La rápida adopción de asistentes de IA como OpenClaw está superando las medidas de seguridad, dejando a las organizaciones vulnerables a las infracciones. A principios de 2026, se estaban ejecutando más de 500.000 instancias de OpenClaw sin control centralizado ni mecanismo de apagado de emergencia. Esta falta de supervisión ya ha llevado a un caso confirmado en el que se vendió una instancia de OpenClaw de un CEO en BreachForums, con datos confidenciales, credenciales y acceso en tiempo real.
El problema central es la autonomía: a los agentes de IA se les conceden permisos que superan con creces los otorgados a los empleados humanos, ignorando los principios de confianza cero. OpenClaw se ejecuta localmente con acceso completo a archivos, redes y aplicaciones, y almacena datos en formato de texto sin cifrar. Esto facilita a los atacantes extraer información valiosa, incluidas sesiones de SSO, claves API y detalles financieros personales.
La magnitud del problema:
- Los casos se dispararon de 6.300 a casi 500.000 en sólo unos meses.
- Tres vulnerabilidades críticas (CVE-2026-24763, CVE-2026-25157, CVE-2026-25253) siguen sin parchearse en la mayoría de los sistemas debido a la falta de gestión centralizada.
- CrowdStrike detecta más de 160 millones de instancias únicas de IA en su base de clientes, y las “habilidades” maliciosas como ClawHavoc se convierten en un importante riesgo para la cadena de suministro.
La incapacidad de observar, orientar, decidir y actuar (el ciclo OODA) es crítica. La mayoría de las organizaciones ni siquiera pueden identificar qué herramientas de IA se están ejecutando en sus redes, lo que permite que la IA en la sombra prolifere sin control. La lista de BreachForums demuestra el resultado: un centro de inteligencia centralizado para atacantes, al que se puede acceder a través del asistente de un CEO comprometido.
Respuestas de los proveedores y la necesidad de control:
Cisco, Palo Alto Networks y Cato Networks han comenzado a lanzar herramientas para abordar el problema. Cisco lanzó DefenseClaw, un marco de código abierto para escaneo de seguridad dentro del tiempo de ejecución OpenShell de NVIDIA. Palo Alto Networks presentó Prisma AIRS 3.0 con registro agente y monitoreo del tiempo de ejecución. Cato CTRL proporciona validación adversaria a través de su brazo de inteligencia de amenazas. Sin embargo, el problema central persiste: no hay un interruptor de apagado en toda la flota.
Elementos de acción inmediata:
- Descubrir: Utilice herramientas de detección de puntos finales (CrowdStrike, Cato, Cisco) o búsquedas manuales de archivos (
~/.openclaw/) para identificar todas las instancias. - Parchear/Aislar: Abordar CVE o aislar sistemas no parcheables.
- Habilidades de auditoría: Elimine cualquier habilidad de fuentes no verificadas.
- Haga cumplir DLP/ZTNA: Restrinja las aplicaciones de IA no autorizadas con prevención de pérdida de datos y controles de acceso a la red de confianza cero.
- Elimine a los agentes fantasma: Mantenga un registro de todos los agentes de IA, justifique su uso y revoque las credenciales de aquellos que no tengan un propósito comercial legítimo.
La situación actual es insostenible. Las organizaciones deben recuperar el control sobre las implementaciones de agentes de IA antes de que se produzcan más filtraciones de datos.
La velocidad a la que se adoptan y despliegan los agentes de IA es una amenaza en sí misma, pero la falta de implementación de controles de seguridad básicos significa que los riesgos solo empeorarán.
