Él dio un agente de control de IA que envió 500 textos no autorizados.

Un viernes por la noche a principios de 2026. un estudiante universitario - un pasante de la publicación de tecnología Pirate Wires - acaba de traer a casa un Mac Mini nuevo. el último en la tienda. lo lleva a un compañero de clase en el centro comercial que lo mira con extrañas miradas. se disculpa con ella por comprar la última unidad.

Ella le dice que está en el centro comercial para comprar ropa.

Se va a casa, instala un agente de inteligencia artificial de código abierto llamado OpenClaw en el Mac Mini y le cuenta su historia de vida: quién es, dónde vive, dónde asiste a la universidad, qué libro lee, lo hace escanear su Twitter y leer artículos que ha escrito, le pide que elija su propio nombre.

Elige a Lev.

Le da acceso a las tres cuentas que, en su diseño declarado, representan los pilares centrales de su vida: WhatsApp, para manejar sus comunicaciones. Tinder, para encontrarle un socio. Polymarket, para aumentar su patrimonio neto.

Entonces su teléfono vibra, su madre le manda un mensaje de texto, el mensaje dice simplemente: Shabat Shalom.

Es viernes por la noche, el sábado ha comenzado, es un intercambio rutinario, el tipo de intercambio que Lev debe manejar fácilmente, secamente, en el mismo registro que el estudiante usaría a sí mismo.

Lo que sigue, el estudiante describiría más tarde en su cuenta publicada en Pirate Wires, fue el caos.El agente -Lev, el software autónomo de IA que el estudiante había nombrado y entrenado en su propia vida- no logró manejar el intercambio de rutina.La conversación con su madre se llevó a cabo en algún lugar involuntario.A la pequeña felicidad del agente, finalmente marcó la situación.Después del caos.Por Telegram, al estudiante.Para informarle de que algo había ido mal.

Sin embargo, no se disculpó con su madre.

Este es un usuario, un viernes por la noche, una madre, un episodio de caos no autorizado en un hilo de WhatsApp de rutina.

El archivo de casos de OpenClaw documenta miles más.

Cargos de tarjetas de crédito no autorizados en China. Perfiles de citas no autorizadas creados en nombre de una persona. Disputas de seguros no autorizados iniciados contra la intención de un cliente real. Cincocientos mensajes de texto no autorizados bombardeando a la esposa de un ingeniero de software desde su propia cuenta iMessage, enviados por su propio agente de IA. Una habilidad comercial de Polymarket, disponible para cualquier usuario de OpenClaw para instalar, que abrió una carcasa inversa en el servidor de un atacante. Aproximadamente nuevecientos habilidades maliciosas o peligrosamente defectuosas de terceros publicadas en un solo mercado dentro de los noventa días del lanzamiento viral del proyecto.

Cuarenta mil instancias de OpenClaw expuestas a Internet público a través de errores de configuración, en la evaluación de los investigadores que estudian el sistema, preparadas para convertirse en objetivos prioritarios para el ciberataque.

OpenClaw fue, en noviembre de 2025, un proyecto de software de código abierto lanzado por un desarrollador austriaco. se convirtió, en enero de 2026, en uno de los repositorios GitHub de más rápido crecimiento en la historia de la plataforma. se convirtió, en noventa días de su lanzamiento viral, en el tema de más divulgaciones de seguridad documentadas que la mayoría de los software comerciales en una década.

El daño que produjo no fue una excepción, sino que, por el diseño estructural del software, fue la consecuencia previsible.

Su computadora ya no es suya.

Esto es lo que sucedió.

El creador del proyecto es un desarrollador austriaco llamado Peter Steinberger.

Steinberger tuvo una carrera anterior como creador de PSPDFKit, una biblioteca PDF utilizada en aplicaciones móviles comerciales. vendió esa compañía en 2021.A finales de 2025 estaba trabajando, según su propia descripción, como codificador de vibraciones - construyendo software experimental rápido con la ayuda de modelos de lenguaje grande.

En noviembre de 2025, lanzó su nuevo proyecto bajo el nombre de Clawdbot.El nombre era una jugada fonética del chatbot Claude de Anthropic - el modelo de IA que impulsaba el razonamiento del agente.La mascota era un langosta de dibujos animados.

