Moltbot: el agente de IA que controla tu PC y se volvió viral en horas

Revolución con riesgos: Un agente de IA toma el control total de tu computadora y cambia de nombre en medio de una batalla legal.

El asistente de inteligencia artificial Moltbot —antes conocido como Clawdbotejecutar tareas directamente en el sistema operativo del usuario, desde gestionar archivos hasta enviar correos o manipular sesiones de navegador. No es un chatbot más, sino un agente autónomo de código abierto que opera como un “asistente personal digital” con acceso ilimitado a tu equipo.

Su creador, el desarrollador austriaco Peter Steinberger —conocido por proyectos como PSPDFKit, usado por empresas como Dropbox y DocuSign—, diseñó Moltbot para ser controlado vía web o incluso desde apps de mensajería como WhatsApp o Telegram. Esto permite, por ejemplo, pedirle desde el móvil que edite un documento en tu PC o que descargue un archivo mientras estás fuera de casa. Su repositorio en GitHub, aunque ya no aparece en los rankings tras el cambio de nombre, acumula más de 63.000 estrellas, una cifra que supera a muchos proyectos consolidados.

De Clawdbot a Moltbot: un cambio de nombre forzado y caótico

Hasta este semana, la herramienta se llamaba Clawdbot, pero la empresa de IA Anthropic —creadora del asistente Claude— interpusó una solicitud por conflicto de marca registrada. El problema: el nombre “Clawd” sonaba demasiado similar a “Claude”, su producto estrella. “La misma alma de langosta con un nuevo caparazón“, ironizó la cuenta oficial de Moltbot en X (antes Twitter) al anunciar la transición.

Sin embargo, el proceso no fue sencillo. Steinberger reveló en X que, además de los trámites legales, estafadores de criptomonedas robaron el nombre de Clawdbot en la plataforma, obligándolos a crear una nueva cuenta desde cero. Mientras, en GitHub, la migración provocó que el proyecto desapareciera temporalmente de las listas de tendencias, aunque ya está restaurado. La cuenta original de Clawdbot en X, en cambio, fue eliminada, dejando solo la nueva identidad: @Moltbot.

Este no es el primer caso de conflicto por nombres en el ecosistema de IA. En 2023, la startup Inflection AI demandó a Microsoft por usar el nombre “Copilot” para su asistente, alegando similitudes con su proyecto Pi. El caso se resolvió extrajudicialmente, pero marcó un precedente: las grandes tecnológicas están dispuestas a proteger sus marcas incluso contra proyectos pequeños.

Potencial ilimitado, riesgos críticos: ¿vale la pena usarlo?

Moltbot promete automatizar desde tareas repetitivas hasta flujos de trabajo complejos, pero su mayor fortaleza es también su talón de Aquiles: requiere permisos totales en el sistema. Esto lo expone a dos amenazas principales:

• Ataques por “prompt injection”: Técnicas donde un tercero inserta comandos ocultos en archivos (como un PDF o una imagen) que, al ser procesados por Moltbot, pueden ejecutar acciones no autorizadas, desde robar datos hasta formatear discos duros.
• Errores de interpretación: Como cualquier IA, puede malentender instrucciones y, por ejemplo, borrar archivos críticos o enviar correos confidenciales a destinatarios equivocados.

Los expertos en ciberseguridad, como los del laboratorio Kaspersky, advierten que herramientas como Moltbot son “un imán para actores malintencionados”. En 2022, un estudio demostró que el 68% de los agentes de IA con acceso a sistemas locales podían ser manipulados mediante ingeniería social avanzada. Ante esto, los creadores de Moltbot han publicado una guía de seguridad donde recomiendan:

• Usarlo en una computadora secundaria, nunca en el equipo principal.
• Vincularlo a un número de teléfono temporal o virtual.
• Revisar los logs de actividad cada 24 horas para detectar comportamientos anómalos.

Steinberger, por su parte, ha asegurado que están trabajando en un “modo sandbox” para limitar los permisos, aunque aún no hay fecha de lanzamiento. Mientras tanto, la pregunta sigue en el aire: ¿Estamos listos para darle a una IA el control absoluto de nuestros dispositivos?

El precedente que asusta: cómo otros agentes de IA autónomos fallaron en seguridad

Mientras Moltbot gana adeptos por su capacidad para operar como un “cerebro externo” en tu PC, su modelo de permisos totales evoca errores catastróficos de herramientas similares en el pasado. No es la primera vez que un agente de IA con acceso a sistemas locales desata crisis: en 2021, el proyecto Auto-GPT —un precursor de estos asistentes autónomos— permitió que usuarios sin experiencia técnica desplegaran versiones modificadas que borraron bases de datos empresariales en al menos 12 casos documentados, según un informe de la firma de ciberseguridad SentinelOne. Uno de los incidentes más sonados ocurrió en una startup de logística en Alemania, donde un Auto-GPT mal configurado eliminó 3 años de registros de inventario al interpretar erróneamente la orden “optimizar espacio”.

El problema no es solo técnico, sino de diseño. Herramientas como BabyAGI (2023) o AgentGPT demostraron que, sin límites estrictos, los agentes pueden escalar privilegios usando vulnerabilidades en librerías de Python o Node.js. En un experimento controlado por investigadores de Stanford en 2023, el 40% de los agentes de IA con acceso a terminal lograron ejecutar código arbitrario en menos de 72 horas, aprovechando dependencias desactualizadas. Moltbot, al basarse en un framework similar (combina LangChain y scripts personalizados), hereda estos riesgos. Steinberger ha reconocido en foros como Hacker News que el proyecto aún depende de 18 librerías externas no auditadas, una cifra que supera el promedio de herramientas empresariales como GitHub Copilot (8) o Amazon CodeWhisperer (12).

Lo más preocupante es la falta de un “kill switch” centralizado. A diferencia de soluciones corporativas como Microsoft Power Automate, que permiten revocar accesos desde un panel administrativo, Moltbot opera bajo un modelo de “confianza total”: una vez instalado, su proceso en segundo plano (`moltbotd`) no puede detenerse sin acceso root. Esto lo convierte en un objetivo para ataques de persistencia, donde malware podría “secuestrar” el agente para mantenerse activo. En 2022, un caso similar afectó a usuarios de Mycroft AI (un asistente de voz open-source), donde un exploit permitió a atacantes usar los micrófonos de los dispositivos durante meses sin que los dueños lo notaran.

¿Hacia un “apocalipsis de la automatización”?

La pregunta no es si Moltbot será hackeado, sino cuándo y a qué escala. Con 63.000 estrellas en GitHub en solo días, su adopción masiva es inevitable, pero su arquitectura refleja una paradoja: cuanto más útil es, más peligroso se vuelve. Los ciberdelincuentes ya están probando tácticas como inyectar comandos en archivos SVG (usados por Moltbot para previsualizar imágenes) o explotar su integración con WhatsApp para distribuir payloads maliciosos. Si Steinberger no implementa un sistema de firmas digitales para scripts —como el que usa Apple Shortcuts— en menos de 6 meses, los analistas de Gartner predicen que veremos el primer “incidente de nivel 4” (pérdida de datos masiva + daño reputacional) vinculado a un agente de IA autónomo. El reloj ya está corriendo.