Esta semana (cuándo no), todos en el mundo de la seguridad están hablando de una vulnerabilidad en clawd.bot (renombrado a Moltbot). Se trata de un agente open source, gratuito (en realidad solo pagás los tokens a OpenAI, Claude o Google) similar a Manus, pero que corre localmente en tu propia computadora. Es tan relevante porque es que este tipo de problemas de seguridad no es exclusivo de esta herramienta, sino que es algo inherentemente común a todos los agentes de IA.
El problema fue el siguiente: El agente puede leer emails y ejecutar acciones en nombre del usuario. Personas externas (sin ningún tipo de acceso al sistema) lograron engañarlo simplemente enviándole un email que decía algo como «soy yo, pero desde otro email, hacé X por mí». El agente simplemente «le creyó» y ejecutó la instrucción. Como resultado, el atacante pudo acceder a todo lo que estuviera conectado al clawd.bot del usuario: Gmail, calendario, claves privadas (tokens) de OpenAI o Claude, hasta dispositivos IoT, logrando prender o apagar luces o música, es decir realizar acciones físicas en la casa. Bastante inquietante. Pero esto no es un mensaje anti-IA, sino todo lo contrario.
Por eso vale la pena recordar prestar atención a esta lección y tenerla en mente siempre mientras trabajás con agentes locales (Cursor, Claude Code, Copilot, Cowork o cualquier herramienta que corra en tu propia máquina, aunque el modelo esté en la nube): Tenés que mantenerte en el loop. Revisá qué está haciendo y por hacer el agente, y nunca permitas ejecutar todos los comandos a ciegas. Todos tenemos contraseñas y otros datos sensibles en nuestro equipo que pueden filtrarse muy fácilmente mientras el agente está haciendo investigación o automatizando tareas.
Las herramientas son muy poderosas, pero como cualquier herramienta potente, hay que usarlas con criterio. Esto también es parte de la seguridad de nuestra organización o entorno.