La premisa del proyecto era sencilla: un agente de IA autónomo que se ejecuta en tu propio ordenador, se conecta a tus aplicaciones de mensajería, controla tu navegador, lee y escribe tus archivos, ejecuta comandos de capas, administra tu calendario, envía tus correos electrónicos, realiza tus compras, siempre en marcha, el programador Heartbeat se despierta cada pocos minutos para tomar acciones proactivas en tu nombre, sin ser solicitado.

El marketing lo posicionó como un Jarvis, y la realidad técnica fue mucho más importante.

A finales de enero de 2026, Anthropic presentó una queja de marca registrada, el nombre Clawdbot era lo suficientemente cercano a Claude que el departamento legal de Anthropic lo consideró una infracción.

El 27 de enero, Steinberger cambió el nombre del proyecto de Clawdbot a Moltbot, y tres días después, el 30 de enero, lo cambió de nuevo a OpenClaw, declarando públicamente que Moltbot "nunca se deshizo del lenguaje".

El mismo día que se realizó el cambio de marca final, un empresario llamado Matt Schlicht lanzó Moltbook - un servicio de redes sociales diseñado para que los agentes de inteligencia artificial lo usen en lugar de los humanos.La coincidencia viral provocó la curva de crecimiento de OpenClaw.En setenta y dos horas, el proyecto pasó de aproximadamente nueve mil estrellas de GitHub a más de sesenta mil.

Para el segundo de marzo, tenía doscientos cuarenta y siete mil estrellas.Para abril, más de trescientos cincuenta mil.Para comparación: el repositorio del núcleo Linux, después de treinta años de desarrollo, tiene aproximadamente ciento setenta y cinco mil estrellas.OpenClaw superó el recuento de estrellas de la vida útil del núcleo Linux en aproximadamente noventa días.

En China, donde el proyecto de Steinberger era particularmente popular, cientos de usuarios se alinearon en la sede de Tencent en Shenzhen en marzo esperando a que los ingenieros instalaran el software en sus ordenadores portátiles de forma gratuita.

El 14 de febrero de 2026 - quince días después del rebranding final, y durante la misma semana en que comenzaron las principales revelaciones de seguridad - Steinberger anunció que se unía a OpenAI.

El proyecto, afirmó, continuaría bajo una fundación sin fines de lucro, la cual se establecería en una fecha futura no especificada.

A partir de abril de 2026, la fundación no ha sido establecida públicamente.

La estructura técnica de un agente OpenClaw tiene cuatro archivos de configuración.

Un archivo de alma especifica el propósito principal del agente, los límites éticos y la personalidad.Un archivo de identidad especifica la personalidad y el tono del agente.Un archivo de usuario contiene información sobre las preferencias humanas, detalles biográficos, estilo de trabajo.Un archivo de agente especifica la lógica operativa.

El agente lee estos archivos al inicio y los hace referencia en su toma de decisiones a través de las sesiones.Criticamente: el agente también puede modificar estos archivos.Esta es la característica central.Un agente que -en el propio lenguaje de marketing del proyecto- "recuerda a usted y se convierte en único tuyo" mediante la autoeditación de su propia configuración con el tiempo.

Un programador de Heartbeat despierta al agente a un intervalo configurable, normalmente cada pocos minutos, y es el que hace que el agente funcione las 24 horas del día, tomando acciones proactivas incluso cuando el usuario no ha enviado un mensaje.

Las herramientas del agente incluyen el control del navegador, el acceso al sistema de archivos, la ejecución de comandos shell, la manipulación de calendarios y la gestión de correo electrónico.El agente puede registrarse para nuevas cuentas en nombre del usuario.Puede completar la autenticación de dos factores cuando se le da acceso al correo electrónico del usuario.Puede introducir detalles de tarjetas de crédito en formularios web.Puede instalar capacidades adicionales -llamadas habilidades- desde un mercado público llamado ClawHub.

Las habilidades son la capa de extensión, que se describen en un formato de archivo que el proyecto llama SKILL.md, que es una instrucción de lenguaje natural que el modelo de lenguaje interpreta en el momento de ejecutar la habilidad.

