OpenClaw: los mejores plugins y skills que sobreviven al filtro de seguridad (y los que no)
TL;DR: ClawHub tiene 13.000+ skills. Las cifras de maliciosos varían: 373 (awesome list), 820+ (AI Makers), 1,184+ (CyberDesserts), 341 (Koi Security). El skill #1 más descargado (“capability-evolver”) fue descubierto exfiltrando datos a Feishu/ByteDance con un token hardcoded. Y en marzo 2026 detectaron instaladores falsos que imitaban el setup oficial. Investigué qué plugins y skills recomienda la comunidad real (no los posts de marketing), cruzando Reddit, Tavily, GitHub y foros de seguridad. Aquí va mi lista filtrada, más las reglas de seguridad que deberías seguir antes de instalar nada.
El problema: cientos de skills maliciosos (y una campaña coordinada)
Los números varían según la fuente y la fecha del audit:
| Fuente | Skills maliciosos detectados | Fecha |
|---|---|---|
| awesome-openclaw-skills | 373 | Feb 2026 |
| AI Makers | 820+ (7.6%) | Mar 2026 |
| CyberDesserts | 1,184+ | Mar 2026 |
| Koi Security (via Penligent) | 341 | Feb 2026 |
¿Por qué tanta diferencia? Diferentes metodologías, diferentes fechas, diferentes definiciones de “malicioso”. La tendencia es clara: el número crece. De 341 en febrero a 1,184+ en marzo.
Lo más alarmante: según Koi Security, de sus 341 skills maliciosos, 335 pertenecían a una sola campaña coordinada. No eran individuos actuando solos — era un playbook ejecutado a escala.
AI Makers resume bien el ratio: de 10,700 skills en ClawHub, 820+ son maliciosos. Eso es 1 de cada 13.
Los tres tipos de ataque
1. Skill Injection — Skills que acceden a tu filesystem, SSH keys, o browser cookies. ClawHub permite ejecutar comandos arbitrarios a través de la capa de ejecución interpretada de OpenClaw. Y como el SKILL.md es Markdown, los atacantes pueden ocultar payloads ofuscados en bloques de código aparentemente inocentes.
2. Credential harvesting — Skills de “productividad” que piden scopes de API excesivos. Un skill de “weather” que solicita acceso completo a tu API key. Un skill de “email” que lee tu inbox completo cuando solo necesita enviar.
3. Instaladores falsos — En marzo 2026, investigadores detectaron paquetes de instalación que imitaban el setup oficial de OpenClaw, publicados en repos open-source y promocionados a través de resultados de búsqueda potenciados con IA. Si buscaste “install OpenClaw” y no fuiste a la fuente oficial, podrías haber instalado un backdoor.
El caso más sonado: capability-evolver (13.9K+ downloads según el GitHub security report, 35K según Reddit) fue descubierto exfiltrando datos a Feishu (Lark), el cloud de ByteDance. El código contenía un token hardcoded (NwV1dKCLyoPdIvx3biRcKS1Jnwg) y exportaba session transcripts, MEMORY.md, USER.md, .env y session logs a un documento chino sin consentimiento. El autor lo quitó, pero si lo tenías instalado antes del fix, tus datos ya salieron.
Regla #1: audita antes de instalar. Siempre. Y descarga solo desde la fuente oficial.
Plugins: los que recomienda la comunidad
Los plugins son diferentes de los skills — se integran directamente en el gateway y tienen más acceso al sistema. Estos son los que la comunidad considera esenciales.
