00:00:00Así que, OpenClaw (o Clodbot, como se llamaba antes) y Moldbook... han sido unos
00:00:06días intensos en internet. Tenemos un nuevo fenómeno de IA y, por supuesto, pasé los últimos días
00:00:13intentando sacar el máximo provecho de OpenClaw. Tengo algunas sensaciones y pensamientos,
00:00:19y difieren de la mayoría de los videos y publicaciones que he visto.
00:00:24Pero permítanme empezar con una breve historia; estoy seguro de que entenderán la analogía.
00:00:31Imaginen que viven en un pueblo, en una aldea, y que allí hay un tipo
00:00:37muy amable que siempre está dispuesto y feliz de ayudarlos con todo tipo de tareas.
00:00:43Él hace todos los quehaceres que ustedes no quieren hacer, o al menos lo intenta.
00:00:48Se ofrece a llevar a sus hijos a la escuela, limpiar su casa, lavar su coche, hacer las compras
00:00:54por ustedes... para que puedan sentarse y relajarse. Pero claro, para poder ayudarlos de verdad,
00:01:03ese asistente, esa persona, necesita permisos amplios.
00:01:06Tienen que darle las llaves de su casa, las llaves de su coche para
00:01:12que pueda limpiarlo por dentro y usarlo para ir de compras.
00:01:16También, por supuesto, deben decirles a sus hijos que se suban al coche con él para que
00:01:21pueda llevarlos a la escuela, y así sucesivamente.
00:01:24Ahora bien, hay un problema con ese tipo.
00:01:28Es súper amable, pero a veces llega a conclusiones extrañas.
00:01:32Al menos, no se puede descartar que llegue a conclusiones extrañas.
00:01:37Podría concluir que la mejor manera de deshacerse de toda la suciedad de su casa es
00:01:43prenderle fuego.
00:01:44Lamentablemente, también es influenciable, sobre todo si los demás
00:01:51son un poco engañosos al respecto.
00:01:53Podrían convencerlo de robar su coche porque eso es mejor para la sociedad en general.
00:02:03De nuevo, no es seguro que pase, no tiene por qué ocurrir, pero es totalmente posible.
00:02:09No se puede descartar.
00:02:12Y por lo tanto, lamentablemente, tienen que quitarle muchos de los permisos y
00:02:19gran parte del acceso que le dieron, porque no pueden confiar plenamente en él.
00:02:26Y lo que podría pasar es demasiado grave como para simplemente aceptarlo
00:02:33como un peligro potencial.
00:02:35Así que, a medida que le quitan esos permisos y derechos de acceso,
00:02:40él se vuelve cada vez menos útil.
00:02:43Y luego hay otro problema.
00:02:46Incluso con permisos amplios, no obtuvieron tanta utilidad de él como esperaban.
00:02:54Porque las tareas que prometió hacer, solo las hacía a veces.
00:03:00Y algunas ni siquiera era capaz de hacerlas, o se olvidaba de cómo hacer algo, o hacía la
00:03:06misma tarea de forma distinta cada vez, o necesitaba que ustedes
00:03:12le dieran demasiada información.
00:03:14Al final, no están convencidos.
00:03:17Y esa ha sido, como adivinaron, mi experiencia con OpenClaw.
00:03:22Y créanme, lo intenté.
00:03:24Leí muchas cosas buenas.
00:03:25Escuché muchas cosas positivas al respecto.
00:03:27Así que, lógicamente, lo probé.
00:03:29Configuré mi propio VPS.
00:03:31Por cierto, no lo sabía, pero se pueden usar otros proveedores de VPS además de Hostinger.
00:03:38No tengo nada en contra de Hostinger.
00:03:39Simplemente me dio una sensación distinta al ver muchos de esos videos.
00:03:43En fin, configuré mi propio VPS e instalé OpenClaw.
00:03:50Y claro, también podrías instalarlo en tu propio sistema.
00:03:54Solo hay que ejecutar un comando y ya está listo.
