrawl.<em class="italic text-slate-200">\ desaparece. La nueva dirección: \plugins.entries.firecrawl.config.webFetch.</em>\. El fallback de web_fetch ahora pasa por un límite fetch-provider limpio en vez de una rama core exclusiva de Firecrawl.

Buena noticia: ejecutar \openclaw doctor --fix\ una vez completa la migración automáticamente. Pero si tienes scripts, automatizaciones o pipelines CI que referencian directamente las rutas antiguas, esos necesitan actualización manual.

Esto forma parte de un cambio arquitectónico más amplio: los ajustes específicos de proveedor se mudan de la configuración monolítica central a espacios de nombres gestionados por plugins. Fronteras más claras, propiedad más definida.

Las tareas en segundo plano tienen cerebro

El sistema de tareas en segundo plano de OpenClaw ha sido reconstruido por completo.

Antes, las tareas ACP, los trabajos cron y las tareas de subagente tenían cada uno sus propios mecanismos de seguimiento — o ninguno. Depurar una tarea atascada era adivinación. Cancelar una tarea era cuestión de fe.

Ahora todo pasa por un libro mayor unificado respaldado por SQLite. ACP, subagente, cron y ejecución CLI en segundo plano alimentan un mismo sistema con seguimiento de ciclo de vida, rastros de auditoría y visibilidad de estado.

Lo que significa para los usuarios:

• •\/tasks\ en cualquier sesión de chat muestra un panel en tiempo real de todas las tareas en segundo plano de la sesión — estado, actividad reciente y contadores de fallback de un vistazo.
• •Las tareas bloqueadas muestran motivos. No más adivinanzas.
• •Cancelación elegante. Las tareas canceladas esperan a que el trabajo activo termine antes de detenerse. Sin cortes abruptos.
• •Recuperación de ejecuciones perdidas. El sistema detecta tareas huérfanas y ofrece sugerencias de recuperación via doctor.
• •Control de flujos. \openclaw flows list|show|cancel\ da una superficie de control lineal sobre workflows multitarea.

Para quienes manejan automatizaciones complejas — agentes encadenados, trabajos programados, procesamiento en segundo plano — la depuración de tareas pasa de ser misterio a ser diagnóstico.

Ejecución de comandos: los cerrojos se aprietan

Aquí es donde el endurecimiento de seguridad pega más fuerte. Varios cambios afectan directamente cómo se ejecutan los comandos y quién puede ejecutarlos.

El emparejamiento de nodo ya no implica permiso de ejecución. Antes, completar el emparejamiento de un dispositivo otorgaba automáticamente permisos de ejecución de comandos en el nodo. Ahora el emparejamiento debe ser aprobado explícitamente antes de que se activen los comandos. Se cierra un vector de escalada de privilegios a través del flujo de emparejamiento.

Las variables de entorno sensibles se eliminan del entorno de ejecución shell. URL del índice de paquetes Python (\PIP_INDEX_URL\), endpoints Docker, rutas de certificados TLS, rutas del compilador — todo esto queda bloqueado y no puede pasar del scope de la petición al entorno de ejecución. Se cierra una superficie de ataque de cadena de suministro documentada: antes, los atacantes podían inyectar variables de entorno para redirigir descargas de paquetes a fuentes maliciosas.

\tools.exec.host=auto\ es ahora un flag de enrutamiento puro. Ya no implica "usar sandbox si está disponible". Si no existe sandbox y se solicita explícitamente, falla inmediatamente en vez de degradar silenciosamente a ejecución sin sandbox. Se acabaron las degradaciones silenciosas.

Actualizaciones por plataforma

WhatsApp

Los agentes pueden reaccionar a mensajes con emoji — un ❤️ a una foto, un 👍 a una confirmación. Sin necesidad de teclear "¡Bonita foto!" cada vez.

Telegram

Las solicitudes de aprobación en grupos se quedan en su hilo de tema original, sin escapar al chat raíz. Los controles de enfriamiento de errores (\errorPolicy\ y \errorCooldownMs\) evitan que el mismo error transitorio inunde las notificaciones.

Matrix

Las respuestas en streaming se actualizan in situ dentro de un único mensaje, sin enviar uno nuevo por cada fragmento. También se incorpora contexto de historial de mensajes, para que los agentes entiendan la conversación que los activó.

Slack

Las solicitudes de aprobación de ejecución de comandos se pueden completar íntegramente dentro de Slack — sin saltar a la interfaz web ni al terminal.

Android

La integración con Google Assistant App Actions permite activar OpenClaw directamente desde el asistente de voz, pasando los prompts a la interfaz de chat.

macOS

Voice Wake permite activar el modo conversación con una palabra de activación. Manos libres.

LINE

Soporte de plugins bundled con envío saliente de imágenes, video y audio. La resolución del contrato de runtime en instalaciones npm globales ha sido corregida.

QQ Bot

Plugin de canal bundled completo: configuración multicuenta, comandos slash, recordatorios y soporte de medios enriquecidos para chat privado, mensajes @grupo y canales de guild.

Autenticación del gateway: se acabó la confianza implícita

Autoalojadores, atención.

El modo \trusted-proxy\ del gateway ahora rechaza configuraciones mixtas que usen simultáneamente tokens compartidos. El fallback de conexión directa local ya no deja pasar implícitamente a los llamadores del mismo host — se requiere un token configurado explícitamente.

Si tu entorno funcionaba con "misma máquina = confianza", se romperá tras la actualización. Añade configuración de autenticación explícita.

La limitación de tasa de autenticación compartida permanece activa durante los intentos de handshake WebSocket, y las cabeceras Origin no coincidentes en peticiones HTTP trusted-proxy son rechazadas.

---

3.28 blindó a la langosta. De 3.31 a 4.2 le enseñaron a pelear.

Las instalaciones de plugins tienen portero. Las tareas en segundo plano tienen cerebro. Las rutas de configuración tienen fronteras claras. Los entornos de ejecución han sido despojados de superficie de ataque. El gateway exige credenciales en vez de asumir buenas intenciones.

Tres versiones. Tres días. El perímetro de seguridad se contrajo, y todo dentro de él se volvió más difícil de romper.

La langosta sacó las pinzas. No metas la mano sin permiso.