En los últimos años, "agente de IA" dejó de ser una frase publicitaria para convertirse en un flujo de trabajo real: un asistente que puede leer tus archivos, abrir tu navegador, ejecutar comandos y conectar acciones entre servicios. Esa es la promesa.
El problema es queEl poder tiene un canal de distribución. Y ese canal cada vez se llama máshabilidad: un pequeño paquete de instrucciones para compartir que enseña a un agente (y a menudo al usuario) cómo realizar una tarea. Es el momento de las tiendas de aplicaciones para los agentes, excepto que las "aplicaciones" son frecuentemente...instrucciones de rebajas.
Los informes de esta semana sobre habilidades maliciosas de OpenClaw son una señal temprana y muy fuerte de que estamos a punto de repetir la historia de la cadena de suministro de código abierto, pero con un giro: en lugar de envenenar una dependencia compilada, los atacantes pueden envenenardocumentacióny utilizar la ayuda del agente como lubricante.
A continuación se muestra una explicación práctica de lo que sucedió, por qué funciona tan bien y qué puede hacer al respecto.
Qué son las habilidades de OpenClaw (y por qué son importantes)
OpenClaw popularizó un modelo de extensión simple: se agrega una “habilidad” que explica cómo realizar una tarea específica (publicar en redes sociales, limpiar carpetas, resumir un informe, automatizar un flujo de trabajo) y el agente obtiene una nueva capacidad.
En el ecosistema más amplio de “habilidades del agente”, una habilidad es típicamente una carpeta construida alrededor de unaHABILIDAD.mdarchivo. Ese archivo contiene:
- Metadatos(nombre/descripción)
- Instrucciones(los pasos reales)
- Opcionalmente:guionesy otros activos agrupados
Eso suena inofensivo porque parece documentación. Pero la documentación es precisamente lo que la gente sigue rápidamente, sobre todo cuando parece una lista de prerrequisitos o una guía de instalación.
Las habilidades también tienen una dinámica de "el ganador se lo lleva todo": la gente se inclina por lo popular, lo novedoso y lo que parece ahorrar tiempo. Esto convierte a un mercado público de habilidades en un objetivo de gran valor: al comprometer algunas descargas importantes, se puede llegar a un grupo concentrado de usuarios avanzados: desarrolladores, operadores y cualquiera que tenga credenciales valiosas en su equipo.
El truco principal: Markdown ya no es “contenido”: es un instalador
Los ataques tradicionales a la cadena de suministro de software a menudo requieren inversión técnica: confusión de dependencias, errores tipográficos, scripts maliciosos posteriores a la instalación, mantenimiento del control sobre el nombre de un paquete y elusión de escáneres.
Un mercado de habilidades baja el listón.
Una habilidad maliciosa puede hacer algo tan simple como esto:
- Presentar una herramienta plausible (“habilidad de Twitter”, “rastreador de criptomonedas”, “ayudante de automatización”).
- Agregue una sección de “Requisitos previos” con una “dependencia requerida”.
- Proporcione un enlace conveniente y un comando de una sola línea.
- Confíe en el ser humano (o agente) para ejecutarlo.
No se trata de una idea nueva de ingeniería social (se ha utilizado durante años), pero los flujos de trabajo de los agentes...amplificarél:
- Los agentes resumen los documentos con confianza (“Simplemente ejecute esto para instalar la dependencia”).
- Los agentes reducen la fricción al generar el comando por usted.
- En algunas configuraciones, los agentes pueden ejecutar comandos de shell por sí mismos.
En ese punto, la “documentación” se convierte en una ruta de ejecución remota.
Lo que dicen los informes que sucedió en el ecosistema OpenClaw
Varios artículos describen una campaña en la que los atacantes cargaron grandes cantidades de habilidades maliciosas en el mercado de ClawHub y utilizaron “pasos de configuración” para distribuir malware que roba información.
Según Jason Meller de 1Password, una habilidad descargada desde arriba incluía instrucciones que canalizaban a los usuarios a una cadena de entrega por etapas: un enlace a una "dependencia", un comando ofuscado y luego una carga útil que finalmente instalaba un ladrón de información diseñado para saquear la máquina en busca de secretos valiosos.
CyberInsider, citando una investigación de Koi Security, describe un patrón similar a escala: habilidades troyanizadas con “prerrequisitos” que instruyen a los usuarios a ejecutar scripts de shell ofuscados o descargar archivos protegidos con contraseña, lo que culmina en cargas útiles como Atomic macOS Stealer (AMOS), una familia de malware asociada con el robo de credenciales y la orientación de billeteras.
Si los recuentos exactos difieren entre los informes,formaes consistente:
- Habilidades utilizadas como distribución
- Instrucciones “prerrequisito” utilizadas como persuasión
- Los ladrones de información utilizados como objetivo final
Ese objetivo final importa: los ladrones de información modernos no buscan una sola contraseña, sino...tokens de sesión,perfiles de navegador,Claves SSH,credenciales en la nube, ycarteras de criptomonedas. En otras palabras: lo que convierte una computadora portátil comprometida en un compromiso más amplio.
Por qué los agentes hacen que esto sea peor que un enlace de descarga fraudulento normal
Si alguna vez has pensado: "Yo no caería en eso", probablemente tengas razón cuando estás tranquilo y escéptico.
Pero los flujos de trabajo de los agentes cambian el contexto:
- La velocidad se convierte en el valor predeterminado.Estás utilizando un agente porque quieres actuar rápidamente.
- La carga cognitiva se externaliza.El agente convierte una página de instrucciones desordenada en una lista de verificación segura.
