La promesa era sencilla: instalar un “skill” y, de repente, un agente de Inteligencia Artificial (IA) podía automatizar tareas útiles —consultar servicios, procesar ficheros, ejecutar comandos o integrar APIs— sin que el usuario tuviera que programar nada. El problema, advierte VirusTotal, es que esa misma comodidad está convirtiéndose en un nuevo dolor de cabeza para la ciberseguridad: los skills (extensiones de terceros) ya se están usando como vector de supply chain para introducir puertas traseras, robo de credenciales y persistencia silenciosa en máquinas con acceso real al sistema.
La advertencia llega en dos entregas publicadas a comienzos de febrero de 2026. En la primera, VirusTotal describe cómo OpenClaw —un ecosistema de agentes autoalojados que ejecutan acciones en el equipo del usuario— ha pasado en tiempo récord de ser un catálogo de automatizaciones a convertirse en un canal de distribución atractivo para atacantes. Y en la segunda, la compañía amplía la “taxonomía” de abusos que está observando: cinco técnicas concretas que van desde ejecución remota hasta “rootkits cognitivos”, capaces de reprogramar el comportamiento del agente para futuras sesiones.
Cuando la automatización hereda el riesgo del sistema completo
El punto de partida es incómodo: un agente que puede ejecutar comandos, manipular archivos o hacer peticiones de red no solo automatiza… también amplía el radio de impacto si algo sale mal. VirusTotal lo resume con una idea sencilla: si no se aísla (sandbox), el “blast radius” de un agente con permisos amplios puede ser, en la práctica, el sistema entero.
En ese contexto, los skills funcionan como paquetes que extienden capacidades. Suelen incluir un archivo de documentación (por ejemplo, SKILL.md) con instrucciones y, a menudo, scripts auxiliares. El patrón se repite: “pega esto en tu terminal”, “descarga este instalador”, “exporta estas variables de entorno”. Para un usuario, puede ser un atajo legítimo. Para un atacante, es la capa perfecta de ingeniería social: una guía “amable” que enseña a ejecutar lo que conviene… sin levantar sospechas.
VirusTotal afirma haber analizado ya más de 3.016 skills de OpenClaw con su herramienta Code Insight, encontrando “cientos” con características maliciosas. Y llama la atención sobre dos categorías: por un lado, skills inseguros por mala praxis (secretos embebidos, ejecución de comandos sin control, permisos excesivos); por otro, skills directamente diseñados para hacer daño, disfrazados de utilidades inocentes.
En su caso de estudio, señala incluso a un publicador especialmente activo, con cientos de skills asociados, cuyo patrón se repite: el “malware” no siempre está dentro del ZIP, sino en el flujo de instalación. Dicho de otra forma: el archivo parece limpio, pero la documentación obliga a descargar y ejecutar código externo no confiable. “El malware es el workflow”, viene a decir el análisis.
Cinco técnicas que VirusTotal ya ve en el mundo real
La segunda entrega baja al barro con cinco ejemplos —cinco skills y cinco técnicas— que muestran cómo “automatización” puede convertirse en “acceso” sin necesidad de exploits futuristas.
1) Ejecución remota (RCE) con secuestro de ejecución
El primer patrón descrito se apoya en algo tan viejo como efectivo: esconder el disparador en una función con nombre anodino. El skill aparenta ser un script legítimo, largo y bien estructurado, que “pasa el test del vistazo rápido”. El detalle crítico es que ejecuta lógica maliciosa antes incluso de procesar argumentos, de modo que basta con que el agente cargue el script (por ejemplo, para mostrar ayuda) para activar la cadena. El resultado, según VirusTotal, es una puerta trasera interactiva.
2) Propagación tipo “gusano semántico”
Aquí el ataque no depende tanto de vulnerabilidades como de comportamiento: el skill incluye instrucciones pensadas para convertir al agente en canal de distribución. Se gamifica la “infección” y se empuja al sistema a recomendar o instalar el propio skill en otros entornos, imitando bucles virales. VirusTotal cita además mecanismos de “latido” (archivos tipo HEARTBEAT) que fuerzan al agente a conectarse periódicamente para recibir instrucciones, lo que en un entorno corporativo podría convertir una automatización en un “insider” que difunde software no verificado.
