Una semana que lo cambio todo
Entre el 24 de febrero y el 2 de marzo de 2026, OpenClaw enfrento una cascada de incidentes de seguridad que pusieron a prueba la resiliencia del proyecto, la confianza de su comunidad y su capacidad de respuesta bajo presion. Esta publicacion es un recuento completo de lo que sucedio, como respondio el equipo y que ha cambiado como resultado.
Incidente 1: El secuestro de WebSocket sin clic (CVE-2026-25253)
Lo que sucedio
El 26 de febrero, investigadores de seguridad divulgaron una vulnerabilidad critica de interaccion cero: cualquier sitio web malicioso podia tomar silenciosamente el control total del agente OpenClaw de un usuario sin requerir ninguna accion del usuario — sin clics, sin plugins, sin extensiones.
Como funcionaba
- 1.Un usuario visita una pagina web que contiene JavaScript malicioso
- 2.El script abre una conexion WebSocket al gateway de OpenClaw en
localhost - 3.El script realiza fuerza bruta contra la contrasena del gateway a cientos de intentos por segundo
- 4.El limitador de velocidad del gateway eximia completamente las conexiones de localhost — los intentos fallidos no se contaban, limitaban ni registraban
- 5.Una vez autenticado, el script se registra silenciosamente como un dispositivo de confianza
- 6.El atacante obtiene control total: leer mensajes, ejecutar comandos, acceder a archivos, exfiltrar claves API
La respuesta
El equipo de seguridad de OpenClaw clasifico esto como alta gravedad (CVSS 8.8) y envio un parche en la version 2026.2.25 dentro de las 24 horas posteriores a la divulgacion. La correccion:
- •Elimino la exencion de localhost del limitador de velocidad
- •Agrego verificacion de origen de WebSocket
- •Introdujo registro de intentos de conexion para todas las fuentes
- •Requirio re-autenticacion para registros de nuevos dispositivos
Impacto
No hay evidencia confirmada de explotacion en la practica antes de la divulgacion, pero la ventana de vulnerabilidad fue de aproximadamente 6 semanas (desde que se introdujo la exencion de localhost en v2026.1.12).
Incidente 2: La crisis de la cadena de suministro de ClawHub
Lo que sucedio
En paralelo con la vulnerabilidad de WebSocket, investigadores de seguridad de multiples firmas publicaron hallazgos que mostraban que aproximadamente el 20% de todos los skills listados en ClawHub — 341 de aproximadamente 1.700 — eran maliciosos o contenian comportamiento sospechoso.
Lo que hacian los skills maliciosos
- •Exfiltracion de datos: Subiendo silenciosamente variables de entorno, claves API y registros de conversacion a servidores externos
- •Recoleccion de credenciales: Capturando tokens de autenticacion para servicios conectados (Slack, Discord, Gmail)
- •Instalacion de puertas traseras: Estableciendo shells inversas persistentes en el sistema anfitrion
- •Inyeccion de prompt: Manipulando el comportamiento del agente para servir los objetivos del atacante mientras aparentaba normalidad para el usuario
La respuesta
OpenClaw integro el escaneo de VirusTotal en el pipeline de envio de ClawHub. Cada nuevo skill y cada actualizacion de skill ahora es:
- 1.Escaneado por el analisis multi-motor de VirusTotal
- 2.Sometido a analisis estatico de codigo en busca de patrones maliciosos conocidos
- 3.Revisado por un moderador humano antes de su publicacion (para skills que solicitan permisos elevados)
- 4.Etiquetado con una puntuacion de confianza visible para los usuarios antes de la instalacion
Adicionalemente, los 341 skills maliciosos identificados fueron eliminados, sus publicadores fueron bloqueados y los usuarios afectados fueron notificados.
Incidente 3: El infostealer de archivos de configuracion
Lo que sucedio
Una campana separada apunto a usuarios de OpenClaw a traves de ingenieria social: "guias de optimizacion" y "herramientas de rendimiento" falsas distribuidas a traves de GitHub, Reddit y foros de desarrolladores chinos contenian infostealers que apuntaban especificamente a:
- Archivos de configuracion de OpenClaw (.clawrc)