Durante las últimas tres semanas, OpenClaw ha estado evolucionando a un ritmo de casi "un lanzamiento cada dos días", y Andrej Karpathy lo llamó una "nueva capa interesante y emocionante" de la pila de tecnología de IA.Desde febrero, OpenClaw (anteriormente conocido como Clawdbot y Moltbot) se ha vuelto loco en el círculo de la IA. Se lanza una versión casi cada dos días y se lanzan más de diez actualizaciones seguidas, avanzando simultáneamente en múltiples frentes, como la ecología del modelo, la experiencia de escenario completo, la colaboración entre múltiples agentes y el refuerzo de seguridad.
En la última versión lanzada por OpenClaw el 21 de febrero, integra oficialmente la versión preliminar de Google Gemini 3.1 Pro y también presenta funciones de voz en tiempo real y enrutamiento continuo a Discord.
Mientras OpenClaw evolucionaba rápidamente, una publicación de Andrej Karpathy, una figura destacada en el círculo de la IA, llevó el carnaval a un clímax:
Publicó en las redes sociales: Compró una nueva Mac mini durante el fin de semana y estaba listo para jugar con "Claws".
Considera a Claws como una "nueva capa" superpuesta al agente. Esta capa eleva directamente las capacidades de orquestación, programación, gestión de contexto, llamada de herramientas y persistencia a un nuevo nivel. Es una "nueva capa interesante y emocionante" en la pila de tecnología de IA.
La entrada de Karpathy inyectó una inyección de emoción en todo el circuito "Claw".
Simon Willison inmediatamente escribió un artículo y señaló:"Claw" está evolucionando hacia un término común en la industria para referirse a todos los sistemas de agentes similares a la arquitectura OpenClaw.
En solo dos semanas, el uso de tokens de OpenClaw se ha disparado a aproximadamente el 13% de todos los tokens en OpenRouter (principalmente del modelo de peso de código abierto).
A continuación, repasamos brevemente las actualizaciones importantes de OpenClaw en febrero.
Ecosistema iOS: completa la transición al móvil en veinte días
En febrero, OpenClaw logró un rápido progreso en el ecosistema iOS.
9 de febrero: se lanzó la versión Alpha de la aplicación del nodo iOS, con el proceso de inicio del código de configuración, lo que permite el acceso al teléfono móvil por primera vez.
17 de febrero: Se agregó la extensión para compartir en iOS. Los usuarios pueden enviar URL, texto e imágenes directamente desde el menú para compartir del sistema al asistente de IA, minimizando las interrupciones.
19 de febrero: lanzamiento de la aplicación complementaria Apple Watch. Los usuarios pueden ver su bandeja de entrada, enviar y recibir notificaciones e incluso aprobar/rechazar solicitudes de acción directamente en el flujo de notificaciones y responder rápidamente desde el reloj. El mecanismo de activación automática de APN se introduce simultáneamente para garantizar que los nodos iOS se puedan activar de manera confiable en segundo plano.
21 de febrero:Las operaciones del lado de vigilancia se pueden transferir sin problemas a la aplicación principal de iOS para su procesamiento a través del mecanismo puente; El modo de conversación también está optimizado para desactivar automáticamente la interrupción de voz cuando la ruta de salida es el altavoz incorporado, lo que reduce en gran medida las activaciones falsas causadas por la reproducción TTS local.
Desde la prueba alfa a principios de febrero hasta finales de mes, las funciones están básicamente completas.OpenClaw se está extendiendo desde un "programa de servidor que se ejecuta en Mac mini" hasta una plataforma inteligente de escenario completo que cubre computadoras de escritorio, teléfonos móviles y relojes.
Evolución de la arquitectura
Los “subagentes” anidados desbloquean tareas complejas
Para los desarrolladores que intentan crear flujos de trabajo de IA complejos,La madurez del sistema de subagentes es el principal avance arquitectónico de este mes.
15 de febrero:Los subagentes anidados se introducen por primera vez, es decir, los subagentes pueden regenerar sus propios subagentes (subagentes).
Sistema aprobadomaxSpawnDepthLos parámetros controlan la profundidad, limitando a cada agente a generar hasta 5 nodos secundarios y agregando estrategias de herramientas con reconocimiento de profundidad y anunciando el enrutamiento de enlaces.
21 de febrero:La estrategia de profundidad de generación predeterminada es estable en maxSpawnDepth=2, lo que significa que una capa del orquestador puede generar subagentes de forma predeterminada.
