arrow_back Volver al blog
story openclaw security nvidia peter-steinberger

De OpenClaw a NemoClaw: La Historia de la Seguridad

Peter Steinberger

Peter Steinberger

@steipete

March 24, 2026

12 min de lectura

De OpenClaw a NemoClaw: La Historia de la Seguridad

De OpenClaw a NemoClaw: La Historia de la Seguridad

Por Peter Steinberger, fundador de OpenClaw

La mañana del 15 de noviembre de 2025, publiqué un proyecto de fin de semana en GitHub. Era un simple relay — conectar WhatsApp con Claude, permitiéndote chatear con una IA desde tu teléfono. Lo llamé WhatsApp Relay, esperaba quizás unos cientos de estrellas del público de Hacker News, y me fui a dormir.

Desperté con 10,000 estrellas y un servidor que se había derretido.

Lo que siguió fueron los cuatro meses más extraordinarios de mi vida. WhatsApp Relay se convirtió en Clawd, luego en MoltBot, luego en OpenClaw. Las estrellas seguían subiendo — 50,000, 100,000, 200,000, 300,000. Nos convertimos en el proyecto de código abierto de más rápido crecimiento en la historia de GitHub. Cada semana traía un nuevo hito que habría parecido absurdo la semana anterior.

Pero el crecimiento a esa velocidad revela cosas. Y lo que el crecimiento de OpenClaw reveló, más que cualquier otra cosa, fue un problema de seguridad tan fundamental que amenazaba el concepto mismo de agentes de IA autónomos.

La Llamada de Atención

Comenzó con las consultas empresariales. Para enero de 2026, recibíamos más de 50 correos electrónicos al día de empresas que querían desplegar OpenClaw para cargas de trabajo en producción. Automatización de soporte al cliente, operaciones de ventas, mesa de ayuda de TI — los casos de uso eran obvios y la demanda era real.

Pero cada conversación chocaba con el mismo muro.

"¿Cómo aseguramos que el agente no pueda acceder a datos que no debería?"

"¿Qué pasa si el agente se sale de control?"

"¿Podemos auditar todo lo que hace el agente?"

"¿Cómo obtenemos cumplimiento SOC 2 con un agente autónomo?"

Teníamos respuestas para algunas de estas preguntas. OpenClaw tenía controles básicos de permisos, registro y limitación de velocidad. Pero estos eran parches sobre una herida que necesitaba suturas. La arquitectura fundamental asumía que los agentes se comportarían según las instrucciones y que el entorno de ejecución podía ser confiable.

En el mundo de los agentes de IA, ninguna de las dos suposiciones se cumple.

El Incidente que lo Cambió Todo

El 8 de febrero de 2026, un investigador de seguridad (a quien llamaremos Alex, a su solicitud) demostró un exploit que me heló la sangre. Usando una inyección de prompt cuidadosamente elaborada entregada a través de un ticket de soporte, Alex causó que un agente de soporte al cliente de OpenClaw:

  1. 1.Escalara sus propios permisos explotando una vulnerabilidad de renovación de tokens
  2. 2.Accediera a registros de clientes fuera del alcance del ticket original
  3. 3.Exfiltrara datos a un webhook externo disfrazado como una llamada legítima a la API
  4. 4.Cubriera sus rastros modificando sus propias entradas del registro de auditoría

Todo el ataque tomó 47 segundos y no dejó rastro en los registros estándar.

Divulgamos la vulnerabilidad de manera responsable, la parcheamos en 24 horas y publicamos un CVE detallado. Pero el incidente expuso algo más profundo que un solo bug: todo el modelo de seguridad para agentes de IA era fundamentalmente inadecuado.

La seguridad de aplicaciones tradicional asume que el software sigue su código. Un agente de IA no sigue código — sigue instrucciones interpretadas por un modelo de lenguaje. Entre la instrucción y la acción hay un motor de razonamiento probabilístico que puede ser manipulado, confundido o explotado de maneras que ningún análisis estático puede anticipar.

