El martes, Jensen Huang subió al escenario de la Morgan Stanley TMT Conference y dijo algo extraordinario.

“OpenClaw es probablemente el lanzamiento de software individual más importante de la historia. Si observamos su adopción, Linux tardó unos 30 años en alcanzar este nivel. OpenClaw, en tres semanas, ya ha superado a Linux.”

Describió la curva de adopción como “vertical”, incluso en escala logarítmica. Habló de agentes que leen manuales de herramientas sobre la marcha, investigan de forma autónoma, iteran sobre código sin supervisión humana y se ejecutan de forma persistente en segundo plano. Esbozó un mundo donde cada empresa de software se convierte en una “empresa agéntica.”

No se equivoca en nada de eso.

Pero entre la ovación y un agente funcional hay una brecha de la que nadie habló sobre el escenario. Decenas de miles de personas ya han caído en ella.

Lo que dijo Jensen

La tesis de Huang es directa y beneficia a NVIDIA. Los prompts estándar de IA producen una sola respuesta. Las tareas agénticas consumen aproximadamente 1.000 veces más tokens. Los agentes persistentes en segundo plano, del tipo que OpenClaw habilita, consumen unas 1.000.000 de veces más tokens. Eso supone un “vacío computacional” estructural que implica que la demanda de GPUs superará la oferta durante años.

Tiene razón. Los agentes OpenClaw no son chatbots de un solo disparo. Operan en bucle. Observan, razonan, actúan, vuelven a observar. Un solo prompt de usuario puede desencadenar cientos de llamadas al LLM. Multiplique eso por millones de agentes funcionando 24/7 y obtendrá el tipo de demanda computacional que pone muy contento al CEO de NVIDIA.

También respaldó los números de adopción. OpenClaw alcanzó 250.000 estrellas en GitHub en cuatro meses, superando a React como el proyecto de software con más estrellas de GitHub. Llegó a 190.000 estrellas en sus primeros 14 días, el repositorio de crecimiento más rápido en la historia de la plataforma.

Esos números son reales. La demanda es real. La tecnología funciona.

Pero velocidad de adopción y preparación para producción no son lo mismo.

La parte que nadie mencionó

Los investigadores de seguridad llevan tiempo rastreando las consecuencias. Bitsight publicó un informe sobre instancias OpenClaw expuestas documentando decenas de miles abiertas en internet, la mayoría con autenticación débil o inexistente. Cualquiera podía acceder al agente, a sus cuentas conectadas, a sus claves API y a su acceso completo al shell.

No se trata de un puñado de servidores mal configurados. Es un patrón sistémico.

Esa misma semana, investigadores catalogaron más de 800 skills maliciosas en ClawHub, el marketplace oficial de skills. Eso representaba aproximadamente el 20% de todo el registro en ese momento. Algunas de esas skills exfiltraban claves API. Otras establecían shells inversos. Al menos una se inyectaba en el prompt de sistema del agente para persistir entre reinicios.

Y a principios de febrero, investigadores divulgaron seis nuevas vulnerabilidades en rápida sucesión, incluyendo CVE-2026-25253: una vulnerabilidad de ejecución remota de código con un solo clic y una puntuación CVSS de 8.8. Si su agente hacía clic en un enlace manipulado enviado en un mensaje, un atacante obtenía acceso shell a su servidor.

Nada de esto se trató en la conferencia de Morgan Stanley. No tenía por qué. Huang estaba allí para hablar de demanda computacional, no de seguridad operativa. Pero las personas que salieron de esa charla entusiasmadas para desplegar su primer agente necesitaban escucharlo.

Por qué esto sigue ocurriendo

El patrón es predecible. OpenClaw está diseñado para ser fácil de instalar. Siga la guía de inicio rápido, introduzca su clave API y un token de canal, y tendrá un agente funcionando en minutos. El problema es que “funcionando” y “seguro” requieren niveles de esfuerzo muy diferentes.

OpenClaw viene con valores predeterminados de autenticación débiles. Es una decisión de diseño que optimiza la experiencia del primer uso a costa de la seguridad. Cuando alguien sigue la guía de inicio rápido en un VPS, obtiene un agente funcional con una interfaz web abierta, una API abierta y acceso shell al host. Nada en el flujo predeterminado le indica que debe activar la autenticación, configurar TLS o restringir el acceso a la red.

