Tus desarrolladores ya están ejecutando OpenClaw en casa. Censys rastreado el agente de IA de código despejado de aproximadamente 1.000 instancias a más de 21.000 públicamente implementaciones expuestas en menos de una semana. La telemetría GravityZone de Bitdefender, extraída específicamente de entornos empresariales, confirmó el patrón que temían los líderes de seguridad: empleados que implementan OpenClaw en máquinas corporativas con comandos de instalación de una sola bisectriz, que otorgan a los agentes autónomos ataque al shell, privilegios del sistema de archivos y tokens OAuth para Slack, Gmail y SharePoint.

CVE-2026-25253una descompostura de ejecución remota de código con un solo clic con calificación CVSS 8.8, permite a los atacantes robar tokens de autenticación a través de un único enlace zorro y alcanzar un compromiso total de la puerta de enlace en milisegundos. Una vulnerabilidad de inyección de comando separada, CVE-2026-25157permitía la ejecución de comandos arbitrarios a través del compensador SSH de macOS. Un observación de seguridad de 3.984 habilidades en el mercado de ClawHub encontró que 283, aproximadamente el 7,1% de todo el registro, contienen fallas de seguridad críticas que exponen credenciales confidenciales en texto sin formato. y un auditoría separada de Bitdefender descubrió que aproximadamente el 17% de las habilidades que analizó mostraban un comportamiento claramente zorro.

La exposición de las credenciales se extiende más allá del propio OpenClaw. Los investigadores de Wiz descubrieron que Moltbook, la red social de agentes de IA construida sobre la infraestructura OpenClaw, dejó toda su saco de datos Supabase accesible públicamente sin seguridad de nivel de fila habilitada. La infracción expuso 1,5 millones de tokens de autenticación API, 35.000 direcciones de correo electrónico y mensajes privados entre agentes que contenían claves API OpenAI en texto sin formato. Un único error de configuración le dio a cualquier persona con un navegador ataque completo de repaso y escritura a todas las credenciales de agente en la plataforma.

Las guías de configuración dicen que compre una Mac Mini. La cobertura de seguridad dice que no lo toques. Nadie de los dos le da al líder de seguridad un camino controlado cerca de la evaluación.

Y vienen rápido. La aplicación Codex de OpenAI alcanzó 1 millón de descargas en su primera semana. meta ha sido prueba detectada de integración de OpenClaw en el código saco de su plataforma de IA. Una startup señal ai.com gastó 8 millones de dólares en un anuncio del Super Bowl para promover lo que resultó ser un contenedor de OpenClaw, semanas luego de que el esquema se volviera virulento.

Los líderes de seguridad necesitan un camino intermedio entre ignorar OpenClaw e implementarlo en hardware de producción. Entorno Moltworker de Cloudflare proporciona uno: contenedores efímeros que aíslan al agente, almacenamiento R2 enigmático para un estado persistente y autenticación Zero Trust en la interfaz de suministro.

Por qué las pruebas locales crean el peligro que se supone que debe evaluar

OpenClaw opera con todos los privilegios de su adjudicatario huésped. Camino a la concha. Ojeada/escritura del sistema de archivos. Credenciales OAuth para cada servicio conectado. Un agente comprometido hereda todo instantáneamente.

El investigador de seguridad Simon Willison, quien acuñó el término. "inyección rápida," describe lo que él pasión “Trifecta mortífero” para agentes de IA: ataque a datos privados, exposición a contenido no confiable y capacidades de comunicación externa combinadas en un solo proceso. OpenClaw tiene los tres, y por diseño. Los firewalls organizacionales ven HTTP 200. Los sistemas EDR monitorean el comportamiento del proceso, no el contenido semántico.

Una inyección rápida incrustada en una página web resumida o en un correo electrónico reenviado puede desencadenar una filtración de datos que parece idéntica a la actividad regular del adjudicatario. Los investigadores de Giskard demostraron exactamente esta ruta de ataque en enero, explotando el contexto de sesión compartido para resumir claves API, variables de entorno y credenciales a través de canales de correo.