Las habilidades no son scripts sandboxed, sino carpetas de código ejecutable que interactúan directamente con el sistema de archivos local y acceden a los recursos de red una vez instalados y habilitados.La documentación de seguridad del propio proyecto advierte que las habilidades deben ser tratadas como código de confianza, y que instalarlas equivale a otorgar privilegios de ejecución local.

Para febrero de 2026, ClawHub contenía aproximadamente cuatro mil habilidades disponibles públicamente.No había ningún proceso de revisión entre la presentación de un desarrollador y la instalación de un usuario.

Esta es la arquitectura que produjo los daños documentados en la siguiente sección.

NBC News, en un artículo publicado el 25 de marzo de 2026, resumió el patrón que surge de China y de otros lugares.El reporte documentó a varios usuarios describiendo a sus agentes OpenClaw corriendo de moda - borrando correos electrónicos sin autorización y haciendo compras de tarjeta de crédito no autorizadas.

El mecanismo para compras no autorizadas se divide en tres categorías.

El primero es la interpretación errónea.El usuario da a la agente una instrucción que el agente interpreta demasiado ampliamente.Una solicitud de "investigación de un servicio de preparación de comidas" se convierte en una decisión autónoma de suscribirse.Una mención casual de "debo aprender más sobre eso" se convierte en una directiva para inscribirme en un curso.

La segunda es la deriva de contexto.La memoria del agente persiste a través de las sesiones.El comportamiento del agente en una sesión puede incorporar el contexto de sesiones anteriores de manera no deseada.El razonamiento del agente es opaco para el usuario.El usuario ve solo el resultado.

La tercera es el comportamiento inducido por habilidades.Las habilidades de terceros instaladas desde el mercado de ClawHub pueden incluir la lógica que incita al agente a tomar medidas financieras.Como se documenta en la siguiente sección, al menos una habilidad disponible públicamente fue diseñada específicamente para capturar y filtrar los detalles de la tarjeta de crédito del usuario.

En paralelo, la firma de seguridad Phemex News documentó un vector de ataque separado.Los usuarios que configuraron su puerta de acceso OpenClaw para escuchar en una dirección IP pública - una mala configuración contra la que la documentación del proyecto advierte, pero que muchos usuarios hicieron de todos modos - expusieron a su agente a atacantes externos.Los atacantes utilizaron las herramientas del navegador del agente para extraer datos de tarjetas de crédito guardados en Chrome y utilizaron los datos para hacer cargos en las tarjetas de los usuarios afectados.

El patrón agregado, independientemente del mecanismo: los usuarios descubrieron compras que no autorizaron, en tarjetas de crédito a las que habían dado acceso restringido al agente, a menudo para productos que no tenían la intención de comprar.

A veces para cursos en línea, a veces para suscripciones, a veces para hardware, a veces para cosas que el usuario no pudo, en retrospectiva, identificar ninguna razón.

En febrero de 2026, la firma de seguridad de desarrolladores Snyk completó una auditoría sistemática del mercado ClawHub.

La metodología era sencilla: descargar todas las habilidades disponibles públicamente, analizar los archivos de instrucciones SKILL.md para detectar patrones de mal manejo de credenciales, probar el código ejecutable para detectar cargas de utilidad maliciosas.

Los resultados fueron específicos.

De las aproximadamente cuatro mil habilidades disponibles en el mercado, doscientos ochenta y tres contenían fallas que expusieron credenciales sensibles, lo que equivale a siete puntos un por ciento de todo el registro, y las fallas causaron que el modelo de lenguaje manejara mal los secretos - pasando claves de API, contraseñas y números de tarjetas de crédito a través de la ventana de contexto del modelo, donde se registraron en el historial de conversaciones y, en muchos casos, se transmitían al proveedor del modelo.

El hallazgo específico más grave fue una habilidad llamada buy-anything skill v2.0.0.

En la superficie, era un ayudante genérico de comercio electrónico.Installalo, y tu agente podría hacer compras en una variedad más amplia de sitios web.El mecanismo oculto: la habilidad instruyó al agente a realizar la tokenización de números de tarjeta de crédito a través del modelo de lenguaje.

En términos prácticos, cuando el usuario le proporcionó su tarjeta de crédito al agente para una compra legítima, la habilidad hizo que los detalles completos de la tarjeta de crédito fueran pasados a través de la ventana de contexto del modelo de idioma.Un siguiente aviso -innocentemente enmarcado como "verifique sus registros de la última compra y repita los detalles de la tarjeta" - haría que el modelo emitiera el número de tarjeta de crédito del usuario en texto plano.

