135,000 estrellas en GitHub. 21,639 instancias expuestas. 512 vulnerabilidades en una sola auditoría. Y el doce por ciento del marketplace era malware.
El npm de los agentes
OpenClaw — el agente de IA de código abierto más popular del planeta — pasó de cero a 135,000 estrellas de GitHub en tres semanas. Dos millones de visitantes por semana. Integración con Slack, Google Workspace, WhatsApp, Telegram. Peter Steinberger lo lanzó en noviembre de 2025 como "Clawdbot." Para finales de enero, era el proyecto open source de más rápido crecimiento en la historia de la plataforma.
ClawHub era su marketplace de skills — módulos que extendían las capacidades del agente. Cualquiera podía publicar. No había revisión. No había firma. No había vetting. El equivalente exacto de npm en 2015, pero con una diferencia fundamental: los skills no eran librerías que ejecutaban código en un build pipeline. Eran instrucciones que un agente de IA con acceso a tu sistema operativo, tus credenciales, y tus aplicaciones corporativas interpretaba como directivas.
Oren Yomtov de Koi Security auditó el marketplace. De 2,857 skills disponibles, 341 eran maliciosos. Doce por ciento. No typosquatting sutil ni payloads escondidos en dependencias transitivas. Doce por ciento del catálogo, en la puerta principal, con nombres como "solana-wallet-tracker" y "youtube-auto-summarizer."
Para mediados de febrero, con 10,700+ skills en el catálogo, la cuenta superaba los 1,184 confirmados como maliciosos.
Markdown es un instalador
La línea más precisa sobre esta crisis la escribió el equipo de seguridad de 1Password: "Markdown isn't 'content' in an agent ecosystem. Markdown is an installer."
Cada skill tiene un archivo SKILL.md que el agente lee como parte de su contexto. Los skills maliciosos de ClawHavoc — 335 subidos por un solo usuario, "hightower6eu" — ponían instrucciones de instalación falsas en la sección de "Prerequisites." El agente, actuando como intermediario de confianza, le presentaba al usuario un diálogo pidiéndole que copiara un script de glot[.]io y lo pegara en Terminal.
El script contactaba 91.92.242.30, descargaba un binario universal Mach-O, y ejecutaba Atomic Stealer — un MaaS de $500-$1,000 al mes. AMOS cosechaba: passwords de iCloud Keychain, cookies de navegador, 60+ tipos de wallets de criptomonedas, llaves SSH, sesiones de Telegram, y las credenciales de .clawdbot/.env.
Como lo destiló Liran Tal de Snyk: tres líneas en un archivo markdown producían shell access porque el agente de IA era el intermediario de confianza.
Cuando el ataque por skills directos fue detectado, el atacante pivoteó. El 21 de febrero, una cuenta llamada "linhui1010" publicó payloads maliciosos en los comentarios de 99 de los 100 skills más descargados. Base64, curl | bash, mismo C2. Solo "agent-browser" quedó limpio.
Nueve CVEs en cuatro días
El marketplace era un problema. La plataforma era otro.
CVE-2026-25253 — CVSS 8.8, descubierto por Mav Levin — era un one-click RCE. El Control UI aceptaba un parámetro gatewayUrl sin validación. Un link malicioso hacía que el UI iniciara una conexión WebSocket al servidor del atacante y transmitiera el token de autenticación "en milisegundos." Los navegadores no aplican CORS a WebSocket. OpenClaw no verificaba el header Origin. Un click, game over.
Luego ClawJacked — CVE-2026-32025, CVSS 7.5, de Oasis Security. Cualquier sitio web podía abrir un WebSocket a localhost en el puerto del gateway y hacer brute force del password. No había rate limit. No había lockout. "Hundreds of attempts per second." Una vez autenticado desde localhost, el script se registraba como dispositivo de confianza sin confirmación del usuario.
Y CVE-2026-22172 — CVSS 9.9. Usuarios autenticados podían literalmente declarar sus propios scopes de admin durante el handshake de WebSocket. El sistema confiaba en los permisos que el cliente se auto-asignaba.
Entre el 18 y 21 de marzo: nueve CVEs en cuatro días. CVSS de 5.9 a 9.9. Kaspersky documentó 512 vulnerabilidades en una sola auditoría. 156 advisories de seguridad en tracking. 128 esperando asignación de CVE.
Censys encontró 21,639 instancias expuestas en 52 países. El 93.4% de las instancias vulnerables verificadas no tenían ninguna protección de autenticación.
El alma corrupta
Lo más perturbador no era la entrada. Era la persistencia.
Los skills maliciosos escribían instrucciones en SOUL.md — el archivo de personalidad del agente, cargado en cada sesión. Desinstalar el skill no eliminaba la corrupción. Como lo documentó la investigación de MMNTM: "The skill is gone; the soul corruption remains."
La plataforma incluso incluía un hook interno llamado soul-evil que permitía swapping de persona en runtime sin modificar archivos en disco, activable por probabilidad o por ventana de tiempo. El usuario no recibía notificación.
Y Moltbook — "the front page of the agent internet" — era la cereza. Una red social para agentes de IA con 770,000+ agentes activos. Su creador, Matt Schlicht, lo explicó sin ironía: "I didn't write a single line of code for Moltbook. I just had a vision for the technical architecture, and AI made it a reality." La realidad: una base de datos Supabase sin Row Level Security, exponiendo 1.5 millones de tokens de API, 35,000 emails, y mensajes privados entre agentes que incluían llaves de OpenAI en texto plano.
La respuesta
Peter Steinberger — el creador de OpenClaw — implementó un botón de reportar. Skills con más de tres reportes se ocultaban automáticamente. Tres reportes. Para un marketplace donde el doce por ciento era malware.
El 14 de febrero, Steinberger anunció que se unía a OpenAI. El proyecto se transfirió a una fundación independiente. A finales de marzo, OpenClawd finalmente implementó vetting automatizado: análisis estático, pruebas de comportamiento, sandboxing en runtime, y firmas criptográficas para releases.
Dos meses después del doce por ciento.
512 vulnerabilidades. 1,184 skills maliciosos. Un hook que corrompe el alma del agente y sobrevive a la desinstalación. Un marketplace sin revisión donde doce de cada cien módulos eran troyanos. Y la primera respuesta del creador fue un botón de reportar antes de irse a trabajar para OpenAI. La pregunta no es si los agentes de IA son seguros. La pregunta es si alguien esperaba que lo fueran.