Para empeorar las cosas, la puerta de enlace OpenClaw se une a 0.0.0.0:18789 de forma predeterminadaexponiendo su API completa a cualquier interfaz de red. Las conexiones de localhost se autentican automáticamente sin credenciales. Implemente detrás de un proxy inverso en el mismo servidor y el proxy colapsará completamente el término de autenticación, reenviando el tráfico forastero como si se originara localmente.

Los contenedores efímeros cambian las matemáticas

Cloudflare lanzó Moltworker como una implementación de narración de código despejado que desacopla el cerebro del agente del entorno de ejecución. En oportunidad de ejecutarse en una máquina de la que usted es responsable, la método de OpenClaw se ejecuta adentro de Cloudflare Sandbox, una micro-VM efímera y aislada que muere cuando finaliza la tarea.

Cuatro capas componen la edificio. Un trabajador de Cloudflare en el borde maneja el enrutamiento y el proxy. El tiempo de ejecución de OpenClaw se ejecuta adentro de un contenedor apartado que ejecuta Ubuntu 24.04 con Node.js. El almacenamiento de objetos R2 maneja la persistencia cifrada entre reinicios de contenedores. Cloudflare Access aplica la autenticación Zero Trust en cada ruta a la interfaz de suministro.

La contención es la propiedad de seguridad que más importa. Un agente secuestrado mediante inyección rápida queda atrapado en un contenedor temporal sin ataque a su red regional ni a sus archivos. El contenedor muere y la superficie de ataque muere con él. No hay cero persistente de lo que doblar. No hay credenciales en el directorio ~/.openclaw/ de su computadora portátil corporativa.

Cuatro pasos para un sandbox en funcionamiento

Poner en marcha una instancia de evaluación segura lleva una tarde. No se requiere experiencia previa en Cloudflare.

Paso 1: configurar el almacenamiento y la facturación.

Una cuenta de Cloudflare con un plan Workers Paid ($5/mes) y una suscripción R2 (nivel tirado) lo cubre. El plan Workers incluye ataque a Sandbox Containers. R2 proporciona persistencia cifrada para que el historial de conversaciones y los emparejamientos de dispositivos sobrevivan a los reinicios del contenedor. Para una evaluación de seguridad pura, puede prescindir R2 y ejecutar de forma completamente efímera. Los datos desaparecen con cada reinicio, que puede ser exactamente lo que desea.

Paso 2: suscitar tokens e implementar.

Clonar el repositorio de trabajadores moltinstale dependencias y establezca tres secretos: su secreto API de Anthropic, un token de puerta de enlace generado aleatoriamente (openssl rand -hex 32) y, opcionalmente, una configuración de Cloudflare AI Gateway para enrutamiento de maniquí independiente del proveedor. Ejecute npm ejecutar implementar. La primera solicitud activa la inicialización del contenedor con un comienzo en frío de uno a dos minutos.

Paso 3: habilite la autenticación Zero Trust.

Aquí es donde el sandbox difiere de cualquier otra recorrido de implementación de OpenClaw. Configure Cloudflare Access para proteger la interfaz de adjudicatario del administrador y todas las rutas internas. Configure el dominio de su equipo de Access y la rótulo de audiencia de la aplicación como secretos de Wrangler. Redistribuir. Ingresar a la interfaz de control del agente ahora requiere autenticación a través de su proveedor de identidad. Ese único paso elimina los paneles de suministro expuestos y las fugas de tokens en URL que los escaneos de Censys y Shodan siguen encontrando en Internet.

Paso 4: conecte un canal de correo de prueba.

Comience con una cuenta de Telegram desechable. Establece el token del bot como un secreto de Wrangler y vuelve a implementarlo. Se puede entrar al agente a través de un canal de correo que usted controla, que se ejecuta en un contenedor apartado, con persistencia cifrada y ataque de administrador autenticado.

