Caos Clawdbot: Rebranding Forzado, Estafa Cripto y Crisis en 24 Horas

Hace unos días, Clawdbot era uno de los proyectos de código abierto más populares en GitHub, con más de 80,000 estrellas. Esta impresionante herramienta permite ejecutar un asistente de IA localmente, con acceso total al sistema a través de aplicaciones de mensajería como WhatsApp, Telegram y Discord.

Sin embargo, hoy se ha visto forzada a una rebranding legal, invadida por estafadores criptográficos, vinculada a un token falso que rápidamente alcanzó los 16 millones de dólares en capitalización antes de desplomarse, y criticada por investigadores que encontraron puertas de acceso expuestas y credenciales accesibles.

El conflicto comenzó cuando Anthropic envió al fundador Peter Steinberger una reclamación de marca. La empresa de IA, cuyos modelos Claude impulsan muchas instalaciones de Clawdbot, decidió que «Clawd» era demasiado parecido a «Claude». Al fin y al cabo, la ley de marcas es la ley de marcas.

Sin embargo, esto desató una serie de problemas que pronto se multiplicaron.

Steinberger anunció la rebranding de Clawdbot—un juego de palabras con langostas— a Moltbot en X. La comunidad parecía estar de acuerdo. «La misma alma de langosta, nueva cáscara,» escribió la cuenta del proyecto en su publicación.

A continuación, Steinberger renombró simultáneamente la organización de GitHub y la cuenta de X. Pero en el breve lapso entre liberar las antiguas handles y asegurar las nuevas, estafadores criptográficos secuestraron ambas cuentas.

Las cuentas hackeadas empezaron a promover un token falso llamado CLAWD en Solana. En pocas horas, comerciantes especulativos elevaban el token a más de 16 millones de dólares en capitalización de mercado.

Algunos compradores iniciales reclamaron ganancias masivas. Steinberger negó cualquier implicación con el token. La capitalización se derrumbó, causando grandes pérdidas a los últimos compradores.

«A toda la gente cripto: Por favor, dejen de contactarme, dejen de acosarme,» escribió Steinberger. «Nunca haré una moneda. Cualquier proyecto que me liste como dueño de una moneda es una ESTAFA. No, no aceptaré tarifas. Están dañando activamente el proyecto.»

La comunidad cripto no tomó bien el rechazo. Algunos especuladores creyeron que la negación de Steinberger causó sus pérdidas y lanzaron campañas de acoso. Enfrentó acusaciones de traición, demandas de que «asuma la responsabilidad«, y presión coordinada para respaldar proyectos que nunca había escuchado.

Finalmente, Steinberger logró recuperar el control de las cuentas, pero mientras tanto, los investigadores de seguridad aprovecharon la ocasión para señalar que cientos de instancias de Clawdbot estaban expuestas a Internet público sin ninguna autenticación. En otras palabras, los usuarios otorgaban permisos sin supervisión a la IA, que podían ser fácilmente explotados por terceros malintencionados.

Como reportó Decrypt, el desarrollador de IA Luis Catacora realizó escaneos con Shodan y encontró que muchos de los problemas fueron causados principalmente por usuarios novatos que otorgaron demasiados permisos al agente. «Solo revisé Shodan y encontré puertas expuestas en el puerto 18789 sin autenticación,» escribió. «Eso es acceso a shell, automatización de navegadores, y tus claves API. Cloudflare Tunnel es gratuito, no hay excusa.»

Jamieson O’Reilly, fundador de la empresa Dvuln, también encontró que era muy fácil identificar servidores vulnerables. «De las instancias que examiné manualmente, ocho estaban abiertas sin autenticación,» informó O’Reilly a The Register. Decenas más tenían protecciones parciales que no eliminaban completamente la exposición.

El problema técnico? El sistema de autenticación de Clawdbot aprueba automáticamente las conexiones de localhost, es decir, las conexiones a tu propia máquina. Cuando los usuarios ejecutan el software detrás de un proxy inverso, que es lo que la mayoría hace, todas las conexiones parecen provenir de 127.0.0.1 y se autorizan automáticamente, incluso cuando provienen de fuentes externas.

La firma de seguridad blockchain SlowMist confirmó la vulnerabilidad y advirtió que múltiples errores de código podrían llevar al robo de credenciales y ejecución remota de código. Los investigadores han demostrado diferentes ataques de inyección de prompts, incluyendo uno a través de un correo electrónico que engañó a una instancia de IA para que reenvíe mensajes privados a un atacante. Todo ocurrió en cuestión de minutos.

«Esto es lo que sucede cuando el crecimiento viral ocurre antes de una auditoría de seguridad,» escribió Abdulmuiz Adeyemo, desarrollador en FounderOS. «‘Construir en público’ tiene un lado oscuro del que nadie habla.»

La buena noticia para los entusiastas y desarrolladores de IA es que el proyecto en sí no ha muerto. Moltbot es el mismo software que era Clawdbot; el código es sólido y, a pesar del bombo, no es especialmente amigable para principiantes. Los casos de uso son reales, pero aún no están listos para una adopción masiva. Y los problemas de seguridad persisten.

Ejecutar un agente de IA autónomo con acceso a shell, control de navegadores y gestión de credenciales crea superficies de ataque que los modelos de seguridad tradicionales no estaban diseñados para manejar. La economía de estos sistemas—despliegue local, memoria persistente y tareas proactivas—impulsa la adopción más rápido de lo que la postura de seguridad de la industria puede adaptarse.

Y los estafadores criptográficos siguen ahí fuera, observando la próxima ventana de caos. Todo lo que se necesita es un descuido, un error o una brecha. Diez segundos, al parecer, son más que suficientes.