Caos en Clawdbot: Cambio de Marca Forzado, Estafa Cripto y Colapso en 24 Horas

Hace unos días, Clawdbot era uno de los proyectos de código abierto más populares de GitHub, con más de 80.000 estrellas. Es una pieza impresionante de ingeniería que te permite ejecutar un asistente de IA localmente con acceso completo al sistema a través de aplicaciones de mensajería como WhatsApp, Telegram y Discord.

Hoy, se ha visto obligado a un cambio de marca legal, invadido por estafadores cripto, vinculado a un token falso que alcanzó brevemente una capitalización de mercado de $16 millones antes de colapsar, y criticado por investigadores que encontraron gateways expuestos y credenciales accesibles.

El ajuste de cuentas comenzó después de que Anthropic enviara al fundador Peter Steinberger una reclamación de marca registrada. La empresa de IA—cuyos modelos Claude impulsan muchas instalaciones de Clawdbot—decidió que "Clawd" se parecía demasiado a "Claude". Justo. La ley de marcas registradas es la ley de marcas registradas.

Sin embargo, eso desencadenó una variedad de problemas que pronto se multiplicaron.

Steinberger anunció el cambio de marca de Clawdbot—el nombre era un juego de palabras con langostas, aparentemente (no preguntes)—a Moltbot en X. La comunidad pareció estar bien con ello. "La misma alma de langosta, nuevo caparazón", escribió la cuenta del proyecto.

A continuación, Steinberger renombró la organización de GitHub y la cuenta de X simultáneamente. Pero en el corto intervalo entre liberar los antiguos nombres de usuario y asegurar los nuevos, estafadores cripto secuestraron ambas cuentas.

Las cuentas hackeadas inmediatamente comenzaron a promocionar un token falso llamado CLAWD en Solana. En cuestión de horas, traders especulativos llevaron el token a más de $16 millones en capitalización de mercado.

Algunos compradores tempranos afirmaron ganancias masivas. Steinberger negó cualquier participación con el token. La capitalización colapsó y los compradores tardíos fueron devastados.

"A toda la gente de las criptomonedas: por favor dejen de enviarme mensajes, dejen de acosarme", escribió Steinberger. "Nunca haré una moneda. Cualquier proyecto que me liste como propietario de una moneda es una ESTAFA. No, no aceptaré comisiones. Están dañando activamente el proyecto".

La multitud cripto no tomó bien el rechazo. Algunos especuladores creyeron que la negación de Steinberger causó sus pérdidas y lanzaron campañas de acoso. Enfrentó acusaciones de traición, demandas de que "asumiera la responsabilidad", y presión coordinada para respaldar proyectos de los que nunca había oído hablar.

Steinberger finalmente pudo recuperar el control de las cuentas. Pero mientras tanto, investigadores de seguridad decidieron que era un buen momento para señalar que cientos de instancias de Clawdbot estaban expuestas a Internet público sin autenticación. En otras palabras, los usuarios otorgarían permisos sin supervisión a la IA que podrían ser fácilmente explotados por actores maliciosos.

Según reportó Decrypt, el desarrollador de IA Luis Catacora ejecutó escaneos de Shodan y encontró que muchos problemas fueron causados básicamente por usuarios novatos que le daban demasiados permisos al agente. "Acabo de revisar Shodan y hay gateways expuestos en el puerto 18789 sin autenticación", escribió. "Eso es acceso a shell, automatización de navegador, tus claves API. Cloudflare Tunnel es gratis, no hay excusa".

Jamieson O'Reilly, fundador de la empresa de red-teaming Dvuln, también descubrió que era muy fácil identificar servidores vulnerables. "De las instancias que he examinado manualmente, ocho estaban abiertas sin autenticación alguna", señaló O'Reilly a The Register. Docenas más tenían protecciones parciales que no eliminaban completamente la exposición.

¿El problema técnico? El sistema de autenticación de Clawdbot aprueba automáticamente las conexiones localhost—es decir, conexiones a tu propia máquina. Cuando los usuarios ejecutan el software detrás de un proxy inverso, que la mayoría lo hace, todas las conexiones parecen provenir de 127.0.0.1 y se autorizan automáticamente, incluso cuando se originan externamente.

La firma de seguridad blockchain SlowMist confirmó la vulnerabilidad y advirtió que múltiples fallas de código podrían conducir al robo de credenciales y ejecución remota de código. Los investigadores han demostrado diferentes ataques de inyección de prompt, incluido uno por correo electrónico que engañó a una instancia de IA para que reenviara mensajes privados a un atacante. Tomó apenas minutos.

"Esto es lo que sucede cuando el crecimiento viral llega antes de la auditoría de seguridad", escribió el desarrollador de FounderOS, Abdulmuiz Adeyemo. "'Construir en público' tiene un lado oscuro del que nadie habla".

Las buenas noticias para los entusiastas de la IA y desarrolladores es que el proyecto en sí no ha muerto. Moltbot es el mismo software que era Clawdbot; el código es sólido y, a pesar del revuelo, no es especialmente amigable para novatos. Los casos de uso son reales, pero aún no están listos para la adopción masiva. Y los problemas de seguridad permanecen.

Ejecutar un agente de IA autónomo con acceso a shell, control del navegador y gestión de credenciales crea superficies de ataque para las que los modelos de seguridad tradicionales no fueron diseñados. La economía de estos sistemas—despliegue local, memoria persistente y tareas proactivas—impulsa la adopción más rápido de lo que la postura de seguridad de la industria puede adaptarse.

Y los estafadores cripto todavía están por ahí, esperando la próxima ventana de caos. Todo lo que se necesita es un descuido, un error o una brecha. Diez segundos, resulta, son suficientes.