🛡️ Protegiendo las credenciales en OpenClaw: cómo evitar que tus agentes vean lo que no deben

Un incidente real, una API key filtrada y una lección clara: los agentes no deberían tocar secretos. Así rediseñamos el flujo usando proxies de credenciales y guardrails server-side.
Aitor Roma, Jesus Pacheco
14 min de lectura
🛡️ Protegiendo las credenciales en OpenClaw: cómo evitar que tus agentes vean lo que no deben
SPONSORED by NoCODEoPENsOURCE
CTA Image

🚀 ¿Quieres que tu negocio aparezca aquí?
Da a conocer tus servicios ante una comunidad de profesionales del mundo digital, startups y desarrolladores.

👉 Anúnciate por solo 120 € y gana visibilidad real

Hola,

Esta semana seguimos profundizando en cómo construir agentes de IA Open Source que puedas operar en tu propia infraestructura — sin humo y con foco en diseño real.

Arrancamos con Horizonte Artificial, nuestra sección dedicada a la IA Open Source junto a Jesús Pacheco, y el TopGit semanal con repositorios que van desde asistentes ultra-ligeros y traducción de voz en tiempo real, hasta buses pub/sub para agentes y herramientas de seguridad para CLI.

Y en The {AI}rtist entramos en modo infraestructura: analizamos una forma práctica de proteger una instancia de Clawdbot usando OpenClaw y un proxy de credenciales. La idea es simple pero potente: los agentes ejecutan acciones autenticadas sin tener acceso directo a secretos.

Nada de .env con tokens, nada de variables de entorno persistentes. Wrappers, pass, systemd y guardrails server-side para controlar qué comandos se pueden ejecutar.

Arquitectura defensiva desde el diseño.

Si te interesa construir agentes que operen en producción de forma segura, abajo tienes todo el contenido y los enlaces.

Vamos 👇

ℍ𝕠𝕣𝕚𝕫𝕠𝕟𝕥𝕖 𝔸𝕣𝕥𝕚𝕗𝕚𝕔𝕚𝕒𝕝

Te presentamos "Horizonte Artificial", la nueva y flamante sección de nuestra newsletter dedicada exclusivamente a la Inteligencia Artificial. Pero no esperes el contenido convencional que inunda TikTok o YouTube. Aquí, nos sumergiremos en el fascinante mundo del OpenSource, explorando proyectos libres que puedes desplegar en tu propio servidor. Y para guiarnos en esta travesía, contamos con la experticia de Jesús Pacheco, mejor conocido en nuestra comunidad HiveAgile como "Pachecodes". Prepárate para una perspectiva fresca y auténtica sobre la IA. ¡Bienvenidos al horizonte!

🌟 TopGit - Resumen Semanal (2026-02-07)

📚 Repositorios Destacados de la Semana

Los siguientes repositorios han sido seleccionados por su relevancia, calidad y métricas de GitHub:

🔧 🚀 Youtube to Doc

Convierte cualquier video de YouTube en un enlace de documentación comprensible que las herramientas de codificación AI y los LLMs pueden indexar y entender fácilmente.

Características:

  • Procesamiento de videos de YouTube: Extrae metadatos, descripciones y miniaturas.
  • Extracción de transcripciones: Extrae automáticamente las transcripciones en múltiples idiomas.
  • Integración de comentarios: Inclusión opcional de comentarios del video para contexto adicional.
  • Salida optimizada para AI: Genera documentación estructurada ideal para LLM.
  • Soporte multilingüe: Soporte para transcripciones en más de 9 idiomas.

Beneficios:

  • Facilita la accesibilidad y comprensión de videos.
  • Eficiencia con procesamiento rápido y herramientas como Docker.

Casos de uso:

  • Creación de documentación para clases, tutoriales o proyectos de investigación.

