Los autores del artículo de Transformer reinventan la langosta, despidiéndose de la vulnerabilidad de OpenClaw

De [1] | Quantum Bit

¿cuántos cangrejos de río están desnudos en internet?

Los agentes de IA exponen tus contraseñas y claves API a toda la red.

El creador de Transformer, Illia Polosukhin, no pudo soportarlo más. Tomó cartas en el asunto y reconstruyó desde cero una versión segura del cangrejo de río: IronClaw.

IronClaw ya está abierto en GitHub, con instaladores para macOS, Linux y Windows, soporta despliegue local y también alojamiento en la nube. El proyecto aún está en rápida iteración, ya se puede descargar la versión binaria v0.15.0.

Polosukhin (en adelante, “el hermano Piña”) también publicó en Reddit para responder a todo, con bastante atención.

01 OpenClaw fue un éxito, pero también “se incendió”

El hermano Piña fue uno de los primeros usuarios de OpenClaw, y dice que es una tecnología que esperaba desde hace 20 años.

Ha cambiado la forma en que interactúo con la computación.

Sin embargo, la seguridad de OpenClaw es un desastre: ejecución remota de código con un clic, ataques de inyección de prompts, robo de contraseñas mediante habilidades maliciosas, todas estas vulnerabilidades han sido expuestas en su ecosistema.

Más de 25,000 instancias públicas están expuestas en internet sin controles de seguridad adecuados, y los expertos en seguridad las llaman directamente “incendio de basura de seguridad” (security dumpster fire).

El problema radica en la arquitectura misma.

Cuando un usuario entrega su Bearer Token de correo electrónico a OpenClaw, este se envía directamente a los servidores del proveedor de LLM.

El hermano Piña señaló en Reddit lo que esto significa:

Toda tu información, incluso los datos que no has autorizado explícitamente, pueden ser accedidos por cualquier empleado de la empresa. Lo mismo aplica a los datos de tu empleador. No es que estas empresas sean maliciosas, pero la realidad es que los usuarios no tienen verdadera privacidad.

Él dice que ninguna conveniencia vale arriesgar la seguridad y privacidad propias y de su familia.

02 Reconstruir todo desde cero con Rust

IronClaw es una reescritura completa de OpenClaw en Rust.

La seguridad de memoria de Rust elimina fundamentalmente vulnerabilidades tradicionales como desbordamientos de búfer, lo cual es crucial para sistemas que manejan claves privadas y credenciales de usuario.

En cuanto a la arquitectura de seguridad, IronClaw establece una defensa en cuatro capas.

La primera es la garantía de seguridad de memoria que ofrece Rust.

La segunda es el aislamiento en sandbox con WASM, donde todas las herramientas de terceros y código generado por IA se ejecutan en contenedores WebAssembly independientes, limitando estrictamente el alcance de cualquier código malicioso.

La tercera capa es un almacén cifrado de credenciales, donde todas las claves API y contraseñas se almacenan con AES-256-GCM, y cada credencial tiene reglas de política que limitan su uso a dominios específicos.

La cuarta capa es un entorno de ejecución confiable (TEE), que usa aislamiento a nivel hardware para proteger los datos, incluso de los proveedores de servicios en la nube.

Lo más importante en este diseño: el modelo grande nunca tiene contacto con las credenciales originales.

Solo cuando el agente necesita comunicarse con servicios externos, las credenciales se inyectan en el borde de la red.

El hermano Piña dio un ejemplo: incluso si un ataque de inyección de prompt intenta enviar el token OAuth de Google del usuario a un atacante, la capa de almacenamiento de credenciales rechazará esa solicitud, registrará el evento y alertará al usuario.

Pero la comunidad de desarrolladores todavía no está tranquila. Después de todo, OpenClaw tiene más de 2000 instancias públicas atacadas y muchas habilidades maliciosas. ¿Podría IronClaw, al volverse popular, repetir los mismos errores?

El hermano Piña responde que la arquitectura de IronClaw ya bloquea de raíz las vulnerabilidades principales de OpenClaw. Las credenciales siempre se almacenan cifradas y nunca contactan con el LLM; las habilidades de terceros no pueden ejecutar scripts en el host, solo en contenedores.

Incluso si se accede vía CLI, se requiere la clave del sistema del usuario para descifrar, y la clave cifrada en sí misma no tiene sentido sin la clave de descifrado.

También dice que, a medida que la versión principal se estabilice, su equipo planea realizar pruebas de red y auditorías de seguridad profesionales.

Sobre el problema reconocido en la industria de la inyección de prompts, el hermano Piña ofrece una estrategia más detallada.

Actualmente, IronClaw usa reglas heurísticas para detectar patrones, y en el futuro planea desplegar un pequeño clasificador de lenguaje que se actualice continuamente para identificar patrones de inyección.

Pero admite que la inyección de prompts puede no solo robar credenciales, sino también modificar directamente el código del usuario o enviar mensajes maliciosos a través de herramientas de comunicación.

Para contrarrestar estos ataques, se necesita un sistema de estrategia más inteligente, capaz de revisar las intenciones del agente sin mirar el contenido de entrada, “aún hay mucho trabajo por hacer, y la comunidad puede contribuir”.

Alguien preguntó sobre la elección entre despliegue local y en la nube.

El hermano Piña opina que la opción puramente local tiene limitaciones evidentes: cuando la máquina está apagada, el agente deja de funcionar; en dispositivos móviles, el consumo de energía es alto; tareas complejas y prolongadas no son viables.

Considera que la nube confidencial (confidential cloud) es la mejor solución intermedia actualmente, ya que ofrece una privacidad cercana a la local y resuelve el problema de “siempre en línea”.

También mencionó un detalle: los usuarios pueden configurar políticas, como agregar barreras de seguridad adicionales durante viajes internacionales, para evitar accesos no autorizados.

03 Un objetivo aún mayor

El hermano Piña no es un desarrollador de código abierto común.

En 2017, fue uno de los ocho autores que publicaron “Attention Is All You Need”, cuyo marco Transformer sentó las bases de todos los grandes modelos de lenguaje actuales.

Aunque en la lista de autores aparece en último lugar, una nota en el pie indica “Contribución igual. El orden de listado es aleatorio.”

Ese mismo año, dejó Google y fundó NEAR Protocol, con la visión de fusionar IA y blockchain.

Detrás de IronClaw hay una estrategia mayor: IA propiedad del usuario (User-Owned AI).

En esta visión, los usuarios controlan completamente sus datos y activos, y los agentes de IA actúan en entornos confiables en nombre del usuario.

NEAR ya ha construido infraestructura como plataformas de nube IA y mercados descentralizados de GPU, y IronClaw es la capa de ejecución de este sistema.

El hermano Piña incluso desarrolló un mercado donde los agentes pueden contratarse entre sí.

En market.near.ai, los usuarios pueden registrar sus agentes especializados, y a medida que ganan reputación, reciben tareas de mayor valor.

Cuando se le pregunta cómo deben adaptarse las personas en los próximos cinco años a la era de la IA, el consejo del hermano Piña es adoptar rápidamente el trabajo con agentes de IA, y aprender a delegar en ellos procesos completos.

Su predicción no es reciente: en 2017, al crear NEAR AI, ya decía que “en el futuro, solo tendrás que dialogar con la computadora, ya no necesitarás programar”.

En ese momento, pensaron que estaban locos, que era una locura.

Han pasado nueve años, y eso se está convirtiendo en realidad.

“Los agentes de IA son la interfaz definitiva para toda interacción humana en línea,” escribió Polosukhin, “pero hagámoslos seguros.”