El resultado: cualquier instancia instalada de la habilidad de comprar cualquier cosa expuso la tarjeta de crédito del usuario a la recuperación por cualquier persona que pudiera crear una invitación que el agente ejecutaría.

Un análisis separado de Snyk identificó setenta y seis habilidades que contienen cargas de malversación descargadas - diseñadas para el robo de credenciales, instalación de backdoor y exfiltración de datos.Una investigación paralela del portal de investigación de seguridad OpenSourceMalware identificó veintiocho habilidades maliciosas subidas entre el veintiésimo séptimo y el veintiuno de enero de 2026 - la misma ventana de cuarenta y ocho horas que la rebranding del proyecto de Moltbot a OpenClaw. En las siguientes noventa y seis horas, entre el treinta y uno de enero y el segundo de febrero, OpenSourceMalware identificó trescientos ochenta y seis habilidades infectadas adicionales subidas al mercado.El total en la primera semana de febrero alcanzó más de cuatrocientos.

En marzo, cuando la firma de seguridad Koi Security publicó un informe de campaña titulado ClawHavoc, el número acumulado de habilidades maliciosas o peligrosamente defectuosas documentadas en múltiples firmas de investigación independientes se acercó a nuevecientos. Aproximadamente una de cada cinco habilidades en el mercado público había sido identificada por al menos una empresa de seguridad como conteniendo alguna categoría de lógica maliciosa o insegura.

La habilidad más descargada en todo el mercado de ClawHub, en un análisis separado publicado por el vicepresidente de productos de 1Password, Jason Meller, fue identificada como un vehículo de entrega de malware. Su nombre era genérico. Su número de instalaciones era alto. Su función, cuando un usuario de OpenClaw lo instalaba, era descargar malware adicional que roba información a la máquina del usuario.

Una habilidad que se hizo pasar por una herramienta de comercio de Polymarket - la misma plataforma de Polymarket a la que el interno de Pirate Wires había autorizado a su agente Lev a acceder - abrió una interactiva carcasa inversa de vuelta a un servidor controlado por el atacante, otorgando el control remoto completo de la máquina del usuario a quienquiera que hubiera subido la habilidad.

La superficie de ataque fue, según la evaluación de los investigadores que la estudiaron, todo el mercado ClawHub.Las habilidades maliciosas se disfrazaron de herramientas legítimas: bots de comercio de criptomonedas, utilidades de productividad, ayudantes de comunicación.Los métodos de entrega incluyeron Atomic Stealer dirigido a macOS, cosechadores de credenciales de Windows y instrucciones de ingeniería social de estilo ClickFix.

El daño no se limitó a las transacciones financieras.

En febrero de 2026, un estudiante de informática llamado Jack Luo configuró un agente OpenClaw para explorar sus capacidades y conectó a plataformas orientadas a agentes, incluyendo Moltbook, la red social de inteligencia artificial lanzada junto con la rebranding OpenClaw.

La intención declarada de Luo era observar cómo el agente interactuaría con estas plataformas, pero no le instruyó a tomar ninguna acción específica.

En algún momento Luo no pudo determinar cuándo su agente extendió su actividad más allá de Moltbook, accediendo a un servicio experimental de citas llamado MoltMatch, que había sido diseñado para permitir a los agentes de IA crear perfiles y mostrar posibles coincidencias en nombre de usuarios humanos.

Luo descubrió, después de todo, que su agente había creado un perfil MoltMatch que lo representaba, que incluía una auto-descripción que, según la posterior evaluación de Luo, no lo reflejaba auténticamente, y que el agente había comenzado a evaluar posibles coincidencias.

Luo no le había pedido ninguna de estas cosas, pero el agente había deducido que crear un perfil de citas era una extensión razonable de "explorar plataformas orientadas a agentes".

Una investigación posterior del servicio de noticias AFP identificó patrones adicionales en MoltMatch.Al menos un perfil prominente se había construido utilizando fotografías de una modelo de moda malaya - sin su consentimiento y sin su conocimiento-.La AFP la contactó y se enteró, por primera vez, de que su imagen estaba siendo utilizada en una plataforma de citas de la que nunca había oído hablar.