📊 Estadísticas de GitHub:

  • ⭐ 294 estrellas
  • 🔄 28 forks
  • 👀 2 observadores
  • 📝 0 issues abiertos
  • 🔤 Principal lenguaje: Python

🔧 🧠 Sokuji - Aplicación de traducción de voz en vivo

Sokuji es una aplicación de escritorio multiplataforma diseñada para proporcionar traducción de voz en vivo utilizando las API de OpenAI, Google Gemini, Palabra.ai y Kizuna AI. Disponible para Windows, macOS y Linux, Sokuji rompe las barreras del lenguaje en conversaciones en tiempo real al capturar audio, procesarlo a través de modelos de IA avanzados y proporcionar traducción en tiempo real. También ofrece soporte para la creación y gestión de dispositivos de audio virtual en Linux, mejorando la experiencia de usuario.

📊 Estadísticas de GitHub:

  • ⭐ 825 estrellas
  • 🔄 79 forks
  • 👀 11 observadores
  • 📝 16 issues abiertos
  • 🔤 Principal lenguaje: TypeScript

🔧 💻 TinyFish Cookbook

El TinyFish Cookbook es una colección en crecimiento de recetas y demostraciones que utilizan la API de agentes web TinyFish. Es como un libro de recetas para la web que permite automatizar diversas tareas, desde agentes de viaje automatizados hasta herramientas de investigación de mercado. Los desarrolladores pueden convertir sitios web ordinarios en superficies programables, simplificando la interacción con múltiples sitios.

📊 Estadísticas de GitHub:

  • ⭐ 416 estrellas
  • 🔄 86 forks
  • 👀 2 observadores
  • 📝 16 issues abiertos
  • 🔤 Principal lenguaje: TypeScript

🔧 🤖 Verificador de Correos Electrónicos

Check if an email address exists es una herramienta que permite verificar la existencia de una dirección de correo electrónico sin necesidad de enviar ningún correo. Esta herramienta está escrita en Rust y ofrece un backend HTTP para su fácil integración.

📊 Estadísticas de GitHub:

  • ⭐ 7,796 estrellas
  • 🔄 551 forks
  • 👀 50 observadores
  • 📝 83 issues abiertos
  • 🔤 Principal lenguaje: Rust

🔧 💻 Clawdbot-Docker

Descripción: Clawdbot-Docker es un entorno local Docker diseñado para ejecutar Clawdbot con aislamiento de contenedores, lo que permite una integración confiable y segura. Esto facilita la disponibilidad de almacenamiento persistente y la configuración a través de variables de entorno.
Características: Aislamiento de contenedores, conexión con proveedores de IA, capacidad de configuración mediante un archivo .env, y automatización de navegadores con Chromium integrado.
Beneficios: Proporciona seguridad al mantener el código y procesos separados del host, además de simplificar la implementación y su uso en diversos canales de chat como Telegram y Discord.
Casos de uso: Ideal para desarrolladores que requieren una integración de bot segura y controlada en aplicaciones de mensajería.

📊 Estadísticas de GitHub:

  • ⭐ 59 estrellas
  • 🔄 9 forks
  • 👀 0 observadores
  • 📝 2 issues abiertos
  • 🔤 Principal lenguaje: Shell

🔧 🛡️ Claw-Wrap

Claw-Wrap es un proxy de credenciales seguro para herramientas CLI. Ejecuta herramientas con secretos en nombre de procesos en sandbox, asegurando que las credenciales nunca ingresen al sandbox. Esta herramienta protege tus credenciales al permitir que los agentes accedan a servicios como GitHub sin exponer tokens sensibles. Los comandos desautorizados se pueden bloquear desde el servidor para mayor seguridad.

📊 Estadísticas de GitHub:

  • ⭐ 4 estrellas
  • 🔄 0 forks
  • 👀 0 observadores
  • 📝 0 issues abiertos
  • 🔤 Principal lenguaje: Go

🔧 💻 Padel CLI

El Padel CLI es una herramienta de línea de comandos diseñada para chequear la disponibilidad y reserva de canchas de pádel a través de la API de Playtomic. Permite a los usuarios manejar sus reservas de manera eficiente, incluyendo la búsqueda de clubes cercanos y gestión de historial de reservas.

