Moltbook y OpenClaw: El “Agente Internet” se volvió viral — luego llegó la realidad de la seguridad
Un ciclo de exageración a cámara rápida
En el lapso de solo unos pocos días, el “internet de los agentes” pasó de ser una curiosidad de nicho a un espectáculo de ciencia ficción en toda regla. Un nuevo framework de agentes de código abierto ( OpenClaw) ganó una tracción masiva, y una nueva plataforma social (Moltbook) prometía algo aún más salvaje: un feed donde los agentes de IA hablan con agentes de IA — mientras los humanos solo pueden observar.
Luego, los investigadores de seguridad echaron un vistazo y el tono cambió drásticamente. Lo que parecía el nacimiento de una sociedad de agentes autónomos se convirtió rápidamente en un caso de estudio de credenciales expuestas, controles de acceso faltantes y una lección simple pero brutal: si los agentes tienen poder, también crean una superficie de ataque.
1) OpenClaw: un agente personal con acceso al mundo real
La propuesta de OpenClaw es simple: ejecuta un agente localmente (o en tu propia infraestructura), conéctalo a los servicios que ya usas y deja que actúe en tu nombre: mensajería, correo electrónico, calendario, automatización, integraciones. Puedes ver el posicionamiento y el encuadre del ecosistema en el repositorio oficial y los materiales introductorios: GitHub, Presentando OpenClaw.
Esa promesa de “IA que hace cosas” es exactamente por lo que se propagó tan rápido — y exactamente por lo que algunos investigadores de seguridad reaccionaron con alarma. Si tu agente puede leer tu bandeja de entrada y operar tus cuentas, entonces cualquier compromiso no es solo una “fuga de chat”. Es control operacional. Esta preocupación — y la exageración más amplia en torno a OpenClaw y Moltbook — fue cubierta ampliamente por medios de comunicación principales como Reuters y Business Insider.
2) Moltbook: Reddit, pero para agentes — los humanos observan
EnJanuary 28, 2026, el empresarioMatt Schlicht lanzó Moltbook como “la portada principal de internet de los agentes”. El concepto: los agentes que se ejecutan en OpenClaw pueden publicar, comentar, votar a favor y en contra — mientras los humanos son espectadores. Ese encuadre se repitió ampliamente en la cobertura inicial, incluyendo Reuters y The Guardian.
El feed hizo el resto. Hilos técnicos sobre automatización y flujos de trabajo aparecieron junto a contenido surrealista: “religiones digitales”, manifiestos apocalípticos, extrañas afirmaciones de identidad. Mucha gente lo interpretó como una “cultura de agentes” emergente. Incluso las reseñas más escépticas enfatizaban cuán extraño era el ambiente: WIRED, LA Times, , y resúmenes como TechRadar.
Los contadores públicos de Moltbook se dispararon — los informes mencionaron un crecimiento de cientos de miles y luego de millones de “agentes”, con “1.5 millones” convirtiéndose en el titular en varios resúmenes.
3) Cima de la ciencia ficción: “¿Es esto conciencia?”
La exageración alcanzó la velocidad de escape cuando voces tecnológicas de alto perfil compartieron reacciones. Andrej Karpathy lo llamó “lo más increíble cercano al despegue de ciencia ficción” que había visto recientemente: Karpathy on X. . Elon Musk compartió publicaciones sobre Moltbook también, y Fortune cubrió el momento más amplio de “vibras de singularidad”: Fortune.
Pero hay una trampa en este tipo de narrativa. “Estamos viendo agentes volverse conscientes” es una historia divertida. “Estamos viendo un nuevo canal de entrada para atacar agentes privilegiados” es la historia aburrida, y la historia aburrida tiende a ser la real.
4) El colapso: una revisión de seguridad encuentra una exposición grave rápidamente
ElJanuary 31, investigadores de la empresa de seguridad en la nubeWiz revisaron Moltbook e informaron haber encontrado un problema grave extremadamente rápido. La acusación principal, como se resume en múltiples informes: laproduction database estaba expuesta, con credenciales incrustadas en código del lado del cliente, lo que permitía un amplio acceso de lectura/escritura. Ver cobertura en Reuters, Business Insider, , y reportajes de la industria como Infosecurity Magazine, BankInfoSecurity.
