AI Clases
OpenClaw: Tu Agente de IA Personal

Lección 21 de 27

Detectar y evitar skills maliciosas

Con el 17% de skills en ClawHub conteniendo codigo malicioso, saber identificar amenazas es critico. Veamos las senales de peligro mas comunes.

Tipos de amenazas

Las skills maliciosas pueden: robar API keys y credenciales, enviar tus archivos a servidores externos, instalar malware, minar criptomonedas usando tu CPU, o actuar como backdoor para acceso remoto.

Senales de peligro en una skill

0%

Ejemplo de patron sospechoso

Una skill que dice "formatear texto" pero dentro de su funcion lee credenciales del sistema (process.env) y las envia a un servidor externo. La regla de oro: si una skill accede a recursos que no tienen relacion con su funcion declarada, es sospechosa.

Regla de oro

Si una skill necesita acceso a datos que no tienen relacion con su funcion declarada, es sospechosa. Un "formateador de texto" no necesita leer credenciales ni hacer peticiones a servidores externos.

  1. 1

    Antes de instalar, revisa el codigo: openclaw skills source nombre

  2. 2

    Busca accesos a process.env, lectura de archivos en rutas sensibles

  3. 3

    Busca fetch/axios a dominios que no son parte de la funcionalidad

  4. 4

    Compara los permisos necesarios con la funcionalidad declarada

  5. 5

    Instala con Docker sandbox activado como precaucion adicional

  6. 6

    Monitorea los logs despues de la primera ejecucion

Herramienta de auditoria

OpenClaw incluye un comando de auditoria que escanea skills en busca de patrones sospechosos: openclaw skills audit nombre. No es infalible pero detecta los patrones mas comunes.

Auditar una skill antes de instalarla

  1. 1.Revisar el codigo fuente
  2. 2.Ejecutar la auditoria automatica
  3. 3.Verificar los resultados
  4. 4.Decidir si instalar o no
Comandos
openclaw skills source clawhub/ejemplo-skill
openclaw skills audit clawhub/ejemplo-skill
# Si pasa la auditoria:
openclaw skills install clawhub/ejemplo-skill

Cual es la senal de peligro mas clara en una skill de "formato de texto"?

Puntos clave

  • 17% de skills en ClawHub son maliciosas o vulnerables
  • Buscar: acceso a credenciales, fetch a dominios desconocidos, codigo dinamico inseguro
  • openclaw skills audit escanea patrones sospechosos
  • Docker sandbox como capa adicional de proteccion
  • Regla de oro: permisos deben coincidir con la funcionalidad declarada

Quiz Generado por IA

Evalua tu comprension de esta leccion con preguntas personalizadas.

Inicia sesión para guardar tu progreso

Anterior

Docker sandboxing

Siguiente

Privacidad y proteccion de datos