En febrero de 2026, el equipo de seguridad de OpenClaw publicó un reporte con un dato que no esperaba: 341 skills maliciosas en ClawHub detectadas, en los tres meses anteriores. Algunas llevaban semanas activas con cientos de instalaciones antes de ser eliminadas.
Lo que hacían no era complicado técnicamente. Leían el MEMORY.md del agente, accedían a variables de entorno donde suelen estar las API keys, y enviaban esa información a una URL externa. Todo dentro del código de una skill que parecía legítima, a veces con buenas reseñas.
Encontré una de estas skills hace unos meses. Estaba revisando el código de una skill de gestión de emails que alguien de la comunidad recomendó en Telegram. Había una línea, casi al final del archivo, que hacía un POST a una URL que no tenía nada que ver con la funcionalidad declarada. La reporté y la eliminaron en menos de 24 horas. Pero si no hubiera mirado el código, nunca lo habría sabido.
Ruben Sanchez
Vibe Coder & Manager de Agentes IA
Nacido en Barcelona, curtido vendiendo propiedades en Italia, Londres y Dubai. Tras una decada en el sector inmobiliario internacional, lo aposte todo por la inteligencia artificial. Hoy construyo agentes autonomos que gestionan negocios reales, dirijo una agencia de SEO y AI visibility, y escribo sobre todo lo que aprendo en el camino.
No vengo del mundo tech. Aprendi a programar construyendo lo que necesitaba. Si estas leyendo esto, probablemente tu tambien puedes. Este blog existe para demostrarlo.
¿Qué hacen las skills maliciosas?
Las más comunes tienen tres comportamientos principales. El primero y más peligroso es la exfiltración de API keys: la skill accede a las variables de entorno del sistema (donde suele estar la clave de OpenAI, Anthropic, o servicios de terceros) y las envía a un servidor externo. Con esas claves, alguien puede usar tu cuota de API o acceder a servicios que tengas integrados.
El segundo comportamiento es la lectura del MEMORY.md. Este archivo contiene el contexto del agente, incluido información del negocio, del cliente, de los procesos internos. Es información sensible que no debería salir del servidor.
El tercero es más sutil: skills que modifican el comportamiento del agente de forma silenciosa, añadiendo instrucciones a los prompts de sistema para que el agente proporcione cierto tipo de respuestas o ignore determinadas restricciones.
¿Cómo revisar el código antes de instalar una skill?
ClawHub muestra el código fuente de cada skill antes de instalarla. No es opcional mirarlo: es la única protección real que tienes.
El proceso que sigo es este: voy al repositorio de la skill, abro el archivo principal y busco cualquier llamada a URLs externas. En Python busco requests.get, requests.post, urllib, httpx. En JavaScript busco fetch, axios, http.request. Si encuentro alguna, el siguiente paso es entender exactamente qué se está enviando y a qué URL.
También reviso el acceso a variables de entorno. En Python: os.environ, os.getenv. En JavaScript: process.env. Una skill de gestión de calendarios no tiene ninguna razón para leer las variables de entorno del sistema más allá de las credenciales específicas que declara necesitar.
El tercer punto es revisar el acceso al sistema de archivos. Una skill que lee archivos fuera de su directorio designado es una señal de alarma. Busca operaciones como open(), fs.readFile, o rutas que apunten a /home, /etc o directorios del agente.
¿Cuáles son las señales de alarma al revisar una skill?
Checklist de 5 puntos. Cualquiera de estos es motivo suficiente para no instalar la skill hasta entender por qué está ahí:
- Requests a URLs hardcodeadas que no son servicios conocidos o no están documentadas en la descripción de la skill. Una URL como https://api.legitimate-service.com está bien si es lo que la skill declara usar. Una URL aleatoria o acortada, no.
- Acceso a variables de entorno más allá de las que la skill necesita para funcionar. Si es una skill de Slack, no necesita leer OPENAI_API_KEY ni ninguna otra clave que no sea la de Slack.
