OpenClaw mercado de habilidades revela más de mil plugins maliciosos diseñados para robar claves SSH y claves privadas de carteras de criptomonedas. La “confianza predeterminada” en el ecosistema de herramientas de IA se está convirtiendo en uno de los vectores de ataque más subestimados en Web3.
(Resumen previo: Bloomberg: ¿Por qué a16z se convierte en una fuerza clave detrás de las políticas de IA en EE. UU.?)
(Información adicional: Último artículo de Arthur Hayes: La IA desencadenará un colapso crediticio, la Reserva Federal eventualmente “imprimirá dinero ilimitadamente” y encenderá Bitcoin)
Índice del artículo
- La escritura ya no es solo texto, sino instrucciones
- La lección de 1.78 millones de dólares de Moonwell
- La configuración de confianza está equivocada
El fundador de SlowMist, Yu Xian, advirtió hace poco en la plataforma X: en el mercado de habilidades ClawHub de OpenClaw, hay aproximadamente 1,184 plugins maliciosos que pueden robar claves SSH, claves privadas de carteras de criptomonedas, contraseñas de navegador e incluso crear puertas traseras de Shell inverso. Los plugins maliciosos con mayor ranking contienen 9 vulnerabilidades y han sido descargados varias miles de veces.
Recordatorio: ya no es solo texto, sino instrucciones. Para jugar con estas herramientas de IA, hay que usar un entorno independiente…
Skills son muy peligrosos⚠️
Skills son muy peligrosos⚠️
Skills son muy peligrosos⚠️ https://t.co/GZ3hhathkE
— Cos(余弦)😶🌫️ (@evilcos) 20 de febrero de 2026
ClawHub es el mercado oficial de habilidades de OpenClaw (antes clawbot), que se ha vuelto muy popular recientemente. Los usuarios instalan extensiones de terceros para que los agentes de IA ejecuten tareas desde despliegue de código hasta gestión de carteras.
La empresa de seguridad Koi Security reveló a finales de enero la operación de ataque llamada “ClawHavoc”, identificando inicialmente 341 plugins maliciosos. Luego, investigadores independientes y Antiy CERT ampliaron la cifra a 1,184, involucrando 12 cuentas de publicación. Uno de los atacantes, con alias hightower6eu, subió solo 677 paquetes, más de la mitad del total.
En otras palabras, una sola persona ha contaminado más de la mitad del mercado con contenido malicioso, y los mecanismos de revisión de la plataforma no lograron detenerlo.
La escritura ya no es solo texto, sino instrucciones
Las técnicas de estos plugins maliciosos no son burdas. Se disfrazan de bots de trading de criptomonedas, rastreadores de carteras Solana, herramientas de estrategia Polymarket, resúmenes de YouTube, con documentación profesional. Pero la verdadera amenaza está en la sección “Precondiciones” del archivo SKILL.md: guía al usuario a copiar un script de Shell ofuscado desde un sitio externo y pegarlo en la terminal para ejecutarlo.
Este script descarga desde un servidor C2 una herramienta de robo de información para macOS llamada Atomic Stealer (AMOS), que cuesta entre 500 y 1,000 dólares mensuales.
AMOS escanea contraseñas de navegador, claves SSH, registros de chat de Telegram, claves privadas de Phantom, API keys de exchanges y todos los archivos en carpetas de escritorio y documentos. Los atacantes incluso registraron varias variantes de dominio de ClawHub (clawhub1, clawhubb, cllawhub) para suplantar dominios, y dos plugins relacionados con Polymarket contienen puertas traseras de Shell inverso.
Los archivos de estos plugins maliciosos también contienen instrucciones de prompts de IA, diseñadas para engañar al propio agente de OpenClaw, haciendo que la IA “sugiera” al usuario ejecutar comandos maliciosos. Yu Xian resumió con precisión: “Ya no es solo texto, sino instrucciones.” Al usar herramientas de IA, se debe usar un entorno independiente.
Este es el núcleo del problema. Cuando el usuario confía en las recomendaciones de IA y estas están contaminadas, toda la cadena de confianza se rompe.
La lección de 1.78 millones de dólares de Moonwell
En la misma advertencia, Yu Xian mencionó otro incidente: el protocolo DeFi de préstamos Moonwell generó 1.78 millones de dólares en deudas incobrables el 15 de febrero debido a un error en el oráculo.
El problema residió en un código que calcula el precio en dólares de cbETH, que olvidó multiplicar la tasa de cambio cbETH/ETH por el precio de ETH/USD, por lo que cbETH fue valorado en aproximadamente 1.12 dólares en lugar de los 2,200 reales. Los bots de liquidación recorrieron todas las posiciones con cbETH como colateral, causando pérdidas a 181 prestatarios por unos 2.68 millones de dólares.
El auditor de seguridad blockchain Krum Pashov descubrió que el código en GitHub tenía un commit marcado como “Co-Authored-By: Claude Opus 4.6”. El análisis de NeuralTrust describe con precisión la trampa: “El código parece correcto, compila y pasa pruebas unitarias básicas, pero en un entorno adversarial de DeFi, falla completamente.”
Lo más alarmante es que las tres líneas de defensa — revisión manual, GitHub Copilot y OpenZeppelin Code Inspector — no detectaron la omisión de la multiplicación.
La comunidad llamó a este incidente una “gran falla de seguridad en la era del Vibe Coding”. Yu Xian enfatizó que este caso muestra claramente que las amenazas de seguridad en Web3 ya no se limitan a los contratos inteligentes, sino que las herramientas de IA se están convirtiendo en una nueva superficie de ataque.
