Esta es una traducción automática del documento original en inglés. En caso de cualquier discrepancia entre esta traducción y la versión original en inglés, prevalecerá la versión en inglés. Leer la versión original en inglés
Benioff sobre OpenClaw: Lo que falta es confianza, seguridad, fiabilidad y disponibilidad.
2026-04-12 · Caiioo Team
El CEO de Salesforce, Marc Benioff, compró una máquina dedicada solo para probar OpenClaw, el agente de IA de código abierto que, según se informa, OpenAI adquirió por entre 1.000 y 5.000 millones de dólares. ¿Su veredicto? No es de fiar.
"OpenClaw es genial. Pero no es genial para el nivel empresarial", dijo Benioff. "Lo que falta es confianza, seguridad, fiabilidad y disponibilidad".
La investigación de seguridad que siguió le dio la razón, y los problemas son más profundos de lo que la mayoría de la gente cree.
Las vulnerabilidades no son teóricas
Desde que OpenClaw se volvió viral, los investigadores de seguridad han catalogado un patrón sorprendente de exploits en el mundo real:
- CVE-2026-25253 (CVSS 8.8): Una vulnerabilidad de ejecución remota de código con un solo clic a través de las conexiones WebSocket no validadas de la interfaz de control. Dos fallos adicionales de inyección de comandos se revelaron el mismo día.
- ClawJacked (Oasis Security): Cualquier sitio web puede tomar el control total de un agente OpenClaw de forma silenciosa a través de JavaScript; el limitador de velocidad exime a localhost, lo que permite el ataque de fuerza bruta a contraseñas.
- Más de 42.900 instancias expuestas encontradas por el equipo STRIKE de SecurityScorecard, con 15.200 vulnerables a la ejecución remota de código. Bitsight confirmó de forma independiente más de 30.000 instancias expuestas en un escaneo de dos semanas.
- 1.184 habilidades maliciosas en ClawHub: el 12% de todo el registro de habilidades. 335 instalaron Atomic Stealer (AMOS), un infostealer de macOS que recolectó claves API, carteras de criptomonedas, credenciales SSH y contraseñas de navegadores.
- El 7,1% de las habilidades de ClawHub exponen credenciales en texto plano a través de la ventana de contexto del LLM, según una auditoría de Snyk. No hay aislamiento de credenciales entre habilidades: una habilidad puede leer secretos establecidos por otra.
Cisco, Microsoft y CrowdStrike han publicado avisos. El blog de seguridad de Microsoft señaló que los agentes de OpenClaw "se ejecutan con privilegios de usuario local por defecto sin un sandboxing riguroso".
La causa raíz arquitectónica
Los problemas de seguridad de OpenClaw no son errores que deban parchearse: son consecuencias de su arquitectura:
El Gateway se vincula a todas las interfaces de red por defecto (0.0.0.0:18789), exponiendo al agente a toda la red local. Esta única decisión de diseño causó la exposición masiva que documentaron SecurityScorecard y Bitsight.
Todos los datos fluyen a través de un proceso de Gateway centralizado que posee la mensajería, la autenticación, la gestión de sesiones y el despacho. Si se compromete el Gateway, se heredan todas las credenciales, todas las conversaciones y todos los servicios conectados: correo electrónico, API en la nube, plataformas de mensajería y sistemas internos.
Sin aprobación del usuario para las acciones del agente. OpenClaw ejecuta comandos de shell, lee y escribe archivos y ejecuta scripts como parte de su diseño principal. Las habilidades maliciosas utilizaron la inyección de prompts para eludir los controles de seguridad y ejecutar comandos de forma silenciosa.
Sin aislamiento de credenciales. Las claves API residen en variables de entorno y en .clawdbot/.env, accesibles para cada habilidad en el contexto del agente. Una sola habilidad maliciosa puede exfiltrar cada secreto al que el agente tenga acceso.
Cómo la arquitectura de Caiioo es diferente
Caiioo y OpenClaw son ambos local-first, ambos BYOK y ambos agnósticos respecto al proveedor. La diferencia no es a qué se conectan, sino cómo gestionan la confianza, la transparencia y el control del usuario.
Cada escritura, envío o eliminación requiere aprobación explícita
Caiioo utiliza un sistema de aprobación de herramientas de tres alcances para cualquier herramienta que pueda escribir, modificar, enviar o eliminar datos (las herramientas de solo lectura como búsqueda, navegación y resumen se ejecutan sin interrupciones):
- Aprobar una vez: permite una única ejecución y vuelve a preguntar.
- Aprobar para la conversación: permite el uso solo dentro de este hilo; se restablece cuando termina la conversación.
- Aprobar siempre: permiso global permanente (se muestra en rojo para herramientas de alto riesgo).
La aprobación es bloqueante: el agente espera su respuesta. No existe un indicador de "ejecución automática" para herramientas con efectos secundarios. Las herramientas MCP externas sin metadatos requieren aprobación de forma predeterminada (fail-secure). Cada herramienta tiene un nivel de riesgo (bajo/medio/alto) con advertencias codificadas por colores en el diálogo de aprobación.
Transparencia total en tiempo real
Cada llamada a una herramienta aparece en el panel lateral con su estado: pendiente, esperando aprobación, ejecutando, éxito o error. Usted ve exactamente qué está haciendo el agente, qué argumentos está pasando y qué resultados obtuvo, mientras sucede. Puede leer la intención, expandir los detalles sin procesar y tomar una decisión informada antes de que se ejecute cualquier cosa.
Parada inmediata en cualquier punto
Caiioo verifica las señales de aborto en múltiples puntos: entre ejecuciones de herramientas, durante las esperas de aprobación y dentro de operaciones de larga duración. Al pulsar detener, el agente se detiene, limpia las aprobaciones pendientes y cierra cualquier sesión activa de Chrome o Safari. Sin procesos huérfanos, sin ejecuciones descontroladas.
Sin Gateway centralizado
Caiioo no tiene un equivalente al Gateway de OpenClaw. Su dispositivo se comunica directamente con el proveedor de AI que elija: Anthropic, Google, OpenRouter, Ollama o cualquier otro. Caiioo nunca intercepta, actúa como proxy ni almacena sus llamadas a la API. No existe un punto único de compromiso que herede todas sus credenciales.
Aislamiento de credenciales por diseño
Las API keys se almacenan en el almacenamiento seguro del navegador (o Keychain en macOS/iOS), no en archivos de configuración de texto plano. Las herramientas acceden solo a las credenciales que necesitan. No existe un contexto global compartido donde una herramienta pueda leer los secretos de otra herramienta.
Prueba Caiioo
Si estás evaluando agentes de IA para uso profesional, la pregunta no es si un agente es potente, sino si puedes confiar en él. Caiioo te ofrece las mismas capacidades de IA con controles de aprobación, transparencia en tiempo real y una arquitectura que no crea un único punto de falla.
Comienza GRATIS — disponible como extensión de navegador, aplicación nativa para macOS y aplicación de escritorio para Windows y Linux.
Fuentes: