Security

Microsoft Defender: riesgos de agentes OpenClaw

3 min de lectura

Resumen

Microsoft Defender advierte que OpenClaw debe tratarse como ejecución de código no confiable con identidad persistente, porque puede consumir texto malicioso, descargar skills externos y operar con credenciales del host donde se ejecuta. Esto importa porque combina dos cadenas de suministro de riesgo —código e instrucciones no confiables— en un mismo bucle de ejecución, lo que puede exponer credenciales, datos sensibles y ampliar el impacto de una sola entrada maliciosa a múltiples agentes.

¿Necesita ayuda con Security?Hablar con un experto

Introduction: why this matters

Los runtimes de IA/agentes autoalojados están llegando rápidamente a los pilotos empresariales, pero el modelo de OpenClaw cambia el límite de seguridad de formas para las que la seguridad tradicional de estaciones de trabajo no está diseñada. Como puede ingerir texto no confiable, descargar y ejecutar skills externos y operar con credenciales persistentes, Microsoft Defender recomienda tratar OpenClaw como ejecución de código no confiable con identidad duradera. En otras palabras: no lo ejecute donde residan las credenciales, tokens y datos sensibles de sus usuarios.

What’s new / key takeaways from Microsoft Defender

OpenClaw vs. Moltbook: separate the runtime from the instruction platform

  • OpenClaw (runtime): Se ejecuta en su VM/contenedor/estación de trabajo e hereda la confianza de ese host y sus identidades. Instalar un skill equivale, en la práctica, a ejecutar código de terceros.
  • Moltbook (platform/identity layer): Un flujo escalable de contenido e instrucciones. Una sola publicación maliciosa puede influir en múltiples agentes si la ingieren según una programación.

Two supply chains converge into one execution loop

Microsoft señala dos entradas controladas por atacantes que agravan el riesgo:

  • Untrusted code supply chain: Skills/extensiones obtenidos de internet (por ejemplo, registros públicos como ClawHub). Un “skill” puede ser malware sin más.
  • Untrusted instruction supply chain: Entradas de texto externas pueden incorporar inyección indirecta de prompts que dirige el uso de herramientas o modifica la “memoria” del agente para persistir la intención del atacante.

The agent security boundary: identity, execution, persistence

Defender define el nuevo límite como:

  • Identity: Tokens que usa el agente (APIs SaaS, repositorios, correo electrónico, planos de control de cloud)
  • Execution: Herramientas que puede ejecutar (shell, operaciones de archivos, cambios de infraestructura, mensajería)
  • Persistence: Mecanismos que sobreviven entre ejecuciones (config/estado, programaciones, tareas)

Impact on IT admins and end users

  • Las estaciones de trabajo se vuelven hosts inseguros para agentes autoalojados: el runtime puede quedar cerca de credenciales de desarrollador, tokens en caché y archivos sensibles.
  • Aumenta el riesgo de exposición de credenciales y datos porque el agente actúa con todo aquello a lo que puede acceder, a menudo mediante APIs legítimas que se confunden con la automatización normal.
  • Un compromiso duradero es plausible si un atacante puede modificar el estado/memoria del agente o su configuración, provocando un comportamiento malicioso recurrente.

Action items / next steps (minimum safe operating posture)

  1. No ejecute OpenClaw en estaciones de trabajo estándar de usuarios. Evalúelo solo en un entorno totalmente aislado (VM dedicada, host de contenedores o un sistema físico independiente).
  2. Use credenciales dedicadas y sin privilegios con permisos estrictamente limitados; evite el acceso a conjuntos de datos sensibles.
  3. Trate la instalación de skills como un evento de aprobación explícita (equivalente a ejecutar código de terceros). Mantenga una allowlist y comprobaciones de procedencia.
  4. Asuma que ocurrirá entrada maliciosa si el agente navega contenido externo; priorice la contención y la recuperabilidad por encima de la sola prevención.
  5. Habilite monitorización continua y hunting alineados con los controles de Microsoft Security (incluido Microsoft Defender XDR), con foco en el acceso a tokens, el uso inusual de APIs y cambios de estado/config.
  6. Tenga un plan de reconstrucción: opere como si el host pudiera requerir reimágenes/rotación frecuentes para eliminar persistencia.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Microsoft Defender XDRagent securityruntime isolationleast privilegesupply chain risk

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.