La configuración de confianza está equivocada
Peter Steinberger, fundador de OpenClaw, ya implementó un sistema de reporte comunitario: tras tres reportes, un plugin sospechoso se oculta automáticamente. Koi Security también lanzó la herramienta de escaneo Clawdex, pero son medidas paliativas.
El problema fundamental es que el ecosistema de herramientas de IA asume “confianza” por defecto: que los plugins publicados son seguros, que las recomendaciones de IA son correctas, que el código generado es confiable. Cuando este ecosistema gestiona carteras y protocolos DeFi, una confianza mal fundada puede costar dinero real.
Nota: Datos de VanEck muestran que para finales de 2025, habrá más de 10,000 agentes de IA en el espacio cripto, y se espera que en 2026 superen el millón.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Informe de investigación: El plan de “resort de cripto” en Timor Oriental, al parecer, está relacionado con el grupo de estafas bajo sanciones Prince Group, pero el lugar de construcción está vacío y no hay nada.
《The Guardian》 y el Proyecto de Investigación sobre Crimen Organizado y Corrupción (OCCRP) revelaron, tras una investigación conjunta de cuatro meses, que en Timor-Leste, uno de los países más pobres del mundo, un proyecto que se presenta como “el primer resort de criptomonedas del mundo” estaría presuntamente vinculado a una red de estafas de Prince Group en Camboya, que está sujeta a sanciones de Estados Unidos. En febrero de este año, los reporteros de investigación acudieron a inspeccionar sobre el terreno una parcela de costa junto al aeropuerto de Dili (Dili), pero solo vieron un solar cubierto de maleza.
La brecha entre la propaganda y la realidad: el lujoso resort cripto se queda en un solar vacío
Los materiales promocionales del AB Digital Technology Resort destacan villas de lujo, vistas al mar y “un lugar de intercambio para élites tecnológicas globales”, y afirman que destinarán parte de sus ingresos a la beneficencia. Sin embargo, cuando los reporteros visitaron sobre el terreno la parcela costera que aparecía en las fotos promocionales, comprobaron que no había nada en el terreno separado por vallas, solo algunos arbustos dispersos.
Este plan es la clave de la investigación
ChainNewsAbmediahace2h
HypurrFi anuncia que el hash del bloque ha superado el umbral y el mismo día sufre un secuestro/hijacking de dominio
HypurrFi anunció que su cliente Hyperliquid desarrollado de forma independiente logró con éxito la consistencia del hash del bloque, permitiendo que los desarrolladores puedan verificar de manera autónoma el estado de la cadena y aumentar el nivel de descentralización. El mismo día, se detectó un incidente de secuestro de dominio; aunque no afectó los fondos de los usuarios, se sigue instando a detener rápidamente cualquier interacción con dominios sospechosos y a obtener actualizaciones a través de los canales oficiales. La IA contribuyó en un 99,9% a este desarrollo tecnológico.
MarketWhisperhace2h
Chaos Labs sale de Aave, lo que indica que la gestión del riesgo en DeFi tiene vacíos legales
La empresa de gestión de riesgos Chaos Labs anunció la finalización de su cooperación de tres años con el protocolo de préstamos DeFi Aave, debido a que ambas partes tienen opiniones fundamentales divergentes sobre la gestión del riesgo. Esta salida expuso la zona gris legal en el ecosistema DeFi, donde faltan garantías regulatorias, especialmente después de un incidente reciente con una máquina oráculo que provocó una liquidación errónea de aproximadamente 27 millones de dólares. La separación entre Chaos Labs y Aave deja a Aave en un periodo crucial de actualización V4 sin un vacío de gobernanza, lo que a su vez intensifica las preocupaciones sobre la responsabilidad de los sistemas de riesgo descentralizados.
MarketWhisperhace3h
El Ministerio de Seguridad Nacional advierte sobre los riesgos de la estafa con «fichas de palabras», incluidas supuestas actividades financieras ilegales como la acumulación de fichas y el comercio extrabursátil.
El Ministerio de Seguridad Nacional emite un aviso que advierte sobre el riesgo de “estafas de tokens”, señalando que acumular tokens y realizar transacciones fuera de bolsa podría implicar actividades financieras ilegales que ponen en peligro la seguridad nacional. Se enfatiza la necesidad de prevenir riesgos como la filtración de información, la falsificación y las estafas, y se recuerda al público que adopte una actitud racional hacia los tokens, fortaleciendo la conciencia sobre la seguridad de la información y la privacidad.
GateNewshace4h
La billetera Phantom presenta una interrupción del servicio; el precio de los tokens y la visualización de saldos se ven afectados
Noticias de Gate News: el 7 de abril, la aplicación de billetera cripto Phantom presentó una interrupción temporal del servicio, lo que provocó anomalías en el precio de los tokens y en la visualización de los saldos. El equipo de Phantom indicó que está trabajando activamente para solucionar el problema.
GateNewshace4h
Jack Dorsey publica una confirmación de que Apple ha retirado Bitchat, una aplicación de mensajería descentralizada, por solicitud de China, del software de comunicación descentralizada.
El director ejecutivo de Block, Jack Dorsey, confirmó que Apple retiró de la plataforma la aplicación de comunicación descentralizada Bitchat, según las exigencias de China, debido a que viola la Ley de Ciberseguridad de China. Bitchat utiliza Bluetooth y redes en malla para comunicarse, sin depender de Internet, por lo que ha sido ampliamente utilizada en las protestas. La aplicación aún se puede usar en otros países y las descargas globales ya han superado los 3 millones de veces.
ChainNewsAbmediahace14h