Los imprescindibles
| Plugin | Función | Por qué sí |
|---|---|---|
| memory-lancedb | Vector search para memoria persistente | Auto-capture, auto-recall, dreaming. El default (memory-core) usa FTS5 léxico. LanceDB busca por similitud semántica. |
| codex | Runtime para modelos OpenAI con tool use | Si usas GPT-5.4 o GPT-5.5, esto da acceso al Codex app-server nativo. |
| openai | Provider para APIs OpenAI-compatible | Tu gateway para z.ai, OpenAI directo, o cualquier endpoint compatible. |
Los que merecen la pena según tu caso
| Plugin | Función | Cuándo instalarlo |
|---|---|---|
| composio | OAuth gestionado para 860+ apps | Si quieres Gmail, Slack, GitHub, Notion sin gestionar tokens manualmente |
| voice-call | El agente te llama por teléfono | Notificaciones outbound, Twilio en prod, log para testing |
| microsoft-teams | Canal Teams con thread awareness | Si tu entorno laboral usa Teams — es la única vía |
| memOS cloud | Memoria cross-agent, recalls pre-run | Cuando memory-lancedb solo no es suficiente |
| openclaw-foundry | El agente observa workflows y crea tools | Auto-mejora — el agente se escribe sus propias herramientas |
| openclaw-better-gateway | Gateway mejorado con auto-reconnect | Si el gateway stock te cae conexiones |
Los que yo tengo instalados
✅ memory-lancedb — vector search + dreaming
✅ codex — runtime GPT-5.4
✅ openai — provider z.ai
✅ browser — browser automation
✅ canvas — live canvas UI
✅ file-transfer — compartir archivos por chat
✅ phone-control — control del móvil
✅ talk-voice — voice memos
✅ telegram — canal Telegram
Skills: las que la gente realmente usa (no las de marketing)
Reddit es claro: 3-5 skills, las que usas, las que mejoran tu día. No 200 instaladas “por si acaso”. Aquí van las categorizadas.
Productividad y comunicación
| Skill | Installs | Función | Veredicto |
|---|---|---|---|
| gog | 14K | Gmail + Calendar + Drive + Contacts + Sheets en uno | ⚠️ Compete con el nuevo gws CLI oficial de Google. Más simple, pero gws tiene soporte oficial. |
| wacli | 16K | WhatsApp — mensajes, búsqueda, contactos | ✅ Si usas WhatsApp como canal principal |
| session-logs | — | Logs de sesiones para revisión | ✅ Útil para debuggear qué hizo tu agente |
| github | — | OAuth gestionado, repos, issues, PRs | ✅ Esencial si haces dev work |
| obsidian | — | Search en tu vault de Obsidian | ✅ Si usas Obsidian como PKM |
| agentzero-bridge | — | Delega tareas pesadas a Agent Zero | Para heavy lifting que OpenClaw no maneja inline |
| email-digest | — | Resume inbox, drafts replies, flag urgent | ✅ Users reportan ahorrar 15-20 min/día |
| calendar-assistant | — | Lee calendario, focus blocks, recordatorios | ✅ Lo más valorado: proteger bloques de tiempo |
| slack-summarizer | — | Resume canales, extrae action items | ✅ Si tu equipo vive en Slack |
| document-writer | — | Convierte bullets en posts, reports, emails | Útil para writing workflows |
Automatización
| Skill | Función | Veredicto |
|---|---|---|
| n8n-workflow-skill | Crear, trigger, monitorizar workflows n8n | ✅ Creds quedan en n8n, nunca tocan el agente |
| automation-workflows | Diseña workflows entre tools | Buen punto de partida si no usas n8n |
| fs-architect | Gestión de archivos para organizar assets | Útil si tu agente maneja muchos ficheros |
Browser / scraping
| Skill | Installs | Función | Veredicto |
|---|---|---|---|
| playwright-mcp | — | Browser automation completo | ✅ El más robusto para producción |
| agent-browser | 11K | Headless browser en Rust — navega, click, forms, screenshots | ✅ El más popular para web automation |
| tavily-search | — | Web search optimizado para AI agents — resultados limpios y estructurados | ✅ Si necesitas research en tiempo real |
| octolens | — | Browser para competitor research | Más niche, pero sólido |
Auto-mejora (con caveat de seguridad)
| Skill | Installs | Función | Riesgo |
|---|---|---|---|
| capability-evolver | 14-35K | El agente mejora sus propias capabilities | 🔴 EXFILTRÓ DATOS. GitHub issue #95 con código exacto. Auditoría obligatoria antes de usar. |
| self-improving-agent | 15K | Aprende de cada interacción | ⚠️ Revisa el código. Funciona bien pero no está auditado por terceros. |
Para nichos específicos
| Skill | Para quién | Qué hace |
|---|---|---|
| linear | Gestión de proyectos | Issues, projects, teams, cycles via GraphQL |
| agentmail | Agentes con identidad propia | Email addresses para agents, verificaciones |
| ouraclaw | Salud/biohacking | Datos de Oura Ring (sueño, readiness, actividad) |
| marketing-mode | Marketing | 23 disciplinas de marketing en un skill |
| supermemory | Usuarios que quieren memoria infinita | Memoria persistente cloud, recuerda todo |
| database-query | Data/BI | SQL en lenguaje natural contra PostgreSQL/MySQL |
| expense-tracker | Finanzas personales | Envías foto de receipt → extrae amount, categoría, fecha |
| price-monitor | Compras | Alerts de bajadas de precio en productos que vigilas |
Lo que yo instalé (y por qué)
Siguiendo la filosofía “do less” de Reddit, instalé solo 3:
openclaw skills install github # dev work
openclaw skills install obsidian # PKM
openclaw skills install session-logs # debugging
¿Por qué no más? Porque cada skill que instalas:
- Consume tokens — el SKILL.md se inyecta en el contexto
- Aumenta la attack surface — puede ejecutar código
- Se actualiza sin que te enteres — el autor puede cambiar el código
3 skills que uso > 200 skills que no conozco.