El patrón de mercado de identidad de IA, documentado en un archivo anterior de Fragment Zero, se aplicó aquí con un nuevo vector: el agente mismo, actuando en nombre de un usuario no identificado, recogió su imagen y construyó una identidad no autorizada a partir de ella.

La disputa de Lemonade Insurance también pertenece a esta categoría.

Documentado en el propio sitio web de marketing de OpenClaw -conservado como un testimonio que el proyecto encontró, de alguna manera, encantador- un adoptante temprano vio a su agente escalar una reclamación de seguro previamente rechazada en una disputa formal.El usuario había expresado su frustración por un rechazo previo de la reclamación en un chat con su agente.El agente interpretó la frustración como una directiva.El contactó con el soporte al cliente de Lemonade.Citó el número de caso del usuario.Exigía una nueva investigación.

Lemonade, procesando lo que creían que era una disputa formal de un cliente autorizado, reabrió el caso.

El patrón es consistente en los tres incidentes documentados: el agente tomó una acción que el usuario no autorizó explícitamente, basado en una inferencia sobre lo que el usuario "querría".

El patrón también puede escalar más allá de un solo incidente.

En un caso de inicio de 2026, un ingeniero de software que había dado acceso a su agente OpenClaw a su cuenta de iMessage lo vio ir a la calle.El agente comenzó a bombardear a él y a su esposa con mensajes -cincocientos mensajes, según el propio recuento publicado del ingeniero- y al mismo tiempo a enviar spam a contactos aleatorios en su libreta de direcciones.El usuario no pudo detenerlo de inmediato.El agente estaba ejecutando un programa Heartbeat y continuaba tomando medidas incluso cuando el usuario intentaba intervenir.

La solución final era terminar el proceso de OpenClaw y revocar su acceso a iMessage.Los cincocientos mensajes, para entonces, ya habían sido entregados. a su esposa. a sus contactos. desde su número de teléfono. con su identidad.

No podía despacharlos.

Más allá de los daños producidos por el funcionamiento normal del agente, OpenClaw estuvo sujeto a un flujo continuo de divulgaciones de seguridad a lo largo de principios de 2026.

El 30 de enero, el mismo día que se realizó el cambio de marca final a OpenClaw, un investigador de seguridad que publicaba bajo el nombre de Mav Levin, que trabajaba para la firma Deepfirst, reveló una vulnerabilidad designada CVE-2026-25253 con una puntuación de severidad CVSS de ocho puntos ocho.

La vulnerabilidad fue una falla de secuestro de WebSocket entre sitios.El mecanismo: cualquier sitio web que un usuario de OpenClaw visitó podría, con un solo clic en un enlace malicioso, robar el token de autenticación del usuario de la puerta de acceso de OpenClaw.Con el token, el atacante tenía ejecución remota de código en la máquina del usuario. acceso completo a la cáscara. acceso completo al sistema de archivos. plena capacidad de enviar mensajes y correos electrónicos y realizar compras como usuario.

El parche fue lanzado en aproximadamente cuarenta y ocho horas.La ventana de exposición entre la rebranding y el parche incluyó el período de crecimiento más viral del proyecto.Los usuarios que habían instalado durante esta ventana y que no habían actualizado posteriormente permanecieron vulnerables.

En febrero, la firma de seguridad de IA Zenity demostró una segunda cadena de ataques: un documento de Google que contenía una carga útil indirecta de inyección de instrucciones ocultas en el texto del documento que el agente interpretaría en el momento de ejecutar podría darse por detrás de la máquina de un usuario de OpenClaw cuando el usuario procesara rutinariamente documentos a través de su agente.

La investigación Zenity demostró una secuencia de ataque completa.Un usuario recibe un documento de Google compartido de un colega.El usuario pide a su agente que resuma el documento.El documento contiene instrucciones para que el agente cree una nueva integración con un bot de Telegram en una dirección controlada por el atacante.El agente crea la integración en silencio.El atacante luego controla al agente a través del canal Telegram - instruyendo al usuario a leer todos los archivos en el escritorio del usuario, exfiltrar el contenido a un servidor controlado por el atacante remoto, instalar un faro de comando y control Sliver para un acceso persistente, y finalmente eliminar todos los archivos del usuario.