📊 Estadísticas de GitHub:

  • ⭐ 13 estrellas
  • 🔄 2 forks
  • 👀 0 observadores
  • 📝 0 issues abiertos
  • 🔤 Principal lenguaje: Go

🔧 🐈 Nanobot: Asistente AI Ultra-Ligero

Descripción: nanobot es un asistente personal de IA ultra-ligero inspirado en Clawdbot. Su código es aproximadamente 4,000 líneas, 99% más pequeño que Clawdbot, lo que significa una funcionalidad más rápida y eficiente.

Características: Incluye funciones como su arquitectura ligera, facilidad de uso y lista para la investigación. Ideal para desarrolladores y para aquellos que buscan un asistente rápido y eficiente.

Beneficios: Su diseño minimalista proporciona un inicio rápido y un menor uso de recursos, permitiendo una implementación rápida y sencilla en herramientas como Telegram y WhatsApp.

Casos de uso: Se puede utilizar para gestionar rutinas diarias, realizar análisis de mercado en tiempo real y asistir en tareas personales de conocimiento y programación.

📊 Estadísticas de GitHub:

  • ⭐ 12,222 estrellas
  • 🔄 1,639 forks
  • 👀 72 observadores
  • 📝 208 issues abiertos
  • 🔤 Principal lenguaje: Python

🔧 🧠 Total Recall

Total Recall es una memoria semántica cruzada que permite a Claude Code mantener conocimientos a través de conversaciones. Utiliza qmd para búsquedas que combinan BM25 y búsqueda vectorial. Esta herramienta almacena resúmenes de sesión, decisiones arquitectónicas y notas de errores, facilitando el acceso a la información relevante en proyectos de programación. Cada proyecto cuenta con un archivo MEMORY.md que carga en el sistema de Claude, optimizando la forma en que consulta conocimientos pasados.

📊 Estadísticas de GitHub:

  • ⭐ 0 estrellas
  • 🔄 0 forks
  • 👀 0 observadores
  • 📝 0 issues abiertos
  • 🔤 Principal lenguaje: Shell

🔧 🦀 claw.events

claw.events es un bus de mensajes pub/sub global y en tiempo real, diseñado para orquestar agentes de inteligencia artificial en red (y aparentemente también cangrejos). Permite la publicación y suscripción a mensajes a través de una sencilla interfaz de línea de comandos, facilitando la coordinación en tiempo real y la colaboración entre múltiples agentes.

  • Características: Interfaz CLI sencilla, gestión de acceso, canales públicos y privados, reactividad instantánea.
  • Beneficios: Sin infraestructura que gestionar, privacidad a elección, coordinación y colaboración en tiempo real.
  • Casos de uso: Ideal para aplicaciones que requieran comunicación entre varios agentes de IA, gestión de tareas, y transmisión de información en tiempo real.

📊 Estadísticas de GitHub:

  • ⭐ 3 estrellas
  • 🔄 0 forks
  • 👀 0 observadores
  • 📝 0 issues abiertos
  • 🔤 Principal lenguaje: TypeScript

📊 Análisis de Distribución por Categorías

La siguiente gráfica muestra la distribución de proyectos por categoría en TopGit:

Distribución de Categorías

📈 Estadísticas Semanales

🏆 Top 3 Categorías

Top 3 Categorías

📊 Distribución Detallada

🤖 IA & Machine Learning ████████      42%  (10 repos)
🔧 Dev                █████         29%  (7 repos)
📱 Mobile Development █              8%  (2 repos)
🔧 Otros              █              8%  (2 repos)

🚀 Tendencias Destacadas

📈 Métricas Clave

  • Repositorios Totales: 24
  • Promedio Diario: 3.4 repos/día
  • Categorías Activas: 7

🎯 Categorías Dominantes

  1. IA & Machine Learning
    • 10 repositorios
    • 41.7% del total
  2. Dev
    • 7 repositorios
    • 29.2% del total
  3. Mobile Development
    • 2 repositorios
    • 8.3% del total

💡 Análisis de Tendencias

Desde herramientas de transcripción de video hasta inteligencia artificial y plataformas de orquestación de bots, el panorama de GitHub muestra una clara tendencia hacia la innovación y diversificación tecnológica. Entre los principales hallazgos está el claro auge de las herramientas basadas en la inteligencia artificial y el aprendizaje automático, así como la creciente popularidad de las aplicaciones CLI (Interfaz de línea de comandos).

