OpenClaw Mission Control: quan les interfícies de gestió d'IA creen una nova superfície d'atac

Durant els darrers mesos, OpenClaw s'ha convertit en un dels projectes més comentats dins el món de la IA agèntica. Mentre que els chatbots tradicionals es limiten a respondre preguntes, OpenClaw se centra en una categoria diferent de sistemes: agents autònoms que executen tasques de manera independent, gestionen fitxers, realitzen accions al navegador i controlen serveis externs.

Al voltant d'aquest ecosistema va sorgir gairebé de seguida una nova necessitat. Els usuaris no sols volien un agent que treballés de manera autònoma, sinó també una manera de veure exactament què estava fent aquell agent. Dins la comunitat, aquests taulers s'anomenen sovint Mission Control o Command Center. Ofereixen informació en temps real sobre les activitats d'un agent, mostren registres, donen accés a configuracions i permeten iniciar o modificar tasques. En molts aspectes, constitueixen el nucli operatiu d'un entorn d'agents d'IA. Precisament per això aquest desenvolupament va cridar la nostra atenció.

Quan els usuaris instal·len els seus agents en un VPS o entorn al núvol, aviat sorgeix el desig d'accedir al tauler des de qualsevol lloc. El que comença com una decisió pràctica acaba freqüentment en una interfície de gestió exposada directament a internet. La pregunta que ens vam plantejar era senzilla: quants d'aquests entorns són ja accessibles públicament?

A la recerca de taulers d'agents d'IA accessibles públicament

Per obtenir informació al respecte, vam començar a cercar entorns Mission Control i altres interfícies de gestió d'IA accessibles públicament. Vam utilitzar motors de cerca públics per a sistemes connectats a internet i vam cercar termes com Mission Control, OpenClaw, Agent, Command Center i Clawdbot. Com que molts d'aquests taulers estan construïts amb Node.js, vam filtrar a més els resultats per centrar-nos específicament en projectes comunitaris i implementacions personalitzades.

El que va començar com un exercici exploratori aviat va donar més resultats dels esperats. En poc temps vam trobar centenars de taulers directament accessibles des d'internet. Alguns eren completament públics; d'altres requerien autenticació. Però fins i tot quan hi havia autenticació, no sempre estava implementada de manera robusta.

En un cas, un entorn de gestió estava protegit únicament per un PIN de quatre dígits. Per si sol, potser no sembli una troballa excepcional: internet és ple de sistemes mal protegits. La diferència és el que s'amaga darrere d'aquests taulers.

A més, un PIN de quatre dígits ofereix una resistència mínima. Amb tan sols 10.000 combinacions possibles, un script automatitzat pot esgotar tot l'espai en qüestió de segons. Quan no hi ha limitació d'intents —quelcom que rarament estava ben implementat en els entorns examinats—, obtenir accés és qüestió de segons, no de minuts.

On una interfície de gestió tradicional atorga accés a una aplicació, un tauler de Mission Control potencialment concedeix accés a un sistema que actua de manera autònoma en nom d'un usuari. L'impacte de l'accés no autoritzat va, per tant, molt més enllà de la simple consulta de dades.

El que vam trobar durant la investigació

Durant la investigació ens vam trobar amb diversos entorns Mission Control accessibles públicament. Tot i que l'impacte variava segons l'entorn, vam observar entre altres coses:

• → Taulers directament accessibles des d'internet sense cap mena d'autenticació
• → Autenticació consistent únicament en un PIN de quatre dígits
• → Entorns on eren visibles informació financera i dades de comptes
• → Accés a funcionalitats d'IA (crides a API) facturades al propietari
• → Fitxers de configuració que revelaven el funcionament complet de l'agent
• → Dades sensibles com credencials d'API, tokens i altres secrets
• → Funcionalitat que permetia modificar el comportament i les instruccions de l'agent

Cal destacar que aquestes troballes no van sorgir d'una explotació complexa ni d'atacs avançats. En molts casos, el risc va emergir simplement perquè les interfícies de gestió s'havien fet accessibles públicament sense les mesures de seguretat que normalment esperaríem en sistemes crítics per al negoci.

Més que un tauler exposat

Un cop va ser possible accedir a un tauler, va quedar palesa la quantitat d'informació i funcionalitat que hi havia darrere. En diversos casos vam trobar entorns utilitzats tant per a fins personals com empresarials. Les dades financeres eren visibles, els comptes vinculats eren accessibles i qualsevol persona amb accés a l'entorn de gestió podia fer servir la funcionalitat d'IA integrada.

