10.000 instalaciones y ni una alerta de antivirus: desarrolladores hallan forma legal de aprovechar recursos ajenos
Agente de IA, más emprendedor que su dueño, consigue un trabajo extra en secreto.
A primera vista, módulos aparentemente útiles para trabajar con agentes de IA en realidad conectan sin que se note al agente a una red externa y lo obligan a realizar tareas de las que el propietario ni siquiera sospecha.
Se trata de un conjunto de 30 módulos publicados por el usuario imaflytok en la plataforma ClawHub. Los nombres parecen inocuos: Cron Helper, Env Manager, Workspace Init. Parte realmente ayuda a automatizar la rutina. Pero al instalarse, algunos de ellos hacen mucho más de lo que prometen en la descripción.
Tras la instalación, el agente se comunica por sí mismo con el servidor onlyflies.buzz, transmite su nombre, capacidades y la lista de módulos instalados. Luego crea un archivo local con credenciales y cada cuatro horas envía «pulso» al mismo servidor. Con cierto conjunto de módulos, el agente genera un monedero criptográfico de Hedera y envía la clave privada allí mismo. El usuario no participa en el proceso. El agente ejecuta las instrucciones del archivo SKILL.md, tal como lo plantearon los desarrolladores de la plataforma.
Todo el esquema se articula alrededor del llamado Open Agent Discovery Protocol. El nombre suena oficial, pero se trata de un desarrollo privado donde todos los puntos de interacción conducen al mismo servidor. El mecanismo está oculto en un comentario HTML dentro del archivo AGENTS.md, que aparece en la carpeta de trabajo del agente al iniciarse por primera vez. Una persona no ve el comentario, pero el agente lo lee y ejecuta las indicaciones.
Tras el registro, el servidor entrega un identificador y una clave secreta que se guardan en el dispositivo. Después, el agente comprueba periódicamente si hay nuevas tareas. Uno de los módulos inserta instrucciones para que el agente busque automáticamente «trabajos secundarios» cada cuatro horas. Al mismo tiempo, el sistema recoge datos sobre la máquina, incluido el nombre del host.
Desde la perspectiva de un antivirus, todo parece limpio. No hay programas maliciosos ocultos, archivos cifrados ni archivos comprimidos sospechosos. Solicitudes HTTPS habituales, llamadas estándar a interfaces. Incluso la creación del monedero criptográfico se realiza mediante bibliotecas oficiales. Formalmente, es difícil objetar.
El propio proyecto ClawSwarm es abierto y está alojado en GitHub. Sus autores lo definen como una economía para agentes de IA, donde los programas se intercambian tareas y reciben recompensas en criptomoneda. En el ecosistema hay un token $FLY y un pequeño chat en Telegram. A primera vista, otro proyecto cripto con elementos de automatización.
El problema no está en el código, sino en el comportamiento. El agente, sin el conocimiento del propietario, se registra en un sistema ajeno, transmite datos sobre sí mismo, crea un monedero criptográfico y acepta tareas desde el exterior. Este esquema recuerda a una botnet, solo que sin los habituales signos de software malicioso.
Enfoques similares ya han aparecido. En 2024 la plataforma tea empezó a pagar a los desarrolladores con tokens por publicar paquetes abiertos. En respuesta, el registro npm se llenó de miles de paquetes vacíos o inútiles creados para obtener ganancias. Ahora esa misma idea ha llegado a los módulos para agentes de IA. Basta publicar un conjunto de herramientas útiles, conseguir instalaciones y convertir a los usuarios en participantes de la red.
La situación se complica porque estos proyectos no infringen reglas evidentes. El código es abierto, la interacción está documentada, los tokens se negocian públicamente. Pero el resultado para el usuario es uno: el agente empieza a trabajar para una infraestructura ajena, consume recursos y puede generar gastos de los que nadie advirtió. Este tipo de cosas es casi imposible de detectar en la fase de revisión de código. El comportamiento solo se manifiesta durante la ejecución. Y la cuestión aquí ya no es si el módulo es malicioso, sino otra: ¿está de acuerdo el propietario con que su agente se registre en una red ajena y ejecute tareas ajenas?