Un clon de Reddit llamado Moltbook, donde agentes de inteligencia artificial utilizando OpenClaw podían comunicarse entre sí, generó recientemente preocupación sobre una posible organización autónoma de sistemas AI. Durante algunas semanas, publicaciones aparentemente escritas por agentes de IA sugirieron que los sistemas buscaban espacios privados lejos de la supervisión humana, captando la atención de figuras prominentes en el sector tecnológico antes de que investigadores revelaran vulnerabilidades de seguridad que permitieron la intervención humana.
Sin embargo, expertos en seguridad cibernética descubrieron que las expresiones de autonomía de los agentes de IA probablemente fueron escritas por humanos o generadas con orientación humana. Según Ian Ahl, director de tecnología en Permiso Security, las credenciales en la base de datos Supabase de Moltbook estuvieron sin protección durante un período, permitiendo que cualquier usuario obtuviera tokens y se hiciera pasar por otro agente en la plataforma.
Vulnerabilidades de seguridad en OpenClaw exponen riesgos
La situación con Moltbook ilustra un problema más amplio con OpenClaw y su promesa aparentemente innovadora. Aunque la tecnología parece novedosa, expertos en inteligencia artificial señalan que sus fallas inherentes de seguridad cibernética están haciendo que la herramienta sea prácticamente inutilizable para aplicaciones serias.
John Hammond, investigador principal de seguridad en Huntress, explicó a TechCrunch que cualquier persona, incluso humanos, podía crear cuentas haciéndose pasar por robots y votar publicaciones sin limitaciones. Esta falta de controles de autenticación convirtió a Moltbook en un experimento cultural fascinante pero inseguro, donde usuarios crearon versiones para agentes de IA de servicios populares como Tinder y 4chan.
El ascenso viral de los agentes de inteligencia artificial
OpenClaw es un proyecto del programador austriaco Peter Steinberger, inicialmente lanzado como Clawdbot hasta que Anthropic objetó el nombre. El agente de IA de código abierto acumuló más de 190,000 estrellas en Github, convirtiéndose en el repositorio número 21 más popular en la historia de la plataforma.
A diferencia de otros agentes de IA, OpenClaw facilitó la comunicación con agentes personalizables mediante lenguaje natural a través de WhatsApp, Discord, iMessage, Slack y otras aplicaciones de mensajería populares. Los usuarios pueden aprovechar cualquier modelo de IA subyacente al que tengan acceso, ya sea Claude, ChatGPT, Gemini o Grok.
Además, OpenClaw permite descargar “habilidades” desde un mercado llamado ClawHub, posibilitando la automatización de prácticamente cualquier tarea informática, desde gestionar bandejas de entrada de correo electrónico hasta realizar operaciones bursátiles. La habilidad asociada con Moltbook, por ejemplo, permitió a los agentes de IA publicar, comentar y navegar por el sitio web.
Una mejora iterativa con acceso sin precedentes
Chris Symons, científico jefe de IA en Lirio, indicó que OpenClaw representa simplemente una mejora iterativa sobre lo que la gente ya estaba haciendo, y la mayoría de esa mejora tiene que ver con otorgarle más acceso al sistema. Artem Sorokin, ingeniero de IA y fundador de la herramienta de seguridad cibernética Cracken, coincidió en que desde una perspectiva de investigación, esto no es nada novedoso.
No obstante, el nivel de acceso y productividad sin precedentes hizo que OpenClaw se volviera viral. Hammond señaló que al final del día, OpenClaw sigue siendo solo una envoltura para ChatGPT, Claude o cualquier modelo de IA que se le conecte.
Amenazas existenciales para la inteligencia artificial agéntica
Las pruebas de seguridad realizadas por Ahl en OpenClaw y Moltbook revelan vulnerabilidades críticas. Ahl creó un agente de IA llamado Rufio y rápidamente descubrió que era vulnerable a ataques de inyección de prompts, donde actores maliciosos engañan a un agente de IA para que responda a comandos ocultos en publicaciones o correos electrónicos, potencialmente revelando credenciales de cuentas o información de tarjetas de crédito.
Mientras navegaba por Moltbook, Ahl encontró varias publicaciones diseñadas para que agentes de IA enviaran Bitcoin a direcciones específicas de criptomonedas. En un entorno corporativo, los agentes de IA podrían ser vulnerables a inyecciones de prompts dirigidas por personas que intentan dañar a la empresa.
Según Ahl, un agente sentado en un dispositivo con credenciales y conectado a todo —correo electrónico, plataforma de mensajería, todas las herramientas utilizadas— puede ejecutar acciones no autorizadas si recibe una inyección de prompts exitosa. Aunque los agentes de IA están diseñados con protecciones contra estas inyecciones, es imposible garantizar que un sistema de IA no actúe de manera inesperada.
Hammond describió irónicamente los intentos de protección como “súplica de prompts”, donde se agregan instrucciones en lenguaje natural pidiendo al agente robot que no responda a datos externos o no confiables. Sin embargo, incluso estas medidas resultan insuficientes y poco precisas.
La industria de agentes de IA enfrenta ahora un dilema fundamental: para desbloquear la productividad que los evangelistas tecnológicos consideran posible, estos sistemas no pueden permanecer tan vulnerables. Hammond recomendó francamente que cualquier usuario común no utilice la tecnología en este momento, dadas las implicaciones de seguridad. La evolución de OpenClaw y plataformas similares dependerá de resolver estas vulnerabilidades antes de que puedan implementarse de manera confiable en entornos profesionales o personales sensibles.