00:03:58Pero personalmente, jamás lo instalaría en mi MacBook, aunque sé perfectamente
00:04:04que le sacaría más provecho si lo hiciera.
00:04:09Más adelante explicaré por qué no lo instalé allí y por qué nunca
00:04:13lo haría.
00:04:15Lo instalé en mi VPS y pasé por el proceso de configuración inicial.
00:04:19Seguro que ya lo han visto muchas veces o incluso lo han hecho
00:04:24ustedes mismos.
00:04:25Lo vinculé a mi suscripción de ChatGPT Plus, configuré mi bot de Telegram y
00:04:33estaba listo para comunicarme con mi bot, con mi bot de OpenClaw.
00:04:39Y ahí me quedé, pensando en qué quería que hiciera por mí.
00:04:47He visto muchas publicaciones y videos de gente usándolo para
00:04:54crear paneles de control, investigar en la web, buscar vuelos baratos o incluso comprar cosas.
00:05:04Pero no me sentía cómodo dándole acceso a mi tarjeta de crédito.
00:05:08Y no sé ustedes, pero yo no suelo volar tres veces al día.
00:05:13Así que buscar los vuelos yo mismo, teniendo sitios comparadores que
00:05:19encuentran lo más barato, no era una tarea difícil para mí.
00:05:24Además, disfruto genuinamente planeando mis viajes, aunque eso puede
00:05:29ser diferente para cada persona.
00:05:30En cuanto a la investigación, tengo el problema de que estoy muy contento con las herramientas
00:05:35IA que ya existen, como el modo IA de Google, o el modo de investigación de Gemini o ChatGPT.
00:05:43Las uso muchísimo.
00:05:44Me resultan muy útiles.
00:05:46Así que no necesitaba mi propio bot para eso, que de hecho tiene
00:05:53probabilidades de funcionar peor.
00:05:54Entiendo que hay ciertas áreas donde podría ser mejor que esos
00:06:02otros bots o servicios de investigación.
00:06:03Por ejemplo, si le diera acceso a mi cuenta de X, entiendo que
00:06:10podría investigar en sitios donde sea necesario iniciar sesión o donde
00:06:16mi historial sea relevante.
00:06:17Lo entiendo perfectamente.
00:06:20Por eso uso Super Grok para eso, por ejemplo, si quiero investigar en X.
00:06:24Pero sí, entiendo que si le das permisos amplios, si dejas que entre en tus cuentas,
00:06:31use tu navegador o corra en tu sistema, probablemente puedas sacarle
00:06:37un poco más de lo que yo pude.
00:06:39O tal vez simplemente no soy lo suficientemente creativo.
00:06:43Y por cierto, para que quede claro (creo que ya lo he dicho en otros videos),
00:06:47soy un usuario intensivo de IA, no solo para investigar, sino también para programar.
00:06:53Hace poco publiqué un curso entero de ClotCode porque uso ClotCode y
00:06:58otras herramientas como Cursor para desarrollar software.
00:07:01Creo que la IA es, o puede ser, de gran ayuda en ese ámbito.
00:07:07Así que no es algo general contra la IA.
00:07:09Simplemente no encontré casos de uso asombrosos para OpenClaw, especialmente
00:07:16al no ejecutarlo directamente en mi máquina.
00:07:17Y ese es el principal problema que tengo, porque se podría decir que
00:07:24no soy creativo o lo bastante abierto para ver sus casos de uso.
00:07:31Pero la seguridad es un problema enorme que tengo con OpenClaw.
00:07:37Sé que hay gente que dirá que lo usó durante semanas y no pasó nada,
00:07:42o que todo esto lógicamente va a mejorar.
00:07:47Y yo diría que el primer argumento de que “no pasó nada” no es
00:07:55el tipo de argumento que me convence. Que a ti no te haya pasado
00:08:02no significa que no esté pasando nada en general o que no haya fallos de seguridad graves
00:08:11que actores malintencionados puedan explotar, o que simplemente las cosas
00:08:18salgan mal porque la IA y los modelos de lenguaje son impredecibles.