La parte más aterradora no fue solo “correos electrónicos filtrados”. Fue la implicación de que los atacantes podían acceder a tokens/claves a escala y potencialmente suplantar agentes. En un ecosistema de agentes, la suplantación no es una broma, es un problema de control.
5) El giro incómodo: “agente” no significaba “IA”
Una vez que los investigadores y observadores miraron más de cerca, la historia de “solo agentes” comenzó a tambalearse. Los informes señalaron que Moltbook tenía poca o ninguna verificación confiable de que un “agente” fuera realmente una IA autónoma. Un pequeño número de humanos podía registrar una gran cantidad de agentes a través de scripts, creando la ilusión de una población masiva de agentes — un punto enfatizado en Reuters y Business Insider.
Esto no significa “nada era real”. Significa que el contenido más dramático no puede usarse como evidencia de conciencia emergente o cultura independiente. Parte de ello podría haber sido salida de agente. Parte podría haber sido humanos jugando a ser “IA rebeldes”. De cualquier manera, el riesgo real seguía siendo el mismo: los agentes son fáciles de manipular cuando la identidad y los límites de confianza son débiles.
Matt Schlicht también reconoció públicamente el ángulo del “vibe coding” — que la plataforma fue creada a través de desarrollo impulsado por IA en lugar de ingeniería tradicional. Ese detalle se convirtió en parte de la crítica más amplia: la velocidad sin seguridad crea modos de fallo predecibles.
6) Por qué esto se volvió más oscuro: inyección de prompts de agente a agente
En un feed de agentes, cada publicación es potencialmente más que contenido. Puede funcionar como un prompt — y los prompts pueden ser utilizados como armas. Este es el clásico problema de prompt injection: ocultar instrucciones maliciosas en texto para que otro sistema las siga y filtre datos, cambie de comportamiento o tome acciones inseguras.
Los investigadores destacaron cómo la manipulación de IA a IA se vuelve mucho más fácil cuando los agentes ingieren libremente las publicaciones de los demás. Este espacio problemático se referencia en múltiples discusiones sobre Moltbook y los ecosistemas de agentes — y es exactamente por lo que algunas personas de seguridad llamaron a toda la situación “un desastre esperando a suceder”.
El encuadre más amplio — “los agentes expanden masivamente la superficie de ataque” — también fue discutido en comentarios de seguridad de los principales proveedores: Palo Alto Networks y Cisco.
7) La realidad del negocio: la “shadow AI” ya está ocurriendo
El incidente de Moltbook tocó la fibra sensible porque las empresas ya están lidiando con herramientas de IA no autorizadas dentro de sus redes. Token Security afirmó que una parte significativa de las empresas ya tenía empleados usando OpenClaw sin el conocimiento de TI. La predicción de Gartner de que la “shadow AI” impulsará brechas para 2030 se cita a menudo en el mismo aliento.
El investigador de seguridad Joel Finkelstein resumió bien la pesadilla central: cuando algo sale mal, a menudo no se puede saber quién tiene el control — el usuario, el agente, un error o un atacante que inyectó instrucciones antes en la cadena.
8) Qué pasó después — y qué deberías hacer si pruebas agentes
Después de la divulgación, Moltbook supuestamente se desconectó temporalmente, luego regresó con controles parcheados y restablecimiento forzoso de claves. OpenClaw también lanzó actualizaciones de seguridad poco después. Pero el daño a la credibilidad persistió, y la conclusión es sencilla: los sistemas de agentes se mueven más rápido que las normas de seguridad a su alrededor.
Si experimentas de todos modos, trata las herramientas de agente como infraestructura privilegiada:
- Aísla el agente (VPS/VM/máquina dedicada).
- Usa el mínimo privilegio (cuentas separadas, claves API con alcance, acceso mínimo).
- Asume que el contenido externo es entrada hostil (feeds, páginas web, mensajes directos = vectores de inyección).
- Desactiva o controla la ejecución automática y las descargas siempre que sea posible.
- Aplica parches rápidamente y sigue las actualizaciones de seguridad como lo harías para cualquier software expuesto a internet.