El mecanismo automático de truncamiento y recuperación cuando el contexto se desborda también está implementado: cuando la salida de la herramienta del subagente excede la ventana de contexto, el sistema truncará previamente la salida excesivamente grande y comprimirá el primer mensaje de resultado de la herramienta, guiando al modelo a volver a leer con fragmentos más pequeños para evitar una falla simple y cruda.
Este sistema permiteOpenClaw tiene la capacidad de manejar tareas complejas de varios nivelesPor ejemplo, permita que un agente principal asigne múltiples subtareas, y cada subtarea se puede dividir según sea necesario para formar una estructura de ejecución en forma de árbol.
Discordia
La principal frontera para la colaboración multiagente
Discord es uno de los canales más activos en la comunidad OpenClaw y la actualización de febrero cambió drásticamente su experiencia.
13 de febrero: Soporte para enviar mensajes de voz con vista previa de forma de onda.
15 de febrero: Versión Milestone, desbloqueo de Componentes v2. Por primera vez, se pueden utilizar componentes interactivos nativos, como botones, menús de selección desplegables y cuadros modales, en la interfaz de diálogo de los agentes de IA. Los agentes pueden presentar opciones de interacción estructuradas a los usuarios y ya no tienen que depender del texto sin formato.
17 de febrero: Los componentes interactivos reutilizables están en línea. Los botones y menús de selección se pueden utilizar varias veces antes de que caduquen; Se agrega una lista de permisos de usuario por botón para controlar quién puede hacer clic en botones específicos.
21 de febrero: se agrega el control de entrada/salida/estado de canales de voz (mediante el comando /vc) y se admite la configuración de entrada automática para lograr conversaciones de voz en tiempo real; las respuestas de vista previa de la transmisión y los emoticonos de reacción del estado del ciclo de vida están en línea simultáneamente; Las sesiones de subagente se pueden vincular a subprocesos específicos de Discord.
Después de superponer estas funciones, el desempeño de OpenClaw en DiscordYa no es como un simple chatbot, sino más bien una aplicación nativa de IA con capacidades interactivas completas.
Diseño del modelo
Los modelos de cabeza grande están completamente ensamblados para practicar la neutralidad del modelo.
Como aspecto importante de la actualización, el territorio del modelo de acceso de febrero de OpenClaw también se está expandiendo rápidamente:
6 de febrero: Soporte para Anthropic Opus 4.6 (compatible con versiones posteriores) y xAI Grok.
9 de febrero: Las funciones de búsqueda web de Grok se ponen en línea.
13 de febrero: acceso a Hugging Face Inference y vLLM, incluido el proceso de orientación y la selección del modelo predeterminado.
17 de febrero: soporte para Anthropic Sonnet 4.6; lanzar la versión beta de Anthropic 1 millón de tokens contextuales (habilitada a través del modelo params.context1m: true).
21 de febrero: Acceso a la versión preliminar de Google Gemini 3.1 Pro.
La estrategia de modelo neutral de OpenClaw se está implementando rápidamente: los usuarios pueden cambiar de manera flexible entre Claude, GPT, Gemini, Grok y otros modelos según las necesidades de la tarea.
Detalles de pulido: actualización de la experiencia de transmisión y confiabilidad subyacente
Además de la evolución de la arquitectura macro, OpenClaw también se actualizó en consecuencia en algunos detalles clave.
Salida de transmisión nativa floja
Slack ha marcado el comienzo de una importante mejora en la experiencia en la versión 2.17: la introducción de la salida nativa de transmisión de mensajes únicos de chat.startStream/appendStream/stopStream, despidiéndose por completo de la forma torpe de simular el efecto de "escritura" editando mensajes repetidamente.
La salida de streaming está habilitada de forma predeterminada y automáticamente vuelve a la entrega normal cuando falla. El comportamiento del hilo de respuesta es coherente con la configuración de ReplyToMode.
Revisión de tareas programadas
Incluye principalmente cambios que fácilmente se pasan por alto pero que son extremadamente prácticos.
En la versión 2.12, se han resuelto una serie de problemas que durante mucho tiempo han preocupado a los usuarios:
Evite la activación repetida, aísle los errores del programador (una tarea incorrecta ya no arrastra todas las tareas), corrija una sola vez las tareas que se ejecutarán repetidamente después del reinicio y agregue soporte para la entrega de webhooks y tokens de autenticación.
La versión 2.14 agrega entrega precisa y mantenimiento de identidad de los temas de Telegram.
Para los usuarios que confían en OpenClaw para la automatización programada, estas correcciones aparentemente triviales están directamente relacionadas con si el sistema puede ejecutarse de manera confiable.
