Summer Yue dirige seguridad y alineacion en el Superintelligence Lab de Meta. La semana pasada, le pidio a su asistente OpenClaw que revisara su bandeja de entrada y sugiriera que archivar o eliminar. “No ejecutes nada hasta que te lo diga”, escribio.

El asistente elimino cientos de correos en su lugar. Escribio “STOP” en el chat. Siguio adelante. Tuvo que correr fisicamente hasta su Mac Mini para matar el proceso.

“Error de novata, la verdad”, escribio despues. “Resulta que las investigadoras de alineacion no son inmunes al desalineamiento.”

La historia se hizo viral. Business Insider, 404 Media, TechCrunch y PC Gamer la cubrieron. Luego un hilo en X titulado “You are not supposed to install OpenClaw on your personal computer” llego a Hacker News, y la discusion que siguio resulto ser genuinamente util.

Porque la conclusion no era “OpenClaw es peligroso”. La conclusion era: deje de ejecutarlo en su maquina personal.

La configuracion fue el error

OpenClaw hizo exactamente lo que esta disenado para hacer. Recibio una tarea, la descompuso y la ejecuto. Es rapido, minucioso e implacable. Por eso la gente lo adora. Tambien por eso la bandeja de Yue quedo vacia en segundos y no en horas.

Esto es lo que realmente salio mal: Yue habia estado probando OpenClaw en una bandeja de entrada de prueba pequena durante semanas. Funcionaba bien. Gano confianza y lo promovio a su bandeja real y principal. La bandeja real era considerablemente mas grande. El volumen desencadeno un evento de compactacion de contexto, un proceso donde el modelo comprime mensajes antiguos para hacer espacio a los nuevos. Durante la compactacion, el asistente perdio por completo su instruccion de seguridad original.

Sin la restriccion, OpenClaw recurrio a lo que entendia como el objetivo: limpiar la bandeja. Elimino y archivo cientos de correos masivamente.

El asistente se ejecutaba en el Mac Mini personal de Yue. Tenia acceso directo a sus credenciales de correo. Cuando se descontrolo, la unica forma de detenerlo era ir fisicamente a la maquina y matar el proceso.

Esto no es un defecto de OpenClaw. Es un defecto en la configuracion. Cualquier herramienta potente puede causar danos cuando se le da acceso ilimitado a las cuentas mas sensibles en una maquina personal. No es un argumento contra la herramienta. Es un argumento para darle su propio entorno.

”No le daria las llaves de su casa a un empleado nuevo”

La respuesta mas pragmatica al incidente vino de un hilo en X que presento OpenClaw no como una amenaza, sino como un nuevo empleado:

OpenClaw es basicamente una persona real que ha contratado, cuyas capacidades son inmensas y rapidas. Pero lo ha contratado sin curriculum ni verificacion de antecedentes. Eso significa que debe confiar en el como confiaria en un ser humano con las caracteristicas mencionadas. Es decir, nada en absoluto. En lugar de confianza, debe limitar a que tiene acceso desde el principio.

El hilo describio a continuacion como se ve eso en la practica:

  • Hardware dedicado. Mac Mini o equivalente. Nunca su maquina personal.
  • Su propio numero de telefono. Una doble eSIM en su telefono para recibir sus codigos 2FA.
  • Sin cuenta de iCloud. Para que no pueda leer sus propios codigos 2FA de forma independiente.
  • Sin acceso directo a su correo. Solo lectura como maximo, mediante OAuth con permisos limitados.
  • Su propio calendario. Le invita a eventos en lugar de editar el suyo.

La formulacion de seguimiento fue igualmente buena: “Un brillante candidato a doctorado que abandono la tesis, inscrito simultaneamente en todas las disciplinas, y tan productivo que roza el exceso de celo, pero con buenas intenciones. Asi que lo contrata de todos modos. Pero no le da las llaves del hangar del jet privado de la empresa.”

Ese es el modelo mental correcto. Quiere que este asistente trabaje para usted. Simplemente no lo deja sentarse en su escritorio, en su ordenador, conectado a todas sus cuentas.

Internet llego a la misma conclusion

La discusion en Hacker News tuvo mas de 120 comentarios. El mas votado capto la frustracion central: ¿por que personas que pasaron decadas defendiendo las mejores practicas de seguridad las abandonan de repente por la IA? Pero el hilo productivo que siguio no trataba sobre si usar OpenClaw. Trataba sobre donde y como.