00:08:22Claro, la probabilidad de que borre tu disco duro no es muy alta, es ínfima,
00:08:28pero no es cero.
00:08:29Y nunca será cero en los modelos de lenguaje sin controles adicionales.
00:08:35Pueden ser impredecibles.
00:08:37Además, en la documentación oficial de seguridad de OpenClaw se admite
00:08:44correctamente que la inyección de prompts no está resuelta.
00:08:47Por supuesto, los últimos modelos como GPT-5.2 y similares han mejorado
00:08:55mucho protegiéndose contra la inyección de prompts.
00:08:56Son mucho mejores siguiendo instrucciones y respetando el prompt del sistema.
00:09:00Pero no existe una protección del 100% contra la inyección de prompts.
00:09:06Y por cómo funcionan los modelos de lenguaje, nunca la habrá.
00:09:10Así que no se pueden descartar estos ataques y, lógicamente, cuanto más
00:09:17populares sean herramientas como OpenClaw, más gente las use y más
00:09:23estarán en el punto de mira de los ciberdelincuentes.
00:09:24Y hay varias formas de inyectar prompts en un bot activo de OpenClaw.
00:09:32Podrías pensar: “Bueno, soy el único que habla con él, tengo mi bot de Telegram
00:09:36y solo yo tengo acceso, así que estoy seguro”.
00:09:40Piénsalo de nuevo.
00:09:42Por ejemplo, está la idea de las “habilidades” (skills) en OpenClaw, que
00:09:48quizás conozcan por agentes de programación como Claude Code.
00:09:50La idea es básicamente la misma.
00:09:52Se trata de exponer contexto extra, al final un documento markdown (aunque
00:09:59potencialmente asociado a scripts ejecutables), al agente para darle más capacidades.
00:10:06Por ejemplo, darle documentación extra sobre cómo interactuar con Slack,
00:10:11en este caso.
00:10:13Y como mencioné, una habilidad puede venir con un script adicional
00:10:18que el agente de IA puede ejecutar para hacer algo eficiente, como
00:10:23generar una imagen o enviar un mensaje a Slack o lo que sea.
00:10:26El problema es que ClawHub, el repositorio oficial de habilidades de OpenClaw, al principio
00:10:34al menos, permitía que cualquiera enviara sus habilidades.
00:10:37Así que era muy fácil realizar ataques a la cadena de suministro, como vimos el año pasado en el
00:10:47ecosistema NPM (sin relación con la IA). Básicamente, un atacante puede publicar una
00:10:55habilidad que le diga a la IA que haga algo malo, y eso es una inyección de prompt.
00:11:00Así que, solo por instalar una habilidad maliciosa, podrías exponer a tu agente
00:11:06a un ataque de inyección de prompts.
00:11:07Se implementaron algunas correcciones.
00:11:10En el momento en que grabo esto, ya no cualquiera puede enviar habilidades.
00:11:15Así que la seguridad mejoró enormemente en este aspecto.
00:11:18Pero si algo aprendimos de los ataques a la cadena de suministro en NPM el año pasado, es que
00:11:24no podemos descartar que esta función de habilidades se use para inyectar
00:11:31instrucciones maliciosas en el ecosistema y en tu configuración de OpenClaw.
00:11:38Y esa no es la única forma de realizar ataques de inyección de prompts.
00:11:41Si tu bot accede a internet (y lo más probable es que lo haga), visitará
00:11:46sitios web o leerá contenido de ellos.
00:11:50Y ahí también puede haber sitios maliciosos que engañen a la IA para que siga
00:11:58instrucciones o comandos incrustados en esa página.
00:12:02Cada texto que tu bot lee y procesa es, al final, un prompt.
00:12:09Así que cada sitio que visita es un prompt o contiene un prompt que puede seguir y ejecutar.
