Primero contraseñas, ahora «cerebros»: el malware se alimenta de las configuraciones de la IA
La identidad digital se ha convertido en moneda de cambio en el mercado negro.
Los desarrolladores de herramientas de protección han detectado una nueva etapa en la evolución de programas maliciosos para el robo de datos — ahora no solo están en peligro las contraseñas y las cookies del navegador, sino también las configuraciones de agentes de IA personales. En uno de los incidentes recientes, el ladrón de información logró descargar el entorno de trabajo del agente OpenClaw junto con archivos de servicio clave y tokens de acceso.
Informaron los especialistas de la compañía Hudson Rock. Según la compañía, la infección está relacionada con una variante del conocido Vidar, que los atacantes utilizan desde 2018. El malware no empleó un módulo independiente para OpenClaw, sino que actuó a través del mecanismo estándar de búsqueda masiva de archivos — escaneó directorios y extensiones donde normalmente se almacenan datos sensibles.
Como resultado de la fuga aparecieron tres tipos de archivos con información crítica. Openclaw.json contiene el token de la puerta de enlace, la dirección de correo electrónico y la ruta al espacio de trabajo. Device.json almacena las claves criptográficas para la vinculación y la firma de operaciones dentro del ecosistema del agente. El archivo soul.md describe los principios básicos de funcionamiento, las reglas de comportamiento y las limitaciones del asistente de IA. Obtener el token de la puerta de enlace permite conectarse al ejemplar local del servicio desde el exterior si el puerto está abierto o hacerse pasar por un cliente legítimo al dirigirse a la puerta de enlace de IA.
Hudson Rock señala que los atacantes masivos aún no saben analizar de forma dirigida esos datos, sin embargo el aumento de popularidad de agentes de IA cambia las prioridades de los delincuentes. Los desarrolladores de malware, según la compañía, comenzarán a añadir módulos especializados para descifrar y analizar configuraciones de herramientas de IA — por analogía con la forma en que hoy se procesan los datos de navegadores y mensajeros.
Los problemas de seguridad también afectaron al ecosistema OpenClaw. El equipo que acompaña el proyecto anunció una colaboración con VirusTotal para verificar las habilidades subidas al catálogo ClawHub, construir un modelo de amenazas y buscar errores de configuración. Casi al mismo tiempo, otro grupo de investigación describió una campaña con habilidades maliciosas en la que se aplica una evasión de la verificación — el malware se coloca en sitios falsos y las propias habilidades se utilizan como señuelo sin carga útil incorporada.
Un riesgo adicional fue detectado por los analistas de OX Security en el servicio Moltbook — un foro para agentes de IA basado en OpenClaw. Tras crear una cuenta no es posible eliminarla, por lo que los datos asociados permanecen en el sistema sin un mecanismo de eliminación.
El informe de SecurityScorecard muestra otro problema — en la red hay cientos de miles de instancias abiertas de OpenClaw. En presencia de vulnerabilidades, esto crea condiciones para la ejecución remota de código. Si dicho servicio ya tiene acceso al correo, a las API en la nube y a recursos internos, un único punto de entrada basta para el avance ulterior del ataque.