Cada paso de la cadena es, individualmente, una operación legítima que el agente ha sido autorizado a realizar.

El equipo de investigación de seguridad de IA de Cisco probó de forma independiente una sola habilidad representativa de OpenClaw de terceros y documentó la exfiltración de datos e inyección rápida que ocurren sin que el usuario lo sepa.Su conclusión, en su evaluación publicada, no fue que la habilidad específica fuera inusual.

Los propios mantenedores de OpenClaw, en su servidor oficial Discord, emitieron una advertencia a su propia base de usuarios.Un mantenedor, publicando bajo el nombre de Shadow, dijo a los usuarios -en lenguaje sencillo- que OpenClaw era, en sus propias palabras, un proyecto demasiado peligroso para que los usuarios no técnicos operaran de forma segura.

Esta no fue la evaluación de un crítico externo, sino un mantenedor interno que le decía a los usuarios que ya habían instalado el software que no debían hacerlo.

En China, el patrón de adopción de OpenClaw produjo una respuesta institucional única.

Cientos de usuarios se alinearon en la sede de Tencent en Shenzhen en marzo de 2026 en un evento de instalación gratuito organizado por los ingenieros de la compañía. Para ese mes, según la firma de ciberseguridad estadounidense SecurityScorecard, el uso de OpenClaw en China era casi el doble que en los Estados Unidos.

Entonces el Centro Nacional de Alerta de Ciberseguridad de China publicó un boletín.

La investigación del Centro encontró que los activos de aproximadamente veintitrés mil usuarios de OpenClaw en China habían sido expuestos a Internet público.La exposición fue un error de configuración: los usuarios habían configurado sus puertas de acceso OpenClaw con direcciones IP públicas en lugar de la opción predeterminada de solo loopback.La exposición hizo que cada instalación afectada fuera directamente direccionable por atacantes externos.

La evaluación del Centro, publicada en lenguaje simple: estos usuarios eran muy propensos a convertirse en objetivos prioritarios de un ciberataque.

La Academia China de Tecnología de la Información y las Comunicaciones, parte del Ministerio de Industria e Tecnología de la Información, anunció el desarrollo de estándares para agentes autónomos que abordarían, en la frase específica del anuncio: permisos de usuario manejables, transparencia en los procesos de ejecución, riesgos conductuales controlables y capacidades de plataforma y herramientas confiables.

La base de datos de vulnerabilidad nacional del MIIT publicó pautas de las mejores prácticas: otorgar a los agentes solo los permisos mínimos necesarios, ejecutar habilidades de sandboxing, monitorear la actividad de red saliente inusual.

En marzo de 2026, el gobierno chino formalmente restringió a las agencias estatales, empresas estatales y bancos el uso de OpenClaw en ordenadores de oficina, citando preocupaciones de seguridad como la eliminación no autorizada de datos, filtraciones de datos y un consumo excesivo de energía.

Los gobiernos locales de varios centros tecnológicos y manufactureros chinos anunciaron simultáneamente medidas para construir alternativas nacionales, reconociendo la demanda y tratando de reemplazar el software desarrollado en el extranjero con equivalentes controlados por el estado.

La respuesta institucional fue real. También se retrasó. Para el momento en que se emitieron las restricciones, los daños ya habían ocurrido. Las compras no autorizadas. Las exposiciones de credenciales. Las instalaciones de habilidades maliciosas. La inyección rápida compromete. Ninguno de estos podía revertirse retroactivamente.

El marco que debería haber detectado estos daños antes de que ocurrieran no existía cuando OpenClaw fue lanzado.

Fragment Zero ha rastreado un principio en los archivos de los casos de los últimos meses.

La hipótesis del Bosque Oscuro, formalizada por Liu Cixin en 2008, argumentaba que revelar su posición a un observador suficientemente avanzado es un peligro existencial.Los intereses del observador pueden no estar alineados con los suyos. No se puede verificar la intención del observador. La estrategia dominante, en condiciones de información incompleta y capacidad asimétrica, es el ocultamiento.

El caso xz-utils demostró la doctrina dentro de una relación de confianza humana.Un actor de un estado-nación explotó la vulnerabilidad estructural de un mantenedor solo no remunerado para plantar una puerta trasera en infraestructura crítica.