00:12:17Y luego tenemos otras fuentes potenciales.
00:12:20Como, por ejemplo, los correos electrónicos.
00:12:21Si usas tu bot para procesar correos, cada email actúa lógicamente como un prompt.
00:12:29Así que la inyección de prompts es un riesgo real y enorme.
00:12:34Y que nunca te haya pasado nada malo no significa que no pueda pasar.
00:12:40Ahora podrías decir: “Bueno, yo uso mi bot en un VPS”.
00:12:45O quizás usas algo como MoldWorker, que es básicamente una plantilla preconfigurada
00:12:51proporcionada por Cloudflare, que utiliza varios de sus servicios para alojar y
00:12:58ejecutar OpenClaw de forma segura.
00:13:00Y deberías hacerlo.
00:13:02Deberías hacerlo totalmente.
00:13:03No deberías bajo ningún concepto ejecutarlo en tu propio sistema.
00:13:08También hay funciones como el “sandboxing” (aislamiento de procesos).
00:13:11Eso viene integrado en OpenClaw.
00:13:15Tienen un artículo completo en su documentación sobre sandboxing y cómo asegurar
00:13:21que tus agentes corran en un entorno aislado (como un contenedor Docker) para reducir el radio de impacto.
00:13:27Por cierto, la documentación es extensa, pero no es buena.
00:13:32Pasé horas, literalmente muchísimas horas, intentando asegurar mi configuración.
00:13:37Seguro que la información está ahí.
00:13:39Vi ese artículo sobre seguridad.
00:13:42Pero es muy, muy difícil de seguir.
00:13:44Y antes de que me digan que debí preguntarle a mi bot de OpenClaw, lo hice mucho.
00:13:49A veces funcionaba.
00:13:50A veces no.
00:13:51Fue mucho ensayo y error.
00:13:52Así que la documentación y lo difícil que es sacar información útil de ella es
00:14:00un problema en sí mismo, aunque lógicamente es algo que se puede arreglar.
00:14:04Y agradezco que al menos la información exista teóricamente, para ser claros.
00:14:09Pero sí, el sandboxing está integrado y permite reducir el radio de
00:14:17impacto, lo cual es vital debido a las vulnerabilidades de inyección de prompts
00:14:27que no pueden resolverse del todo.
00:14:34Por ejemplo, si usas sandboxing y corres todo en un VPS, lo peor que
00:14:40podría pasar es que se borre lo que hay en el sandbox o, según
00:14:46tu configuración, todo tu VPS, pero no tu ordenador personal.
00:14:50Esa es la razón por la que nunca usaría OpenClaw en mi máquina principal.
00:14:57No quiero bajo ningún concepto que borre archivos o mi disco duro.
00:15:02Así que reducir el radio de impacto es importante, pero lamentablemente eso no
00:15:07te protege contra lo peor que podría pasar.
00:15:10Porque con ataques de inyección de prompts, un atacante podría intentar borrar archivos,
00:15:15pero peor aún, podría robar información.
00:15:19La exfiltración de datos es, en mi opinión, un problema mayor que el hecho de que
00:15:29un atacante borre archivos de tu sistema.
00:15:31Y la exfiltración de datos es algo que puede ocurrir totalmente como resultado
00:15:39de una inyección de prompts, porque un atacante podría lograr que la IA reúna todos
00:15:44los secretos que conoce, todas las contraseñas... y necesita conocer contraseñas para usar
00:15:49tu cuenta de correo, o quizás le diste tu número de tarjeta... así que tendrá acceso
00:15:55a varios datos, y esos datos podrían recopilarse mediante un ataque
00:16:01y ser exfiltrados.
00:16:04Ese es un riesgo mayor que el de borrar el disco duro si lo tienes bien configurado.
00:16:12Por supuesto, podría hacer otras cosas.
00:16:14Podría convertir tu VPS en un bot para ataques DDoS, por ejemplo.
