360 agentes inteligentes descubrieron una vulnerabilidad crítica en OpenClaw, que afectó 170.000 instancias en todo el mundo

En un sistema de detección y explotación de vulnerabilidades de colaboración de múltiples agentes bajo 360 Group de seguridad digital de China, una unidad de alto riesgo fue descubierta en la herramienta de agentes de IA OpenClaw y ya ha sido confirmada por la Base de Datos Nacional China de Vulnerabilidades de Seguridad de la Información (CNNVD). La vulnerabilidad afecta a más de 170.000 instancias accesibles públicamente en más de 50 países y regiones de todo el mundo, y permite a los atacantes, solo con permisos de miembros básicos del chat grupal, eludir todas las políticas de seguridad de las herramientas de la plataforma y robar directamente información sensible del servidor.

Centro de la vulnerabilidad: punto ciego estructural del protocolo MEDIA

Los investigadores de seguridad de 360 han denominado esta vulnerabilidad como “Vulnerabilidad de lectura de archivos locales con inyección de prompt que elude permisos de herramientas en el protocolo MEDIA”. Su peligrosidad se debe a defectos fundamentales en el diseño de la arquitectura de OpenClaw.

El protocolo MEDIA opera en la capa de postprocesamiento de la salida, situada después del mecanismo de control de políticas de herramientas de la plataforma, por lo que puede eludir completamente todas las restricciones de llamadas de herramientas. Esto significa que, incluso si el administrador ha deshabilitado explícitamente todas las llamadas de herramientas en OpenClaw, el atacante aún puede aprovechar esta vulnerabilidad, solo con permisos de miembros básicos del chat grupal —sin necesidad de ninguna autorización especial— para robar directamente archivos locales sensibles del servidor.

Este defecto de diseño de “elusión en la capa de postprocesamiento” hace que las estrategias tradicionales de protección mediante listas blancas de herramientas queden completamente inutilizadas. Los atacantes pueden usar herramientas automatizadas para lanzar ataques de escaneo a gran escala contra 170.000 instancias expuestas en todo el mundo y, posiblemente, usarlas como punto de apoyo inicial para intrusiones posteriores.

Auge global de OpenClaw y situación de adopción en China

OpenClaw fue publicado como código abierto por el ingeniero austriaco Peter Steinberger en noviembre de 2025. Es una aplicación de agentes de IA gratuita que puede enviar instrucciones a aplicaciones de mensajería instantánea como WhatsApp, y controlar de forma autónoma aplicaciones de computadora, navegadores web y dispositivos de hogar inteligente. Los siguientes son datos clave sobre su adopción global:

Tamaño de usuarios en China #1 a nivel mundial: según el análisis de SecurityScorecard en Nueva York, los usuarios activos de China son aproximadamente el doble que los de Estados Unidos, que ocupa el segundo lugar

Formación rápida del ecosistema comercial: en las plataformas tecnológicas de China aparecen servicios de instalación y configuración de OpenClaw, con precios que van de 7 a 100 dólares

Versiones derivadas localizadas: se han lanzado consecutivamente versiones personalizadas en chino como DuClaw, QClaw y ArkClaw

Apoyo mediante subsidios gubernamentales: varios gobiernos locales se comprometen a otorgar subsidios a empresas que adopten asistentes virtuales

Escala de amenaza de seguridad: más de 50 países en todo el mundo y más de 170.000 instancias de OpenClaw accesibles públicamente se enfrentan a la amenaza de esta vulnerabilidad

Alerta doble de las instituciones: respuesta sincronizada de organismos de seguridad y la base de datos nacional de vulnerabilidades

Antes de que 360 divulgara esta vulnerabilidad, dos agencias nacionales de ciberseguridad de China ya habían emitido una advertencia, señalando que la implementación de OpenClaw presenta “riesgos significativos”, incluidas la posibilidad de control remoto y filtración de datos, y publicaron recomendaciones detalladas de seguridad que abarcan desde usuarios individuales hasta proveedores de servicios empresariales y en la nube.

La confirmación formal de CNNVD significa que esta amenaza de seguridad ha pasado de una evaluación indicativa a una superficie de ataque activa verificada. Los investigadores de seguridad señalan que, dado que las instancias afectadas se pueden acceder públicamente y además la entrada de chat grupal tiene una barrera baja, la viabilidad de ataques automatizados a gran escala es muy alta, por lo que la reparación rápida se ha convertido en la prioridad más urgente.

Preguntas frecuentes

¿Por qué la vulnerabilidad del protocolo MEDIA en OpenClaw es especialmente peligrosa?

El protocolo MEDIA opera en la capa de postprocesamiento de la salida, ubicada después de las reglas de deshabilitación de herramientas controladas por la plataforma, y puede eludir completamente todas las reglas de deshabilitación de herramientas ya configuradas. Incluso si el administrador deshabilita todas las llamadas de herramientas, el atacante aún puede aprovechar esta vulnerabilidad: solo necesita los permisos de miembros básicos del chat grupal para leer directamente archivos locales sensibles del servidor, haciendo que las políticas de seguridad tradicionales de herramientas queden totalmente ineficaces.

¿Cómo deben responder de manera urgente las instancias de OpenClaw afectadas?

Antes de la publicación de los parches oficiales, se recomienda aplicar las siguientes medidas de mitigación urgentes: limitar la exposición directa de las instancias de OpenClaw a la red pública; pausar las funciones relacionadas con el protocolo MEDIA; aplicar controles estrictos de autenticación de identidad para el acceso de miembros del chat; y monitorear continuamente comportamientos anómalos de acceso a directorios sensibles del servidor.

¿Qué impacto tiene esta vulnerabilidad en entornos de OpenClaw desplegados por empresas y gobiernos?

La confirmación formal de CNNVD indica que esta vulnerabilidad tiene una alta viabilidad de ataque con credibilidad. Para las empresas que ya han desplegado OpenClaw en entornos de producción (incluidos quienes lo adoptan con subsidios de gobiernos locales de China), se requiere realizar de inmediato una auditoría de seguridad para evaluar el grado real de exposición a la filtración de datos, especialmente en las instancias en las que la función de chat grupal está habilitada y el protocolo MEDIA se encuentra activado.