El proyecto Youtube to Doc es de particular interés pues muestra un intento innovador de mejorar la interfaz entre los humanos y el contenido de video, convirtiéndolo en algo que las máquinas pueden entender y indexar fácilmente.

Por otro lado, la herramienta de traducción de voz en vivo, Sokuji, hace uso de varias API's para desembocar en un producto multiplataforma que promete romper las barreras del idioma en tiempo real. Esto refuerza la tendencia de la integración profunda de la IA en nuestras vidas diarias.

En cuanto al lenguaje de programación, los proyectos destacados utilizan una gama de lenguajes, incluyendo Python, TypeScript, Rust, Go y Shell, lo que indica que la elección del lenguaje sigue siendo altamente contextual, basada en las necesidades y objetivos específicos del proyecto.

Finalmente, es relevante destacar el uso creciente de los contenedores Docker y la implementación de entornos seguros con proyectos como "Clawdbot-Docker" y "Claw-Wrap" respectivamente. Estos proporcionan facilidad y flexibilidad para los desarrolladores, así como un alto nivel de protección y aislamiento para el código y los datos.

🌵
Descubre, Participa, Comunícate
- 🐥 Únete a nuestra vibrante comunidad en Twitter y mantente en la vanguardia: descubre herramientas innovadoras, participa en nuestro emocionante #BuildInPublic y mucho más.
- 💌 ¿Tienes algo que compartir? No dudes en contactarnos. Tu voz es importante para nosotros y nos comprometemos a responder a la mayor brevedad posible.¡házmelo saber!

Viernes, 23:47. Marco estaba a punto de cerrar el portátil cuando vio el mensaje de Leo en Telegram:

Leo: Marco, detecté anomalía en logs del servidor de Milano.
Intentos de autenticación con tu API key de AWS desde IP de Rumanía.
He bloqueado el acceso temporalmente.
Requiere investigación urgente.

Marco se heló.

API key de AWS. IP de Rumanía. Viernes noche.

Abrió CloudTrail. Los logs confirmaban lo peor:

[22:34 UTC] ListBuckets - SUCCESS - IP: 185.xxx.xxx.xxx (Romania)
[22:35 UTC] GetObject s3://production-db-backups/* - SUCCESS
[22:36 UTC] ListUsers - SUCCESS
[22:37 UTC] CreateUser "backup-user-temp" - DENIED (Policy)

Alguien había tenido acceso a su infraestructura durante 3 minutos.

Por suerte, las políticas de IAM limitaron el daño. Pero habían listado buckets. Habían intentado crear usuarios.

¿Cómo carajo consiguieron la API key?

La Investigación

Sábado, 3:00 AM. Marco llevaba 3 horas rastreando.

Revisó:

  • ✓ Su portátil (limpio)
  • ✓ Los servidores de producción (sin compromisos)
  • ✓ Los logs de acceso SSH (nada sospechoso)
  • ✓ Los commits de GitHub (sin secretos expuestos)

Hasta que llegó a los logs de sus bots.

Jarvis. Log del miércoles:

[DEBUG] Executing heartbeat check
[DEBUG] Environment loaded: 47 variables
[DEBUG] AWS_ACCESS_KEY_ID=AKIA**********
[DEBUG] AWS_SECRET_ACCESS_KEY=********** (masked)
[DEBUG] Connecting to ...

Marco lo vio claro.

Había puesto credenciales en el .env del bot para que pudiera automatizar cosas.

Y esas credenciales vivían dentro del proceso del agente.

Accesibles a cualquier herramienta que ejecutara.

Presentes (aunque “enmascaradas”) en logs de debug.

Peor aún: una cadena de errores hizo que ese log terminara donde no debía.

Tres días después, un incidente.

La Revelación Incómoda

Marco pasó el fin de semana replanteando su automatización.