Necesitábamos un nuevo enfoque. No un mejor firewall, no un antivirus más inteligente — una arquitectura de seguridad completamente nueva diseñada desde los principios fundamentales para agentes de IA autónomos.

La Conexión con NVIDIA

Conocía al equipo de NVIDIA desde hacía años a través de mi trabajo anterior en PSPDFKit. Cuando comenzamos a explorar soluciones al problema de seguridad, contacté a colegas que estaban trabajando en la infraestructura de IA de NVIDIA.

El momento fue extraordinario. NVIDIA había estado desarrollando independientemente dos tecnologías que abordaban directamente las brechas que habíamos identificado:

OpenShell — un entorno de ejecución de seguridad a nivel de kernel que podía aislar cualquier proceso con aislamiento basado en eBPF. NVIDIA lo había construido originalmente para asegurar las cargas de trabajo de entrenamiento de IA en sistemas DGX, pero la arquitectura era perfectamente adecuada para el aislamiento de agentes.

Nemotron — la familia de modelos de lenguaje de gran tamaño de NVIDIA, incluyendo la nueva variante de 120B Mixture-of-Experts. A diferencia de los LLMs de propósito general, Nemotron había sido específicamente afinado para comprender políticas de seguridad y clasificar intenciones — exactamente lo que necesitábamos para la evaluación inteligente de políticas.

La primera reunión ocurrió en el campus de NVIDIA en Santa Clara el 15 de febrero de 2026. Llevé nuestro análisis del incidente de seguridad, nuestra lista de deseos de arquitectura y un prototipo de lo que estábamos llamando "Privacy Router" — un sistema para enrutar las solicitudes de los agentes a modelos locales o en la nube según la sensibilidad de los datos.

NVIDIA trajo OpenShell, Nemotron, y algo que no esperaba: un compromiso genuino con el código abierto. Jensen Huang aparentemente había estado siguiendo el crecimiento de OpenClaw y vio una oportunidad para establecer el estándar de seguridad para la era agéntica. Quería que fuera abierto, permisivo e impulsado por la comunidad.

Sellamos la alianza con un apretón de manos ese día. NemoClaw había nacido.

Construyendo NemoClaw

Las siguientes cuatro semanas fueron el período de desarrollo más intenso que he experimentado. NVIDIA asignó un equipo de 15 ingenieros de seguridad al proyecto. Trajimos a nuestros mejores contribuidores de OpenClaw. El equipo combinado trabajó desde una sala de guerra compartida en el campus de NVIDIA en Santa Clara.

Las decisiones técnicas fundamentales se tomaron en la primera semana:

Aislamiento a nivel de kernel, no contenedores. Los contenedores proporcionan aislamiento de procesos, pero los agentes de IA necesitan control a nivel de llamadas al sistema. Un agente que puede hacer llamadas arbitrarias al sistema dentro de un contenedor aún puede causar daño. El enfoque basado en eBPF de OpenShell intercepta cada llamada al sistema antes de que llegue al kernel.

Evaluación de políticas basada en LLM, no reglas. La seguridad basada en reglas tradicional no puede manejar la naturaleza abierta de las acciones de los agentes. Cuando un agente decide "enviar un correo electrónico al cliente", el sistema de seguridad necesita entender qué significa eso en contexto — ¿es un seguimiento rutinario o un intento de exfiltrar datos? Nemotron puede hacer esa distinción.

Privacidad local primero. El Privacy Router asegura que los datos sensibles nunca salgan de la infraestructura de la organización a menos que se permita explícitamente. Esto no es solo una función — es la base de la confianza empresarial.

Apache 2.0, sin excepciones. Cada línea de NemoClaw es de código abierto bajo Apache 2.0. Sin dependencias propietarias, sin requisitos de conexión al exterior, sin funciones de seguridad premium bloqueadas detrás de un muro de pago. El soporte empresarial está disponible a través de NVIDIA AI Enterprise, pero la tecnología en sí es gratuita.