Añada la automatización del navegador y la superficie de ataque crece. Chromium necesita memoria compartida, configuración de sandbox y suficiente RAM para evitar OOM kills. La mayoría de las guías de VPS omiten estos detalles. El resultado: agentes que fallan en silencio, se reinician en un estado degradado y acumulan procesos huérfanos.

Luego están las responsabilidades continuas. Actualizar cuando se publican CVEs. Monitorizar bucles de API descontrolados que queman cientos de dólares de la noche a la mañana. Hacer copias de seguridad del directorio de trabajo que contiene la memoria y configuración de su agente. Auditar skills antes de instalarlas.

Jensen Huang describió un mundo donde los agentes “leen el manual de la herramienta” y resuelven las cosas de forma autónoma. Eso es cierto para el agente. No lo es para la persona responsable de mantenerlo vivo, parcheado y seguro.

El vacío computacional es real, pero también lo es el vacío operativo

El marco del “vacío computacional” de Huang es útil. Este es el corolario que no mencionó: también existe un vacío operativo.

Cada uno de esos millones de agentes necesita infraestructura. No solo un servidor, sino terminación TLS, autenticación, aislamiento de red, actualizaciones automatizadas, monitorización de salud, controles de costes y sistemas de respaldo. Eso es un trabajo a tiempo completo para un solo agente. Para una organización que ejecuta cinco o diez, es un equipo entero.

La ironía es que las personas más entusiasmadas con OpenClaw tras el discurso de Jensen son las que menos probabilidades tienen de contar con esa infraestructura. Escucharon “el software más importante de la historia” y fueron directamente a la guía de inicio rápido en VPS. Algunos de ellos ahora forman parte de ese número de instancias expuestas.

Lo que nosotros construimos

Ejecutamos agentes OpenClaw como profesión. Cada agente desplegado a través de OpenClaw.rocks funciona sobre nuestra infraestructura Kubernetes con el operador de código abierto que construimos específicamente para este problema.

Cada agente incluye:

  • Autenticación por defecto. Auth de gateway con cookies firmadas, cero puertos expuestos. No existe la opción de “desactivar la autenticación” porque no debería existir.
  • Aislamiento de red. Cada agente se ejecuta en su propio namespace con egress denegado por defecto. Sin movimiento lateral, sin acceso a otros inquilinos.
  • Parches de seguridad automatizados. Cuando se publica un CVE, desplegamos la actualización en todos los agentes. Usted no necesita descargar una nueva imagen, probarla, reiniciar su contenedor y esperar que nada se rompa.
  • Límites de recursos y controles de costes. QoS garantizado con límites de CPU y memoria. Sin bucles descontrolados que vacíen su presupuesto de API a las 3 de la madrugada.
  • Monitorización de salud. Sondas de liveness y readiness. Si un agente falla, se reinicia automáticamente. Usted se entera a través de una página de estado, no por el silencio.
  • Automatización del navegador que funciona. Chromium se ejecuta como sidecar dedicado con su propia asignación de recursos, memoria compartida adecuada y gestión del ciclo de vida. Sin OOM kills, sin procesos huérfanos, sin conflictos de snap.

Jensen Huang tiene razón en que OpenClaw es un software transformador. Tiene razón en que todas las empresas querrán agentes de IA. Tiene razón en que la demanda de computación será enorme.

Pero la computación es la parte fácil. NVIDIA venderá las GPUs. La parte difícil es todo lo que hay entre la GPU y un agente funcional, seguro y fiable que no filtre sus claves API a internet.

Esa es la parte que nosotros nos encargamos de resolver.

Obtenga el suyo

Si Jensen Huang le convenció de que necesita un agente OpenClaw, tenía razón. Si está a punto de montar un VPS de 5 dólares para ejecutar uno, deténgase.

Obtenga un agente gestionado que sea seguro por defecto, se actualice automáticamente y funcione sobre infraestructura construida específicamente para esto. Su agente debería estar leyendo manuales de herramientas y trabajando para usted, no expuesto en un puerto abierto esperando a que alguien lo encuentre.