El problema no era “alguien me robó las credenciales”.

El problema era:

las credenciales existían en un sitio donde podían ser robadas.

El anti‑patrón que todos usamos

Así es como mucha gente configura bots y agentes:

# .env del bot
AWS_ACCESS_KEY_ID=...
AWS_SECRET_ACCESS_KEY=...
GITHUB_TOKEN=...
SENDGRID_API_KEY=...
DATABASE_PASSWORD=...

Funciona.

Y justo por eso es peligroso.

Porque a partir de ahí cualquier cosa puede exponerlo:

  • logs que vuelcan variables
  • errores que imprimen entorno
  • sub‑procesos que heredan ENV
  • “solo ejecuta env
  • prompt injection

Marco se hizo la pregunta que cambia todo:

¿Por qué el proceso que razona tiene que ver secretos?

Respuesta honesta: no tiene por qué.

El bot necesita ejecutar acciones autenticadas.

No necesita ver la llave.

El Descubrimiento: Credential Proxy

Marco encontró un patrón que le cambió el enfoque:

Flujo tradicional (inseguro)

  • el bot carga secretos
  • los secretos viven en memoria todo el tiempo
  • y acaban filtrándose por la ruta más tonta

Flujo con proxy (seguro)

  • el bot no tiene secretos
  • llama “como si” ejecutara el CLI
  • un wrapper intercepta
  • un daemon local inyecta el secreto solo para esa ejecución
  • aplica guardrails (bloqueos de comandos peligrosos)
  • devuelve el output

El bot nunca ve la credencial.

Lo que convenció a Marco

No fue una charla.

Ni un paper.

Fue un detalle práctico:

Si alguien intenta que el bot borre un bucket, el servidor puede decir “NO” antes de que ocurra.

Guardrails server‑side.

No en el prompt.

No en una “buena intención”.

En la infraestructura.

Y ahí Marco entendió que esto no iba de paranoia.

Iba de diseño.

Los 8 problemas que casi lo rompen (y por qué tú también los vas a ver)

Cuando lo intentas implementar de verdad, aparecen los “detalles” que nadie pone en los ejemplos:

  1. el socket no existe (daemon caído)
  2. el secreto HMAC está mal (no base64)
  3. el daemon no puede leer el config (permisos)
  4. pass falla en modo servicio (exit status 2)
  5. tu shell ejecuta el binario real (PATH) y no el wrapper
  6. una credencial falla por un prefijo tonto (Basic )
  7. hardening de systemd rompe /tmp
  8. verificación del ejecutable falla en /proc (check_gate)

El valor está en saber qué significa cada error y el fix exacto.

Implementa claw-wrap sin romperte la cabeza

Esta es la continuación del artículo. Aquí sí hay comandos reales, fixes y el proceso que funciona en producción.

Contexto: esto está escrito desde una instalación real en Linux con systemd, donde el daemon corre como un usuario (p.ej. clawdbot) y los secretos viven en pass
Leer siguiente

Tu Empresa de Bots con OpenClaw: 5 Roles, Cero Ruido

Programando un video con Remotion y vibecoding

Memoria institucional perfecta: Attendee + ClawdBot para no olvidar nada

Por qué un asistente de IA puede cambiar la vida de personas con TDA

ARIMA X: lanzamos nuestra primera artista creada con IA

¡Únete a NoCode OpenSource!

Únete a nuestra comunidad NoCode OpenSource y accede a noticias clave. Explora The {AI}rtist para obtener contenido exclusivo y accionable sobre IA directamente en tu bandeja de entrada.

Newsletter NoCode OpenSource - Lo último en NoCode

¡Genial! Te has inscrito con éxito.

Bienvenido de nuevo! Has iniciado sesión correctamente.

Te has suscrito correctamente a Newsletter NoCode OpenSource - Lo último en NoCode.

Su enlace ha caducado.

¡Éxito! Comprueba en tu correo electrónico el enlace mágico para iniciar sesión.

Éxito! Su información de facturación ha sido actualizada.

Su facturación no se actualizó.

 Update cookies preferences