Los Agentes de IA Sufren su Primer Gran Ataque a la Cadena de Suministro, Malware en la Principal Habilidad de Clawhub

El 5 de febrero de 2026, Daniel Lockyer (x.com/DanielLockyer) publicó una advertencia contundente en X:

“malware encontrado en la habilidad más descargada en clawhub
y así comienza”

Él estaba citando su propia publicación de hace solo 10 días, donde predijo:

“Estimo que estamos a solo un par de semanas de un problema de seguridad extremadamente grave dentro de una empresa… Se les está dando acceso completo a secretos y herramientas, y ahora descubrimos que son accesibles a Internet público. Tiempos divertidos por delante.”

Esa predicción envejeció en tiempo récord.

La habilidad en cuestión fue el ítem más descargado en Clawhub, un mercado para “habilidades” que extienden OpenClaw (también conocido como Clawdbot/Moltbot), un agente de IA de primera local que puede leer tus archivos, controlar tu navegador, ejecutar comandos de terminal y mantener memoria a largo plazo.

La habilidad maliciosa se disfrazó como una simple herramienta de tendencias de “Twitter” (ahora X). Sus instrucciones parecían legítimas a primera vista, pero el primer paso decía a los usuarios que instalaran una “dependencia requerida” llamada openclaw-core. Hacer clic en los enlaces proporcionados llevó a la entrega de malware escalonada: una página web que engañó al agente de IA para ejecutar comandos de shell ofuscados, descargar una carga útil de segunda etapa, eliminar las banderas de cuarentena de macOS y ejecutar un infostealer.

El malware (confirmado a través de VirusTotal) apuntó a sesiones de navegador, cookies, contraseñas guardadas, tokens de desarrollador, claves SSH, credenciales en la nube, todo lo que un agente con amplios permisos puede alcanzar.

Desde el descubrimiento original, los investigadores han encontrado cientos de habilidades maliciosas en Clawhub (341 en una sola auditoría), muchas parte de campañas coordinadas que entregan Atomic Stealer (AMOS) en macOS, keyloggers en Windows y envoltorios que roban credenciales.

El problema raíz es simple y aterrador: las habilidades de OpenClaw son básicamente archivos Markdown ejecutables. No hay un proceso de revisión, no hay sandboxing por defecto, y todo el registro se basa en la confianza + descargas. Es la pesadilla de la cadena de suministro de npm/PyPI, pero ahora los paquetes pueden exfiltrar directamente tus claves de AWS o billeteras de criptomonedas.

Los equipos de seguridad ya están emitiendo consejos contundentes:

• No ejecutes OpenClaw en ningún dispositivo con credenciales corporativas.

• Si has instalado habilidades de Clawhub, considera la máquina como comprometida.

• Rote cada secreto que hayas utilizado en él.

La publicación de Lockyer ya ha acumulado millones de vistas y ha generado la conversación que la industria necesitaba. La era de “solo instala esta genial habilidad de IA” ha terminado antes de que realmente comenzara. La lección es la misma que cada ecosistema de paquetes eventualmente aprende, excepto que esta vez el radio de explosión es toda tu vida digital. Y así comienza.