Fiabilidad en la entrega de mensajes
La versión 2.13 agrega una cola de entrega de escritura anticipada, por lo que los mensajes no enviados ya no se perderán después de reiniciar la puerta de enlace.
El enrutamiento del hilo de respuesta entre plataformas (iMessage, Telegram, Matrix, etc.) se ha corregido de manera uniforme y los mensajes fragmentados ya no "saltan" con frecuencia del hilo principal.
Seguridad
Una batalla ofensiva y defensiva con 400.000 líneas de código
Detrás del carnaval, OpenClaw se enfrenta a una dura prueba de seguridad. A pesar de su entusiasmo, Karpathy también confesó que estaba extremadamente intranquilo:
Me siento un poco incómodo al ejecutar OpenClaw: entregar mis datos/claves privados a una base de código gigante de 400.000 líneas que está básicamente "escrito por sensación", y todavía se está observando a gran escala... Se siente como un completo salvaje oeste y una pesadilla de seguridad.
Los hechos han demostrado que sus preocupaciones no eran en modo alguno infundadas.
Desde su popularidad a finales de enero, OpenClaw se ha convertido en un "campo de tiro" para hackers y expertos en seguridad:
Kaspersky reveló en el informe que descubrió 512 vulnerabilidades en una auditoría de seguridad a finales de enero, 8 de las cuales fueron calificadas como críticas.
El investigador de seguridad Jamieson O'Reilly descubrió decenas de miles de instancias públicas sin ninguna autenticación configurada a través de escaneos de Shodan. Incluso pudo obtener claves API, tokens de bot de la plataforma de mensajería, credenciales de cuenta de Slack e historial de chat completo.
El análisis de Bitsight muestra que durante la ventana de análisis desde finales de enero hasta principios de febrero, más de 30.000 instancias de OpenClaw quedaron expuestas en la Internet pública.
La divulgación de CVE-2026-25253 (CVSS 8.8) es particularmente alarmante: un atacante solo necesita inducir a la víctima a visitar una página web maliciosa para lograr la ejecución remota de código en milisegundos, incluso si OpenClaw solo está vinculado a la dirección de loopback local.
La contaminación de la cadena de suministro es igualmente grave.
La empresa de seguridad Koi Security descubrió la campaña denominada "ClawHavoc": los atacantes subieron cientos de habilidades maliciosas bien disfrazadas al mercado oficial de habilidades ClawHub, utilizando documentación profesional y nombres inocuos. Una vez instalado, implementaron registradores de pulsaciones de teclas o malware Atomic Stealer.
Según las estadísticas, se confirmó que alrededor de 341 de 2.857 habilidades (alrededor del 12%) eran maliciosas.
El equipo de seguridad de Cisco calificó a OpenClaw como "una pesadilla absoluta desde una perspectiva de seguridad" y lanzó la herramienta Skill Scanner de código abierto.
La investigación de Trend Micro también señala que las configuraciones erróneas y las habilidades no investigadas han llevado a la divulgación de millones de registros, incluidos tokens API, direcciones de correo electrónico, mensajes privados y credenciales de servicios de terceros.
Frente a estas amenazas, cada actualización de OpenClaw en febrero se convirtió en una batalla ofensiva y defensiva de alta intensidad. Las medidas clave incluyen:
Actualización de cifrado y protección: elimine completamente SHA-1 y habilite SHA-256; bloquear estrictamente las vulnerabilidades SSRF que cubren IPv6, NAT64 y otros métodos de derivación; reparar la vulnerabilidad de inyección de comandos del proceso demonio de Windows.
Mecanismo de aislamiento y zona de pruebas: bloquee por la fuerza configuraciones peligrosas en la zona de pruebas de Docker (como la red del host, desactive las políticas de seguridad); el navegador elimina el indicador --no-sandbox de forma predeterminada y agrega autenticación de contraseña VNC y aislamiento de red Docker dedicado.
Cierre de permisos: bloquee las puertas traseras, como la escalada de privilegios de Discord, la administración de sesiones de ACP, el cruce de rutas de Webhook, etc., e introduzca un mecanismo para la ofuscación del ID del propietario para usar claves HMAC independientes en la versión 2.21.
El fundador del proyecto, Peter Steinberger, anunció en una publicación el 16 de febrero que se uniría a OpenAI para ser responsable del desarrollo de la inteligencia personal. OpenClaw pasó a ser una fundación independiente que cuenta con apoyo financiero y técnico de OpenAI.
Queda por ver si este cambio dará como resultado recursos de seguridad más adecuados para el proyecto.