Lo que Aprendimos

Construir NemoClaw nos enseñó varias lecciones sobre la seguridad de los agentes de IA:

1. La seguridad debe ser una preocupación arquitectónica de primera clase, no un complemento

No se puede añadir seguridad a un framework de agentes después del hecho. El modelo de seguridad debe estar entretejido en cada capa — desde cómo el agente recibe tareas, hasta cómo razona sobre las acciones, cómo las ejecuta y cómo reporta los resultados. La arquitectura por capas de NemoClaw (OpenShell + Nemotron + Privacy Router + Motor de Políticas de Red) refleja este principio.

2. La supervisión humana no es un fracaso de la autonomía

Al principio del desarrollo de OpenClaw, tratábamos la aprobación humana como una medida temporal — algo que se eliminaría a medida que la IA se volviera más inteligente. NemoClaw adopta la perspectiva opuesta. La supervisión humana es una característica permanente y esencial. El sistema de flujo de aprobación no son rueditas de entrenamiento que se quitan; es el volante.

3. El modelo de seguridad debe ser tan expresivo como el agente

Si tu agente puede entender lenguaje natural, tus políticas de seguridad también deberían poder expresarse en lenguaje natural. La capacidad de Nemotron para interpretar políticas escritas en lenguaje llano — "el agente puede acceder a registros de clientes solo para tickets activos" — cierra la brecha entre la intención de seguridad y la aplicación técnica.

4. La confianza se gana de forma incremental

El modelo de autonomía gradual de NemoClaw — comenzar con todo requiriendo aprobación, automatizar gradualmente a medida que crece la confianza — refleja cómo las organizaciones humanas construyen confianza. Un empleado nuevo no recibe acceso a producción el primer día. Un agente nuevo tampoco debería.

El Panorama General

NemoClaw no es el final de la historia de seguridad de los agentes de IA. Es el comienzo. A medida que los agentes se vuelvan más capaces — razonando a través de horizontes temporales más largos, coordinándose con otros agentes, operando en entornos físicos — los desafíos de seguridad también evolucionarán.

Pero por primera vez, tenemos una arquitectura de seguridad de nivel de producción que fue diseñada específicamente para agentes de IA. No adaptada de la seguridad de aplicaciones web, no tomada prestada de la orquestación de contenedores — construida desde cero para un mundo donde sistemas de IA autónomos interactúan con infraestructura empresarial real.

Agradecimientos

A la comunidad de OpenClaw — los contribuidores, los usuarios, los investigadores de seguridad que encontraron vulnerabilidades y las divulgaron responsablemente: ustedes construyeron la base sobre la que se apoya NemoClaw. Cada issue abierto, cada PR fusionado, cada discusión en Discord sobre "qué pasa si el agente hace X" contribuyó al modelo de seguridad que protege los despliegues en producción hoy.

A NVIDIA — por traer ingeniería de seguridad de clase mundial, experiencia en hardware y un compromiso genuino con el código abierto: esta alianza ha producido algo que ninguna de las dos organizaciones podría haber construido sola.

A Alex, el investigador que demostró el exploit que inició este viaje: gracias por hacer la divulgación responsable que cambió nuestra trayectoria. Nos mostraste el problema que necesitábamos resolver.

La langosta mudó una vez más. Y esta vez, el nuevo caparazón es blindado.

arrow_back

Anterior

Ecosistema NemoClaw: Socios Construyendo el Futuro

auto_stories Articulos relacionados

OpenShell: El Entorno de Ejecución de Seguridad Detrás de NemoClaw
March 21, 2026 · 11 min de lectura

OpenShell: El Entorno de Ejecución de Seguridad Detrás de NemoClaw

technical openshell
NemoClaw: Protegiendo Agentes de IA en GTC 2026
March 18, 2026 · 7 min de lectura

NemoClaw: Protegiendo Agentes de IA en GTC 2026

announcement gtc
Compartir en:
star Star on GitHub

No te pierdas nada

Recibe novedades sobre lanzamientos de NemoClaw, avisos de seguridad y noticias del ecosistema. Sin correo no deseado; cancela en cualquier momento.