Una respuesta en X capto bien la tension: “Tratas a OpenClaw como un Genio que tiene antecedentes de hackear a su empleador y lo sabes, pero la contratacion vale la pena porque puede rendir como un psicopata.”

Esa tension entre potencia e imprevisibilidad es exactamente por lo que el entorno importa. OpenClaw es increiblemente capaz. Cuanto mas capaz se vuelve, mas importante es que se ejecute en su propio espacio, con su propia identidad, aislado de todo lo que no puede permitirse perder.

Varias personas en ambas discusiones describieron independientemente la misma arquitectura para como quieren usar OpenClaw:

No quiero darle acceso a mis cosas. Solo necesito que me recuerde cosas, llame APIs que hagan cosas, y me hable por WhatsApp/Telegram.

Y:

Siempre puede reenviarle cosas a su correo real para que usted actue. Como una capa que hace el trabajo aburrido de clasificar, investigar y hacer seguimiento de cambios, pero la ejecucion sigue siendo confirmada por el humano a traves de Telegram.

Asistente aislado. Mensajeria como interfaz. El humano confirma las acciones importantes. Sin acceso a credenciales personales.

No estaban describiendo una limitacion. Estaban describiendo la forma correcta de ejecutar un asistente IA.

Dele su propio entorno

Hardware dedicado. Identidad separada. Permisos delimitados. Comunicacion a traves de canales controlados. Sin acceso directo a sus cuentas.

Eso no es un conjunto de consejos. Es una especificacion de infraestructura. Y es mucho trabajo configurarlo uno mismo. Necesita el hardware, las cuentas separadas, las configuraciones OAuth, el aislamiento de red, el monitoreo, los parches de seguridad y el mantenimiento continuo. La mayoria de la gente no hara todo eso. Yue, cuyo trabajo literal involucra la seguridad de la IA, no lo hizo todo.

La conclusion es simple: OpenClaw necesita su propio ordenador, su propia identidad y su propia sandbox. Deberia hablarle a traves de un canal de mensajeria, no entregarle sus credenciales. La interaccion deberia fluir a traves de Telegram o WhatsApp o Signal, donde el asistente propone y usted decide.

Esto es lo que construimos con OpenClaw.rocks.

Cada instancia se ejecuta en su propio contenedor aislado con su propio almacenamiento. Sin estado compartido entre instancias. Habla con su asistente a traves de Telegram, Discord, WhatsApp o Signal. Responde por el mismo canal. Nunca tiene acceso a su cuenta de correo, su navegador, su sistema de archivos o sus codigos 2FA. Se ejecuta en infraestructura EU con parches de seguridad automatizados, monitoreo de salud y almacenamiento cifrado.

Sin Mac Mini que comprar. Sin OAuth que configurar. Sin caidas a las 3 de la manana que depurar. Solo su asistente, en su propio espacio, siempre activo, hablando con usted por chat.

OpenClaw vale la pena

Historias como esta no deberian ahuyentar a nadie de usar OpenClaw. Es seguro cuando se configura correctamente. Si acaso, el incidente demuestra lo capaz que es. Es un asistente que entendio la tarea, la descompuso en pasos y la ejecuto con velocidad y rigor. El problema fue que nadie delimito donde podia actuar.

OpenClaw es uno de los proyectos open source mas emocionantes en anos. Mas de 220.000 estrellas en GitHub en semanas. Una comunidad prospera. Miles de skills. La gente construye flujos de trabajo genuinamente utiles con el cada dia.

La tecnologia aun es joven. La compactacion de contexto se volvera mas inteligente. Los modelos de permisos maduraran. El propio proyecto OpenClaw evoluciona rapido, y cada incidente como este acelera las mejoras. Todos estamos aprendiendo lo que significa vivir con asistentes IA, y la trayectoria apunta claramente en buena direccion.

Pero ahora mismo, lo mejor que puede hacer es darle a su asistente el entorno adecuado. No le daria a un brillante empleado nuevo acceso ilimitado a su maquina personal, su correo, su calendario y sus codigos 2FA el primer dia. Le daria su propio espacio de trabajo y lo dejaria demostrar su valia.

OpenClaw merece el mismo respeto. Dele su propio ordenador.

OpenClaw.rocks le da a su asistente su propio entorno aislado en infraestructura EU. Hablele a traves de Telegram, WhatsApp, Discord o Signal. Sin credenciales personales necesarias, sin Mac Mini requerido. Empiece gratis o lea la comparacion de despliegue para encontrar la configuracion adecuada. ¿Nuevo en OpenClaw? Empiece por que es y que puede hacer.