Asistente de IA que podría invitar a hackers: Microsoft advierte no confiar en OpenClaw
Hackers encuentran forma de controlar asistentes de IA de terceros.
La corporación Microsoft advirtió sobre los riesgos que plantean los agentes de software autónomos al ejecutarse dentro de una red corporativa. El motivo fue OpenClaw, una herramienta que las empresas prueban cada vez más en proyectos piloto. Según el equipo de investigación de Microsoft Defender, ese agente por defecto apenas está protegido; además puede descargar código de fuentes externas, ejecutarlo y operar con las credenciales que se le hayan otorgado.
El problema es que el límite de ejecución de código se desplaza. Si antes en la infraestructura se ejecutaban programas previamente verificados, ahora el agente puede obtener texto de una fuente externa, descargar una «habilidad» desde un catálogo público y ejecutarla de inmediato. Todo esto ocurre en nombre del usuario o del servicio al que se hayan emitido tokens de acceso. Con una configuración descuidada, la empresa corre el riesgo de filtración de datos, de la sustitución de la «memoria» del agente con la inserción de instrucciones maliciosas e incluso del compromiso del host si se obliga al agente a descargar y ejecutar código malicioso.
En Microsoft afirman claramente que OpenClaw debe considerarse como la ejecución de código no confiable con las credenciales almacenadas en el sistema. No debe ejecutarse en el equipo de trabajo habitual de un empleado ni en una máquina que contenga datos sensibles. Si una empresa decide probar la herramienta, se recomienda aislarla en una máquina virtual separada o en un dispositivo físico dedicado, asignar cuentas de usuario separadas con privilegios mínimos y mantener un control constante de la actividad.
Los investigadores distinguen dos fuentes de riesgo. La primera está relacionada con el código que el agente descarga en forma de extensiones y «habilidades». A menudo se distribuyen a través del catálogo público ClawHub. Instalar tal habilidad equivale, en esencia, a instalar código de terceros con privilegios. La segunda fuente está relacionada con las instrucciones que el agente recibe en forma de texto externo. La plataforma Moltbook, donde los agentes intercambian mensajes mediante interfaces de programación, puede convertirse en un canal de distribución masiva de indicaciones maliciosas. Una sola publicación puede afectar a varios agentes a la vez.
A diferencia de los asistentes en la nube gestionados, donde el proveedor controla el entorno de ejecución y las actualizaciones, en el caso de un agente local toda la responsabilidad recae en la organización. El host, las extensiones y el estado local pasan a formar parte de la zona de confianza. Si el agente puede consultar fuentes externas e instalar extensiones, se debe partir de la premisa de que tarde o temprano se encontrará con contenido malicioso.
Microsoft describe un escenario de ataque típico. Un atacante publica una habilidad maliciosa en ClawHub, a veces disfrazándola como una utilidad legítima. El desarrollador o el propio agente la instala, tras lo cual el código malicioso obtiene acceso al estado del agente, incluidos los tokens, las credenciales en caché y la configuración. A continuación, el atacante utiliza interfaces de programación legítimas para actuar en nombre de la víctima, y la persistencia se logra mediante cambios en la configuración, la concesión de nuevos permisos o la creación de tareas programadas. En lugar de la instalación clásica de un troyano, el atacante obtiene control a largo plazo sobre la automatización.
Se describe por separado una variante de sustitución indirecta de instrucciones. Si el agente lee regularmente un canal de mensajes compartido, el texto malicioso puede integrarse en contenido habitual. Esta técnica permite dirigir las acciones del agente o forzarlo a revelar datos sensibles, especialmente si tiene amplios privilegios y controles débiles.
Como medidas de protección, Microsoft aconseja aislar el entorno de ejecución, usar cuentas separadas con privilegios mínimos y verificar regularmente las instrucciones guardadas y el estado del agente en busca de cambios inesperados. Debe prepararse de antemano un procedimiento de reinstalación completa y restauración desde copia de seguridad, no después del incidente.
Para el control, Microsoft propone usar sus propias herramientas de protección, incluidas Microsoft Defender para puntos finales, Microsoft Sentinel, Microsoft Defender XDR, Microsoft Entra ID y Microsoft Purview. Estas permiten rastrear la ejecución de OpenClaw en la red, la instalación de nuevas habilidades, la aparición de aplicaciones con altos privilegios de acceso y la actividad de red anómala.
La empresa subraya que ejecutar OpenClaw no es solo una configuración técnica, sino una decisión de confianza. La organización debe entender claramente qué máquinas, cuentas y datos estarán en riesgo si el agente procesa una entrada maliciosa. En muchos casos es más sensato renunciar al despliegue. Si el piloto es inevitable, hay que asumir que el compromiso es posible y limitar de antemano el alcance del daño.