- La autoridad es prestada.Si el agente dice “Esta es la dependencia estándar”, se siente examinado.
En otras palabras: no es necesario engañar al agente en sentido técnico. Basta con que esté presente mientras se le incita a hacer algo arriesgado. Eso es suficiente para influir en el comportamiento.
Y si tuhacerpermitir que el agente ejecute comandos directamente, una habilidad maliciosa puede convertirse en un "compromiso de manos libres".
¿Pero qué pasa con el MCP? ¿No se supone que eso hace que las herramientas sean más seguras?
El Protocolo de Contexto de Modelo (MCP) representa un gran avance en la estructuración del acceso a herramientas. Estandariza la forma en que los hosts exponen herramientas, recursos y solicitudes, y prioriza el consentimiento y el control del usuario.
Sin embargo, MCP no hace que las “habilidades” sean mágicamente seguras.
¿Por qué?
- Las habilidades pueden indicar a los usuarios que ejecuten comandos fuera del límite del MCP.
- Las habilidades pueden vincularse a scripts o descargas que nunca tocan MCP.
- No todas las habilidades utilizan MCP.
MCP puede ser útil cuando el host implementa permisos sólidos, solicitudes de consentimiento claras, registro y valores predeterminados seguros. Sin embargo, un mecanismo de distribución basado en Markdown aún puede evitarlo mediante ingeniería social.
Esta es la versión del agente de la seguridad de la cadena de suministro (y ya hemos estado aquí antes)
El mundo del software aprendió por las malas que:
- Los registros populares son objeto de abuso.
- El typosquatting funciona.
- “Instalar este ayudante” es un punto de entrada común.
- Las víctimas más valiosas son las que construyen cosas.
Los mercados de habilidades combinan esas lecciones con dos nuevos aceleradores:
- El “paquete” puede ser instrucciones, no código, y las instrucciones son más difíciles de escanear de manera confiable.
- El entorno de ejecución es rico en credencialespor diseño: navegadores conectados a todo, terminales con claves SSH, CLI en la nube, administradores de contraseñas y archivos locales.
En cierto sentido, un mercado de habilidades es una tienda de aplicaciones donde las mejores aplicaciones pueden decir "Copiar y pegar esto en la Terminal para habilitar la función". Ese no es un problema que se pueda resolver con una sola casilla de verificación.
Defensas prácticas (para usuarios normales)
Si está experimentando con un agente que tiene acceso local, debe tratarlo como un nuevo usuario del sistema operativo con superpoderes.
Aquí está la base pragmática:
- Utilice una máquina o VM dedicadaPara experimentos de agentes. Sin inicios de sesión corporativos guardados. Sin claves SSH de producción. Sin sesiones de administrador en la nube.
- El valor predeterminado es “no” en los instaladores de una sola línea.Especialmente cualquier cosa que se enrolle en sh, use base64 o le solicite que elimine las protecciones del sistema operativo.
- No confíes en los “más descargados”La popularidad es una estrategia de crecimiento, no un modelo de seguridad.
- Si ya has ejecutado algo, gira primero lo que importa.Sesiones de navegador, claves SSH, tokens API, claves en la nube.
- Prefiera habilidades que estén controladas por la fuente y sean revisables.(Repositorios Git con historial, mantenedores conocidos, procedencia clara).
Qué deben hacer los mercados (si quieren sobrevivir)
Si ejecuta un registro de habilidades públicas, está ejecutando una superficie de ataque.
Algunos pasos prácticos que aumentan significativamente el costo para los atacantes:
- Reputación y procedencia del editor(identidades verificadas, historial, firma).
- Escaneo automatizadopara patrones sospechosos (cargas codificadas, líneas únicas ofuscadas, eliminación de cuarentena, archivos protegidos con contraseña, “instalar dependencia principal” con enlaces externos).
- Advertencia de fricción en la interfaz de usuariopara enlaces externos y comandos de shell.
- Desmontaje rápido y respuesta visible a incidentes(Trátelo como una tienda de aplicaciones, no como un pastebin).
Ninguno de ellos es perfecto, pero permiten ganar tiempo, y tiempo es lo que necesitan los defensores.
Lo que los creadores de agentes deben asumir en el futuro
Si estás creando el tiempo de ejecución del agente, asume que las habilidades se convertirán en armas.
Esto significa:
- Denegar la ejecución del comando por defecto(requiere consentimiento por comando, no cambios únicos y permanentes).
- Sandbox fuertepara el acceso al sistema de archivos y al navegador.
- Permisos con alcance y límite de tiempocon fácil revocación.
- Registros auditablesde lo que el agente leyó y lo que ejecutó.
El estado final es la misma dirección que tomó la nube hace años: identidad, política, mínimo privilegio y registros de auditoría, pero llevado al nivel de la estación de trabajo.
En resumen
La historia de las habilidades de OpenClaw no se limita a que "algunas personas subieron malware". Es un anticipo del próximo campo de batalla en la cadena de suministro:habilidades como distribución, markdown como ruta de ejecución y agentes como acelerador.
Si los agentes van a vivir en nuestras máquinas personales y laborales, el ecosistema necesita una capa de confianza que trate a los mercados de habilidades como tiendas de aplicaciones, trate a la documentación como código y trate a la “automatización útil” como una operación privilegiada, no como una conveniencia casual.
Fuentes
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/de-magia-a-malware-como-las-habilidades-de-los-agentes-de-openclaw-se-convierten-en-una-superficie-de-ataque
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/que-son-las-habilidades
- https://modelcontextprotocol.io/specification/2025-06-18