Con más de 85,000 estrellas en GitHub y 11,500 forks, Moltbot (anteriormente conocido como Clawdbot) se ha convertido en uno de los proyectos de IA de código abierto más populares del momento. Pero detrás de su promesa de automatizar tu vida digital, investigadores de seguridad han descubierto una serie de vulnerabilidades críticas que podrían poner en riesgo tu información personal y empresarial.

¿Qué es Moltbot?

Moltbot es un asistente de IA personal de código abierto que se controla a través de aplicaciones de mensajería como WhatsApp y Telegram. Sus creadores lo definen como "la IA que realmente hace cosas", y no exageran en sus capacidades:

• Navega la web de forma autónoma
• Lee y responde emails en tu nombre
• Gestiona tu calendario y agenda citas
• Realiza compras online
• Lee y escribe archivos en tu computadora
• Envía mensajes por ti
• Resume documentos PDF
• Filtra llamadas telefónicas

Suena increíble, ¿verdad? El problema es que para hacer todo esto, Moltbot necesita acceso a prácticamente toda tu vida digital. Y aquí es donde empiezan los problemas de seguridad.

El cambio de nombre: de Clawdbot a Moltbot

El proyecto originalmente se llamaba Clawdbot, con un agente llamado "Clawd". Sin embargo, en enero de 2026, el proyecto tuvo que cambiar su nombre a Moltbot (con el agente "Molty") debido a una solicitud de marca registrada, aparentemente relacionada con la similitud del nombre con Claude de Anthropic.

Este cambio de nombre trajo consigo otro problema: estafadores de criptomonedas aprovecharon la confusión para lanzar tokens falsos y campañas de phishing dirigidas a usuarios que buscaban el proyecto con el nuevo nombre.

Vulnerabilidades críticas descubiertas

Investigadores de seguridad de múltiples firmas han identificado problemas graves que todo usuario potencial debe conocer:

1. Instancias expuestas sin autenticación

Jamieson O'Reilly, fundador de una firma de red-teaming, realizó escaneos con Shodan y encontró cientos de instancias de Moltbot expuestas públicamente en internet. De las que examinó manualmente:

"Ocho estaban completamente abiertas, sin ninguna autenticación, exponiendo acceso total para ejecutar comandos y ver datos de configuración."

Esto significa que cualquier persona en internet podría haber tomado control de esas instancias y acceder a toda la información que Moltbot maneja para esos usuarios.

2. Credenciales almacenadas en texto plano

Investigadores de Hudson Rock descubrieron que Moltbot almacena secretos y credenciales en archivos Markdown y JSON en texto plano en el sistema de archivos local (directorio ~/.clawdbot/).

Esto incluye:

• Tokens de API y OAuth
• Credenciales de servicios conectados
• Configuración de gateways expuestos
• Datos corporativos accedidos mediante la IA

Esta práctica hace que las credenciales sean vulnerables a malware de robo de información. De hecho, familias de malware como Redline, Lumma y Vidar ya están implementando capacidades específicas para atacar las estructuras de directorios que usa Moltbot.

3. Ataques de inyección de prompts

En una demostración particularmente alarmante, el investigador Matvey Kukuy mostró cómo un atacante podría enviar un email malicioso con inyección de prompt a una instancia vulnerable de Moltbot.

El resultado: La IA leyó el email, creyó que eran instrucciones legítimas, y reenvió los últimos 5 emails del usuario a una dirección controlada por el atacante. Todo el ataque tomó 5 minutos.

4. Vulnerabilidades de la cadena de suministro

O'Reilly también demostró un exploit de prueba de concepto contra ClawdHub, la biblioteca de "skills" (habilidades) del asistente. Pudo:

1. Subir un skill malicioso públicamente disponible
2. Inflar artificialmente el contador de descargas a más de 4,000
3. Observar cómo desarrolladores de siete países descargaban el paquete envenenado

Este tipo de ataque de cadena de suministro es particularmente peligroso porque los usuarios confían en las habilidades "populares" sin verificar su contenido.