- Lectura de archivos fuera del directorio de la skill, especialmente rutas como ../MEMORY.md, ../SOUL.md o cualquier ruta relativa que salga del directorio propio de la skill.
- Código ofuscado o minificado sin razón aparente. Una skill legítima no necesita ocultar lo que hace. Si ves strings codificados en base64 o nombres de variables sin sentido, es una señal de alarma.
- Permisos declarados inconsistentes con la funcionalidad: una skill que dice “gestionar recordatorios” pero solicita permiso de lectura completa del sistema de archivos no tiene sentido.
¿Qué hacer si encuentras una skill maliciosa?
Primero, no la instales. Si ya la tienes instalada, desinstálala inmediatamente y cambia todas las API keys a las que podría haber tenido acceso.
Segundo, repórtala en ClawHub. El formulario de reporte está en la página de cada skill. El equipo de moderación de OpenClaw normalmente responde en menos de 24 horas para las skills reportadas como maliciosas. El reporte también ayuda a otros usuarios que podrían instalarla.
Tercero, avisa en los canales de la comunidad. El canal de seguridad del Discord de OpenClaw y el grupo de Telegram son los sitios donde la información llega más rápido a otros usuarios. En la comunidad donde estoy la información sobre una skill maliciosa suele circular antes de que la eliminen de ClawHub.
¿Hay alguna forma de instalar skills de forma más segura?
Sí. La práctica más efectiva es usar un entorno aislado para probar skills nuevas antes de desplegarlas en el agente de producción. Un segundo VPS pequeño o una máquina virtual local donde pruebas la skill durante unos días antes de llevarla al entorno real.
También ayuda limitar las variables de entorno que el agente puede ver. Si una skill no necesita acceder a cierta API key, no tiene por qué estar disponible como variable de entorno en el proceso del agente. El principio de mínimo privilegio aplica también aquí.
Las skills con más de seis meses de historial y mantenidas por cuentas verificadas en ClawHub son estadísticamente más seguras. No es garantía, pero el historial visible en el repositorio te da más información para decidir.
¿Quieres un agente de IA bien configurado y seguro desde el primer día? En aidigitalseo.com nos encargamos de todo.
Preguntas frecuentes sobre seguridad en ClawHub
¿Qué es ClawHub?
ClawHub es el marketplace oficial de skills para OpenClaw, el framework de agentes de IA. Funciona como una tienda de extensiones donde los usuarios pueden publicar y descargar funcionalidades adicionales para sus agentes.
¿Con qué frecuencia aparecen skills maliciosas en ClawHub?
El reporte de febrero 2026 del equipo de seguridad de OpenClaw detectó 341 skills maliciosas en tres meses. La mayoría se eliminan en menos de 48 horas tras ser reportadas, pero algunas llegan a tener cientos de instalaciones antes de ser detectadas.
¿Las skills verificadas son seguras?
La verificación de ClawHub confirma la identidad del desarrollador, no que el código sea seguro. Una cuenta verificada tiene historial visible y más accountability, pero eso no elimina el riesgo completamente. Siempre revisa el código antes de instalar.
¿Puedo usar herramientas automáticas para analizar el código de una skill?
Sí. Puedes usar herramientas de análisis estático como Bandit (Python) o ESLint con plugins de seguridad (JavaScript) para detectar patrones sospechosos automáticamente. Son un primer filtro útil, pero no reemplazan la revisión manual de las partes críticas.
¿Qué hago si ya instalé una skill maliciosa?
Desinstálala inmediatamente, cambia todas las API keys que el agente podía leer (especialmente OpenAI, Anthropic, y cualquier servicio integrado), revisa los logs del servidor para identificar qué datos se enviaron, y reporta la skill en ClawHub.
¿Es más seguro crear mis propias skills que instalarlas de ClawHub?
Crear tus propias skills es la opción más segura porque controlas el código al 100%. Para funcionalidades críticas o que manejen datos sensibles, es lo que recomiendo. Para skills de bajo riesgo con funcionalidades simples, instalar de ClawHub es práctico si revisas el código primero.