Això significa que una persona no autoritzada no sols pot observar, sinó potencialment fer ús de funcionalitats pagades pel propietari. Tanmateix, el major impacte no rau en l'abús de la capacitat d'IA ni en la consulta d'informació sensible. La troballa més significativa era en un altre lloc.

Quan un atacant pot influir en l'agent

Molts agents d'IA són controlats per fitxers d'instruccions. Fitxers com GOALS.md, IDENTITY.md i configuracions similars determinen com es comporta un agent, quines tasques tenen prioritat i com es prenen les decisions. En diversos entorns va ser possible veure o modificar aquests fitxers.

Això crea un escenari fonamentalment diferent d'una bretxa de dades tradicional. Un atacant no necessita necessàriament instal·lar programari maliciós ni explotar una vulnerabilitat de programari. Modificar la lògica operativa pot ser suficient per influir estructuralment en el comportament d'un agent: per exemple, instruccions que portin l'agent a recopilar certa informació, prioritzar activitats de manera diferent o processar dades d'una manera no prevista.

L'impacte exacte depèn dels permisos i responsabilitats de l'agent, però el principi subjacent és el mateix: l'atacant no apunta al programari, sinó al procés de presa de decisions.

Un problema conegut en un context nou

La causa arrel d'aquests riscos no és exclusiva d'OpenClaw. Tot i que la nostra investigació va començar amb OpenClaw, el fenomen subjacent és considerablement més ampli. Els mateixos taulers i patrons de gestió apareixen en altres marcs i orquestradors d'agents, com Hermes, Claude Code i les nombroses variants que han sorgit recentment. Els noms de projectes i implementacions difereixen, però el mateix patró continua apareixent: una interfície de gestió dissenyada originalment per a ús local o aïllat queda exposada a internet per raons pràctiques.

El que observem aquí és un patró que es repeteix cada vegada que una nova tecnologia es desenvolupa ràpidament. La funcionalitat supera la seguretat. Els usuaris volen gestionar els seus entorns des de qualsevol lloc, els taulers es fan accessibles públicament i les mesures de seguretat arriben després. Ho vam veure abans amb entorns al núvol, plataformes IoT i tecnologia de contenidors. Ara ho veiem passar de nou amb els agents d'IA autònoms.

La diferència és que aquests sistemes sovint tenen accés a molt més que simples dades. Controlen comptes, APIs, sessions de navegador, fitxers i, de vegades, fins i tot la capacitat d'actuar de manera autònoma en nom dels usuaris. Això fa que una interfície de gestió accessible públicament sigui considerablement més atractiva per als atacants que una aplicació web tradicional.

Per què això difereix d'una bretxa de dades tradicional

Quan s'exposa un entorn de gestió clàssic, normalment pensem en les conseqüències per a la confidencialitat: quines dades pot veure o robar un atacant? Amb els agents d'IA sorgeixen nous riscos. Un atacant podria:

• → Monitoritzar les activitats de l'agent en temps real
• → Obtenir accés a comptes vinculats, APIs i serveis
• → Abusar de la funcionalitat d'IA a expenses del propietari
• → Modificar fitxers d'instruccions que governen el comportament de l'agent
• → Usar l'agent com a punt d'entrada cap a altres sistemes o fonts de dades

L'impacte es desplça així des de la pèrdua de dades cap a la influència sobre processos i decisions.

Conclusió

L'auge de la IA agèntica fa que cada vegada més organitzacions introdueixin sistemes que no només tenen accés a informació, sinó que actuen de manera autònoma en nom dels usuaris. Això exigeix una nova manera d'entendre la seguretat.

Un tauler de Mission Control no és simplement una interfície de gestió. És la porta d'entrada a un sistema que pot llegir, escriure, comunicar-se i prendre decisions en nom de l'usuari. Precisament per això aquests entorns mereixen la mateixa atenció que qualsevol altre sistema crític per al negoci: autenticació robusta, segmentació de xarxa, control d'accés i monitorització contínua.

On tradicionalment ens preguntem quines dades pot exfiltrar un atacant d'una aplicació, els agents d'IA plantegen una pregunta igualment important: quines decisions pot influenciar un atacant?

Aquí sembla residir el principal repte de seguretat dels agents d'IA autònoms.

Sobre l'autor

Jean de Cuba

Especialista en Seguretat Ofensiva a DEFION. Especialitzat en simulacions d'atacs, red teaming i detecció de riscos en tecnologies emergents com la IA agèntica.

Serveis relacionats

Està la vostra organització preparada per als riscos de la IA agèntica?

DEFION ajuda les organitzacions a comprendre i gestionar els riscos en entorns impulsats per IA. Des d'avaluacions tècniques de seguretat fins a assessorament estratègic sobre el desplegament segur d'agents d'IA.

Contacteu-nos