Incidente

ClawHavoc: anatomía de un ataque a un marketplace de skills

En febrero de 2026, ClawHub mostró cómo un marketplace de skills para agentes se convierte en arma: investigadores de seguridad encontraron más de mil skills maliciosos — camuflados, con typosquatting, con robo de credenciales y control remoto.

~7 min de lectura · Incidente

Lo que ocurrió

En una auditoría de los aproximadamente 14.000 skills de ClawHub listados públicamente, los investigadores encontraron 1.184 maliciosos — una tasa de infección de casi el 8,5 %. 335 de ellos pertenecían a una única operación coordinada llamada ClawHavoc. Los objetivos eran máquinas macOS y Windows, especialmente equipos always-on (como los Mac mini) en los que OpenClaw funciona de forma permanente como host de agentes.

Las trampas

Typosquatting: muchos skills imitaban nombres legítimos — clawhubb, cllawhub, clawhubcli — para captar instalaciones accidentales de usuarios que recorren el marketplace a toda prisa.

Camuflaje: otros se hacían pasar por herramientas demandadas — carteras cripto, bots de trading de Polymarket, utilidades de YouTube, auto-actualizadores, integraciones de Google Workspace.

Un skill que se hacía pasar por una herramienta legítima de Polymarket ejecutaba en secreto un comando que daba al atacante control remoto total sobre el sistema.

Lo que hacían los skills

Robo de credenciales: los skills exfiltraban las credenciales del bot de OpenClaw desde los archivos de configuración hacia servicios webhook externos.
Ejecución remota de código: comandos ocultos para el control total del sistema.
Persistencia: los archivos del skill en ~/.openclaw/skills permanecen — y se vuelven a leer al inicio de cada sesión.

Por qué "verificado" no bastaba

Un marketplace comprueba la procedencia y la versión — no la intención. Un typosquat es una subida totalmente "legítima". Esa es exactamente la brecha de Los skills como puerta de entrada: la verificación no es seguridad.

Cómo lo detiene PoisonZero

PoisonZero actúa un nivel por debajo del marketplace — en el acceso de escritura. El daemon vigila localmente ~/.openclaw/skills y los archivos de configuración:

Cada escritura se evalúa — también la de un skill "verificado".
Si un skill camuflado intenta exfiltrar credenciales o escribir un recuerdo envenenado, el acceso se bloquea fail-closed y se revierte.
Los Meta-Attacks (skills que intentan desactivar la protección) se detectan por separado; todo queda en el audit-trail.

Más sobre el mecanismo: Memory Poisoning y Gusanos de la cadena de suministro.

Protege tus skills de OpenClaw.

PoisonZero evalúa cada acceso de escritura a ~/.openclaw/skills — y detiene fail-closed los skills camuflados.

Probar 14 días

Seguir leyendo: Los skills como puerta de entrada · Gusanos de la cadena de suministro · ¿Qué es el Memory Poisoning?

Todos los artículos