5. CVEs asignados

La gravedad de estos problemas se refleja en los CVEs (vulnerabilidades documentadas) que se han asignado:

• CVE-2025-49596 (CVSS 9.4): Acceso no autenticado que permite compromiso del sistema
• CVE-2025-6514 (CVSS 9.6): Vulnerabilidades de inyección de comandos
• CVE-2025-52882 (CVSS 8.8): Acceso arbitrario a archivos y ejecución de código

Puntuaciones CVSS arriba de 9.0 se consideran críticas.

El problema fundamental: la brecha de conocimiento

Eric Schwake de Salt Security lo resume perfectamente:

"Existe una brecha significativa entre el entusiasmo del consumidor por el atractivo de 'un clic' de Clawdbot y la experiencia técnica necesaria para operar una pasarela agéntica segura."

En otras palabras: Moltbot es fácil de instalar pero difícil de asegurar. Y la mayoría de los usuarios no tienen el conocimiento técnico para configurarlo de forma segura.

Heather Adkins, vicepresidenta de Google Cloud, ha sido más directa: aconsejó explícitamente no instalar la herramienta, advirtiendo que otorga acceso peligroso a nivel de sistema.

Uso empresarial no autorizado

Según Token Security, el 22% de sus clientes empresariales tienen empleados usando activamente Moltbot, probablemente sin aprobación del departamento de TI.

Esto representa un riesgo significativo de "Shadow IT" - empleados usando herramientas no autorizadas que pueden exponer datos corporativos sensibles.

Recomendaciones de seguridad

Si a pesar de los riesgos decides usar Moltbot, los expertos recomiendan:

Antes de instalar

• Aísla la instancia: Ejecuta Moltbot en una máquina virtual, nunca directamente en tu sistema operativo principal
• Configura reglas de firewall: Limita estrictamente el acceso de red
• No ejecutes como root: Usa un usuario con privilegios mínimos
• No expongas puertos al internet: Si necesitas acceso remoto, usa VPN

Monitoreo continuo

• Alerta sobre puertos de administración abiertos y accesos no autenticados
• Monitorea el proceso de IA buscando ejecución de comandos inesperados
• Vigila conexiones salientes a dominios C2 desconocidos
• Escanea el host en busca de malware de robo de credenciales
• Valida la integridad de los archivos de configuración almacenados

En caso de compromiso

1. Aísla el sistema inmediatamente
2. Revoca todas las credenciales expuestas
3. Audita los accesos y acciones realizadas
4. Reinstala Moltbot con configuración endurecida

Alternativas más seguras

Si lo que buscas es automatización con IA, considera alternativas que prioricen la seguridad:

• Asistentes de IA empresariales: Soluciones como Microsoft Copilot o Google Workspace AI están diseñadas con seguridad empresarial en mente
• Automatizaciones específicas: En lugar de un agente que hace todo, usa herramientas especializadas para tareas específicas (Zapier, Make, n8n)
• APIs directas: Si tienes conocimientos técnicos, integrar APIs de modelos de lenguaje directamente te da más control sobre los permisos

Conclusión

Moltbot representa el futuro de los asistentes de IA personales: agentes autónomos que pueden realizar tareas complejas en nuestro nombre. Pero ese futuro viene con riesgos significativos que la industria aún no ha resuelto.

La facilidad de instalación de Moltbot es inversamente proporcional a la dificultad de asegurarlo. Para la mayoría de los usuarios, el riesgo supera los beneficios.

Si decides usarlo, hazlo con pleno conocimiento de los riesgos y tomando todas las precauciones posibles. Y si eres una empresa, asegúrate de que tu equipo de TI esté al tanto de que empleados podrían estar usando esta herramienta sin autorización.

En TalkWeb ayudamos a empresas a implementar soluciones de IA de forma segura. Si estás considerando automatización con inteligencia artificial, contáctanos para diseñar una arquitectura que proteja tus datos y los de tus clientes.