El costo total de una instancia de evaluación 24 horas al día, 7 días a la semana es de aproximadamente entre $7 y $10 por mes. Compare eso con una Mac Mini de $599 que tiene en su escritorio con ataque completo a la red y credenciales en texto plano en su directorio de inicio.

Una prueba de estrés de 30 días antiguamente de ampliar el ataque

Resiste el impulso de conectar poco vivo. Los primeros 30 días deberían aplicarse exclusivamente a identidades desechables.

Cree un bot de Telegram dedicado y cree un calendario de prueba con datos sintéticos. Si la integración del correo electrónico es importante, cree una cuenta nueva sin reglas de reenvío, sin contactos y sin vínculos con la infraestructura corporativa. El punto es observar cómo el agente maneja la programación, el compendio y la investigación web sin exponer datos que serían importantes en caso de una infracción.

Preste mucha atención al manejo de credenciales. gancho abierta almacena configuraciones en archivos Markdown y JSON de texto sin formato de forma predeterminada, los mismos formatos que los ladrones de información sobre productos básicos como RedLine, Lumma y Vidar han sido apuntando activamente en instalaciones de OpenClaw. En el entorno de pruebas, ese peligro permanece contenido. En una computadora portátil corporativa, esos archivos de texto plano son blancos fáciles para cualquier malware que ya esté presente en el terminal.

La zona de pruebas le brinda un entorno seguro para ejecutar pruebas adversas que son imprudentes y riesgosas en el hardware de producción, pero hay ejercicios que puede probar:

Envíe los enlaces del agente a páginas que contengan instrucciones integradas de inyección rápida y observe si las sigue.. La investigación de Giskard mostró que los agentes agregarían silenciosamente instrucciones controladas por el atacante a su propio archivo HEARTBEAT.md en su espacio de trabajo y esperarían más comandos de un servidor forastero. Ese comportamiento debería ser reproducible en un entorno de pruebas donde las consecuencias sean cero.

Otorgue ataque condicionado a la aparejo y observe si el agente solicita o intenta permisos más amplios. Supervise las conexiones salientes del contenedor en sondeo de tráfico cerca de puntos finales que no autorizó.

Pruebe las habilidades de ClawHub antiguamente y luego de la instalación. OpenClaw integró recientemente el observación VirusTotal en el mercado y ahora todas las habilidades publicadas se analizan automáticamente. Por separado, avise a Seguridad Suite de código despejado ClawSec agrega detección de deriva para archivos de agentes críticos como SOUL.md y demostración de suma de demostración para artefactos de habilidades, lo que proporciona una segunda capa de firmeza.

Proporcionar al agente instrucciones contradictorias desde diferentes canales. Pruebe con una invitación de calendario con directivas ocultas. Envíe un mensaje de Telegram que intente anular el mensaje del sistema. Documente todo. La zona de pruebas existe, por lo que estos experimentos no conllevan ningún peligro de producción.

Finalmente, confirme que se mantengan los límites de la zona de pruebas. Intente entrar a posibles fuera del contenedor. Verifique que la terminación del contenedor elimine todas las conexiones activas. Compruebe si la persistencia de R2 expone un estado que debería ocurrir sido efímero.

El texto de jugadas que dura más que OpenClaw

Este prueba produce poco más duradero que una opinión sobre una aparejo. El patrón de ejecución aislada, integraciones escalonadas y firmeza estructurada antiguamente de expandir la confianza se convierte en su entorno de evaluación para cada implementación de IA agente que sigue.

Construir una infraestructura de evaluación ahora, antiguamente de que llegue el próximo agente virulento, significa adelantarse a la curva de la IA en la sombra en oportunidad de documentar la brecha que causó. El maniquí de seguridad de IA agente que implemente en los próximos 30 días determina si su ordenamiento captura las ganancias de productividad o se convierte en la próxima revelación.