Slowmist: ClawHub presenta riesgos de implantación de puertas traseras, 21% de las principales Skills catalogadas como de alto riesgo

El director de seguridad de la información de Slow Mist, 23pds, emitió una advertencia pública señalando que, debido a que ClawHub depende de la función de inicio de sesión con un solo clic a través de GitHub, los certificados de desarrollador robados por virus como el gusano Hulud podrían ser utilizados para suplantar a los desarrolladores y publicar Skills maliciosos, desencadenando ataques en la cadena de suministro. Al mismo tiempo, GoPlus realizó un escaneo completo de seguridad en las cien Skills más descargadas de ClawHub, mostrando que el 21% presenta riesgos altos y el 17% requiere advertencias.

Análisis completo de la cadena de ataque: desde los certificados de GitHub hasta la intrusión en el sistema

En su anuncio, Slow Mist detalló claramente toda la ruta potencial de ataque, ayudando a desarrolladores y usuarios a entender el mecanismo real de la amenaza:

Robo de certificados: Virus como Sha1-Hulud o ataques de phishing que roban las credenciales de inicio de sesión de GitHub de los desarrolladores.

Obtención de permisos en GitHub: Los atacantes usan las credenciales robadas para acceder a las cuentas de GitHub de las víctimas.

Suplantación de identidad para ingresar a ClawHub: Debido a que ClawHub utiliza autorización con un solo clic mediante GitHub, los atacantes pueden acceder directamente a la plataforma en calidad de desarrolladores legítimos.

Publicación de Skills maliciosos: Bajo el nombre del desarrollador afectado, se suben Skills maliciosos que contienen puertas traseras, difíciles de distinguir visualmente de Skills normales.

Instalación y ejecución por parte del usuario: Usuarios sin conocimiento descargan y ejecutan estos Skills, activando código malicioso.

Intrusión en el sistema: Los atacantes obtienen acceso a los dispositivos de los usuarios, lo que puede derivar en robo de datos, control remoto y otros daños graves.

La peligrosidad de esta cadena de ataque radica en que cada etapa es altamente oculta, haciendo casi imposible para los usuarios detectar visualmente si un Skill ha sido manipulado maliciosamente.

Resultados del escaneo de GoPlus: distribución de seguridad en los cien Skills principales

El 12 de marzo, GoPlus publicó un informe de escaneo de seguridad de los cien Skills más descargados de ClawHub, proporcionando datos más sistemáticos de evaluación de riesgos:

21% bloqueados: Estos Skills presentan operaciones de alto riesgo claramente identificadas, incluyendo penetración de red, llamadas a API sensibles y envío automático de mensajes.

17% con advertencias: Presentan riesgos potenciales, recomendando a los usuarios que tengan mayor precaución al ejecutarlos.

62% aprobados: Los Skills restantes no mostraron problemas evidentes en el análisis actual.

GoPlus recomienda que, para Skills con operaciones de alto riesgo, se implemente obligatoriamente un mecanismo de “Humano en el Bucle (HITL)”, que permita la revisión manual antes de ejecutar operaciones críticas, en lugar de corregirlas posteriormente.

Controversia en SkillHub de Tencent: gran volumen de recopilación que genera temas de derechos de autor y apoyo

Mientras aumentan las advertencias de seguridad, el ecosistema de ClawHub también ha generado otra discusión debido a las acciones de Tencent. Tencent lanzó una comunidad llamada SkillHub, basada en la ecosistema de código abierto oficial de OpenClaw, posicionada como una plataforma de distribución de Skills local para desarrolladores en China. Sin embargo, Peter Steinberger, fundador de OpenClaw, criticó la iniciativa tras enterarse, señalando que recibió correos de quejas indicando que Tencent había recopilado todos los Skills en ClawHub y los había integrado en su plataforma, con una velocidad tan rápida que incluso activó los límites de tasa oficiales. Steinberger afirmó: “Ellos copiaron, pero no apoyaron este proyecto.”

La oficina de inteligencia artificial de Tencent respondió posteriormente, explicando que SkillHub opera como un espejo, con la fuente original claramente marcada como ClawHub, y que su objetivo es ofrecer a los usuarios en China una experiencia de acceso más estable y rápida. En la primera semana desde su lanzamiento, procesaron aproximadamente 180 GB de tráfico de descarga (870,000 descargas), aunque los datos realmente extraídos de la fuente oficial fueron solo unos 1 GB. Además, destacaron que varios miembros del equipo de Tencent han contribuido con código a los proyectos de código abierto relacionados, y que continúan apoyando el desarrollo del ecosistema.

Preguntas frecuentes

¿Cómo pueden los usuarios de ClawHub protegerse contra Skills maliciosos?
Se recomienda: instalar preferentemente Skills que hayan sido revisados por entidades de seguridad como GoPlus; ser cautelosos con Skills que soliciten acceso a archivos locales, conexión a internet o APIs del sistema; monitorear las descargas y valoraciones, pero sin basar toda la seguridad en ello; actualizar regularmente los Skills utilizados y seguir los anuncios de seguridad de la plataforma. Lo más importante es activar la función de “Confirmación Humana (HITL)” antes de ejecutar operaciones de alto riesgo.

¿Debería ClawHub cambiar su método de inicio de sesión a algo distinto a GitHub?
Desde una perspectiva de seguridad, depender de un solo proveedor OAuth (como GitHub) crea un riesgo de punto único de fallo: si las credenciales de GitHub se ven comprometidas, la cuenta en ClawHub también. Opciones más seguras incluyen: implementar autenticación multifactor (MFA), permitir la creación de cuentas independientes, o agregar capas adicionales de verificación manual o automática en la publicación de Skills. Estas son áreas en las que la plataforma debe seguir mejorando en su mecanismo de confianza con los desarrolladores.

¿El método de SkillHub de Tencent viola alguna licencia de código abierto?
Depende de los términos específicos de licencia de OpenClaw y ClawHub. La utilización de un espejo y la marca de la fuente original pueden considerarse uso razonable, pero las críticas de Steinberger apuntan más a aspectos éticos y de apoyo a la comunidad: aprovechar los logros del código abierto sin contribuir sustancialmente o brindar soporte comercial. Este tipo de controversias son comunes en la comunidad de código abierto y generalmente requieren aclaraciones en los términos de licencia y acuerdos comerciales para resolverse adecuadamente.