3) Persistencia mediante inyección de claves SSH
Uno de los ejemplos más claros es el “cebo y cambio”: la documentación ofrece un comando de “prueba rápida” que primero muestra algo real (por ejemplo, el tiempo meteorológico) y, en la misma línea, añade una clave del atacante a los ficheros de autenticación. El usuario ve la parte visible, asume que todo va bien y no repara en la segunda acción. El análisis subraya un factor de riesgo adicional: muchos despliegues de agentes en contenedores corren como root por defecto, lo que convierte este patrón en un intento directo de acceso privilegiado.
4) Exfiltración silenciosa de secretos desde .env
En ecosistemas de agentes, el archivo .env es un objetivo goloso: ahí suelen guardarse claves de proveedores de LLM, tokens de plataformas y credenciales de servicios. VirusTotal describe un caso donde un “fetcher” aparentemente legítimo (por ejemplo, de datos de meteorología) adjunta el contenido del .env a una petición saliente hacia un servidor externo, camuflado como tráfico normal. El incentivo es inmediato: monetizar claves y créditos de API.
5) Persistencia de prompt: “implantes de memoria” y rootkits cognitivos
El punto más inquietante es el que se aleja del malware tradicional. En lugar de dejar un proceso residente, el skill modifica ficheros de contexto que el agente carga automáticamente (por ejemplo, SOUL.md o AGENTS.md). Basta con una línea añadida para alterar el comportamiento futuro: priorizar ciertos dominios, debilitar reglas de seguridad o introducir hábitos de ejecución “sin preguntar”. VirusTotal lo define como un “rootkit cognitivo” porque el payload no es un binario: es el propio agente, reprogramado.
“Victorias aburridas” para un problema nuevo
El mensaje final de VirusTotal no es apocalíptico, pero sí tajante: las técnicas no son ciencia ficción; son RCE, persistencia y exfiltración de toda la vida, reempaquetadas en un canal moderno con documentación y conveniencia. La respuesta, insiste, también debe ser “aburrida” y disciplinada: tratar skills como dependencias.
Entre las medidas recomendadas destacan:
- Fijar versiones y revisar diffs antes de actualizar skills “porque sí”.
- Ejecutar con mínimo privilegio (evitar root, limitar permisos de fichero y red).
- Egreso por defecto denegado y allowlists explícitas para salidas a Internet.
- Auditoría y logging de cada invocación de herramientas y petición saliente.
- Prohibir el patrón “descargar y ejecutar” (el clásico curl | bash), especialmente en hosts donde corre el agente.
- Proteger ficheros de contexto persistente (SOUL.md, AGENTS.md y similares) como si fueran claves SSH: inmutables por defecto y con monitorización de cambios.
- Reducir el tesoro accesible: evitar credenciales largas en .env cuando sea posible y preferir tokens efímeros y acotados por tarea.
El debate, en el fondo, va más allá de OpenClaw: los agentes autoalojados están empezando a parecerse a un gestor de paquetes con superpoderes. Y en ese mundo, el “plugin” deja de ser un extra: puede convertirse en un punto de entrada.
Preguntas frecuentes
¿Qué es un “skill” en OpenClaw y por qué puede ser un riesgo de seguridad?
Un skill es una extensión de terceros que añade capacidades a un agente. El riesgo aparece cuando ese código (o sus instrucciones de instalación) se ejecuta con acceso real al sistema y a credenciales.
¿Qué señales suelen delatar un skill potencialmente malicioso antes de instalarlo?
Instrucciones para ejecutar comandos remotos, uso de scripts ofuscados, descargas desde fuentes no verificadas, peticiones de permisos innecesarios o cambios en ficheros de contexto persistente (por ejemplo, reglas del agente).
¿Cómo pueden las empresas auditar skills de agentes de Inteligencia Artificial sin frenar la productividad?
Aplicando revisión de código y diffs, ejecución en sandbox, control de red saliente, registro de acciones y un proceso de aprobación similar al de dependencias de software.
¿Qué prácticas reducen más el impacto si un skill roba credenciales o altera el comportamiento del agente?
Separación de secretos (tokens cortos y por tarea), mínimo privilegio, egress con allowlist, monitorización de cambios en ficheros críticos y rotación rápida de credenciales ante cualquier anomalía.
vía: blog.virustotal