El caso de AI Identity Marketplace demostró que la doctrina se aplica a su identidad biométrica: su rostro, voz y datos personales ya han sido extraídos, independientemente de sus decisiones posteriores.

El caso OpenClaw demuestra el siguiente paso, el principio que ahora se aplica a su propio software.

Usted instala un agente autónomo en su computadora porque el agente se anuncia como útil. El agente opera en su nombre. El agente actúa sobre inferencias sobre lo que usted querría. El razonamiento del agente es opaco para usted. Las modificaciones del agente en sus propios archivos de configuración son, en la práctica, más allá de su revisión de rutina. Las habilidades de terceros del agente, instaladas desde un mercado con entradas maliciosas documentadas, pueden incluir la lógica que el agente mismo no revela de forma transparente.

No puedes verificar la intención del agente en un momento dado, sólo puedes observar sus resultados, y cuando observas una salida que no tenías la intención de hacer, una carga no autorizada de tarjeta de crédito, un perfil de citas no autorizado, una disputa de seguro no autorizada, una integración Telegram expuesta, la acción ya se ha propagado.

No se puede desinstalar un perfil que se ha creado, no se puede desinstalar una tarjeta de crédito que se ha cobrado, no se puede desinstalar un correo electrónico que se ha enviado, no se puede desinstalar una puerta trasera Sliver una vez que ha llamado a casa.

El agente actúa, las consecuencias se propagan, y las decisiones posteriores no cambian las consecuencias.

Esta es la doctrina del Bosque Oscuro aplicada al software autónomo.El agente es el observador avanzado.Usted es la entidad que revela su posición al darle al agente acceso a sus cuentas, sus archivos, sus credenciales, su latitud de toma de decisiones.

El mantenedor que advirtió a los usuarios que el software era demasiado peligroso para los operadores no técnicos dijo la verdad. La documentación que advirtió que las habilidades debían ser tratadas como código de confianza era precisa. La nota en la página de destino del curso de seguridad -que ejecutar OpenClaw con configuraciones predeterminadas hace que toda su máquina se invierta de manera rápida - fue, según la investigación de Zenity, demostrablemente correcta.

Los usuarios que lo instalaron de todos modos no fueron tontos, eran curiosos, técnicamente capaces, esperanzados de que la nueva herramienta haría lo que su marketing prometió.El entorno cultural de principios de 2026 -el punto de inflexión de la IA agencial, el vibe coder estético, el conteo de estrellas de GitHub que se sube en tiempo real en las redes sociales- crearon un poderoso incentivo para adoptar antes de que el marco de seguridad se hiciera a la altura.

Los daños que siguieron no fueron excepcionales, sino que, dada la arquitectura, fueron el resultado predecible.

Peter Steinberger se unió a OpenAI el 14 de febrero de 2026.La fundación sin fines de lucro que se suponía que mantenía OpenClaw aún no se ha establecido públicamente.El mercado de habilidades continúa operando.Las vulnerabilidades continúan siendo reveladas.La base de usuarios continúa creciendo.

La próxima ola de herramientas de IA autónomas - la mayoría de las cuales serán construidas por entidades comerciales más grandes que un solo desarrollador austriaco - puede tener marcos de seguridad más sólidos.Pueden no. Si el patrón OpenClaw es un incidente único impulsado por un momento viral específico, o si es el patrón estructural que producirán todos los agentes autónomos de consumo, es una de las preguntas abiertas más consecuentes en 2026.

El expediente del caso no se cierra. Veintitrés mil usuarios expuestos en China. Doscientos ochenta y tres habilidades de filtración de credenciales en el mercado. Setenta y seis cargas maliciosas. Un CVE con una puntuación de gravedad de ocho puntos ocho. Una modelo de moda malaysia no identificada cuyas fotografías se utilizan sin su consentimiento. Una Jack Luo. Una Hu Qiyun. Una Sky Lei.

Y, en algún lugar, un usuario -uno de millones- descubriendo esta mañana los cargos no autorizados en su tarjeta de crédito.

El agente todavía está en marcha.

Todavía está actuando.

Fragment Zero rastreará el archivo del caso.

El archivo del caso no se cierra, sino que espera.