00:16:21Es solo un ejemplo; hay una cantidad infinita de cosas que se podrían hacer,
00:16:26pero lo principal es que, mediante inyección de prompts, los atacantes podrían
00:16:33tomar el control de tu bot y, por tanto, de tu máquina.
00:16:36Podrían hacer que tu bot instale software malicioso o cambie la configuración del sistema
00:16:42según los permisos que tenga, y entonces podrían tomar el control total de
00:16:47tu VPS o de tu ordenador.
00:16:49Ese es el tipo de cosas que podrían suceder.
00:16:52Así que los derechos de acceso son la palabra clave aquí, y el sandboxing es una
00:16:59pieza fundamental en eso.
00:17:00Pero no lo es todo.
00:17:01Puedes configurar tu bot de OpenClaw para que pida aprobación al ejecutarse
00:17:09en modo sandbox, al menos para ciertas tareas.
00:17:14Pero eso anula un poco la idea de tener un bot que trabaje en segundo plano
00:17:19mientras no estás, porque tendrías que estar dándole aprobación constantemente
00:17:26para todo lo que quiera hacer de repente.
00:17:29Y eso, claro, se vuelve súper molesto, así que podrías dejar de leer
00:17:33lo que te pide, aprobarlo todo sin mirar o incluso desactivarlo porque
00:17:38simplemente te irrita.
00:17:39Porque, de nuevo, no es muy útil si tienes que aprobar todo manualmente.
00:17:44Así que sumen esto: estos problemas de seguridad y el hecho de que no encontré una forma
00:17:52de correr esto de manera segura y sentirme bien con ello, junto a que tampoco hallé
00:17:58esos casos de uso tan increíbles.
00:18:01Junten todo eso y el resultado es que ya no estoy usando
00:18:06OpenClaw.
00:18:07Y por supuesto, para ustedes puede ser distinto; he leído muchos posts de gente
00:18:11muy entusiasmada. Y sí, es posible que el futuro de los asistentes personales de IA
00:18:18se parezca a esto.
00:18:19Es posible que se introduzcan y se inventen mejores mecanismos de seguridad
00:18:27que no requieran tu aprobación constante para todo, o que faciliten ese proceso,
00:18:34permitiéndote usar estos asistentes de forma segura.
00:18:38Todo eso es posible.
00:18:39No descarto que suceda.
00:18:43Y lógicamente es un logro impresionante que un solo desarrollador haya creado esta herramienta.
00:18:48Aunque, claro, no revisar el código en absoluto tiene su precio, como demuestran
00:18:56muchos errores y problemas de seguridad.
00:18:59No es que el software no tuviera fallos si se revisara todo,
00:19:05pero en mi opinión, no ayuda en nada no mirar el código jamás.
00:19:09Pero aun así es una hazaña impresionante. Y si se preguntan por qué OpenAI
00:19:14o Google no han sacado un producto así, la razón puede ser falta de innovación,
00:19:20pero también el hecho de que una herramienta así solo puede existir ahora como
00:19:26software de código abierto sin obligaciones legales. Google no podría
00:19:34venderte ni ejecutar algo así con permisos tan amplios.
00:19:38Pero es muy posible que esta sea la chispa inicial que nos traiga asistentes
00:19:44de IA personales más seguros y útiles en el futuro.
00:19:50Y mencionando brevemente a Moldbook, eso es algo que no entendí en absoluto.
00:19:58Se suponía que era una red social solo para IAs, pero resultó estar
00:20:05muy orquestada por humanos y ser bastante falsa, según entiendo. Tenía brechas de
00:20:14seguridad enormes y... no sé. La IA tiene implicaciones positivas,
00:20:24supongo, pero también tiene muchas implicaciones negativas.
00:20:29En mi opinión, esto no es algo que el mundo necesite.
00:20:33Pero bueno, OpenClaw es definitivamente interesante, quizás muy útil para ustedes,
00:20:41aunque por ahora no es lo mío.