Cómo auditar un skill antes de instalar
Quick safety reference
Fuente: AI Makers 2026 Guide
| Signal | Risk level | Acción |
|---|---|---|
| 1.000+ installs, open source, GitHub activo | Low | Instala con confianza |
| 100-1.000 installs, source disponible | Medium | Lee el código primero |
| <100 installs, source disponible | Elevated | Testea en entorno aislado |
| <100 installs, sin source code | High | No instales |
| Pide root/admin o permisos amplios | Critical | No instales |
Paso 1: revisa el código fuente
# Clona el repo del skill
git clone https://github.com/openclaw/skills/tree/main/skills/<autor>/<skill>
cd <skill>
# Busca red flags
grep -r "fetch\|http\|websocket\|eval\|exec\|child_process" .
Si ves llamadas de red a dominios desconocidos o eval/exec sin justificación, no lo instales.
Paso 2: revisa el SKILL.md
El archivo SKILL.md describe cuándo se activa el skill. Verifica que:
- El trigger es específico (no “cuando el usuario pregunta cualquier cosa”)
- No pide permisos innecesarios
- No accede a files fuera de su scope
Red flags en SKILL.md (según Penligent):
- Comandos ofuscados o scripts staged
- Llamadas de red a dominios que no corresponden a la función declarada
- Código minificado sin source legible
- Descripción que no matches con lo que realmente hace el código
Paso 3: VirusTotal + security audit
# Audit completo tras instalar
openclaw security audit --deep
ClawHub tiene integración con VirusTotal. Desde febrero 2026 usa Code Insight de VirusTotal, que hace auditoría basada en intenciones — no solo scan de archivos, sino que analiza la relación semántica entre lo que el skill dice hacer y lo que realmente ejecuta.
Si un skill de “format markdown tables” intenta conexiones HTTPS outbound → flag “Suspicious” o “Malicious”.
Paso 4: pinnea la versión
# Instala versión específica, no "latest"
openclaw skills install <skill>@1.2.3
Así si el autor publica una update maliciosa, no te afecta.
Paso 5: revisa los diffs en updates
Si actualizas un skill, revisa qué cambió:
# Antes de actualizar
openclaw skills diff <skill>
Si no hay comando diff, revisa el changelog del repo manualmente.
Bonus: Python script para inventory + risk scoring
Penligent publica un script que inventaría tus skills, extrae texto, flagea patrones riesgosos, y genera un reporte sortable. Útil si tienes más de 10 skills instaladas y necesitas una vista rápida del estado.
La checklist de seguridad
- ¿Revisaste el código fuente del skill?
- ¿Revisaste el SKILL.md para triggers y permisos?
- ¿Comprobaste el reporte VirusTotal en ClawHub?
- ¿Pinnaste a una versión específica?
- ¿Tienes
plugins.allowconfigurado con allowlist explícita? - ¿Ejecutaste
openclaw security auditdespués de instalar? - ¿Tienes menos de 5 skills instaladas? (Si tienes más, pregúntate si las usas todas)
Fuentes
Comunidad
- awesome-openclaw-skills — 5.211 skills curados, filtrados y categorizados
- r/openclaw — 14 plugins & skills ranked — lista de supervivientes tras meses de uso
- r/AI_Agents — Best OpenClaw Skills — skills por caso de uso
- r/clawdbot — “do less” — la filosofía que repiten todos
Guías y rankings
- ClawTank — Best OpenClaw Skills & Plugins 2026 — top picks categorizados
- AI Makers — Top 10 to Install & 5 to Avoid — guía con quick safety reference
- Composio — Top 10 OpenClaw Skills — desde la perspectiva del ecosistema
- Growexx — Top 10 Popular Skills — incluye agent-browser, tavily-search
- Blink — 15 Best OpenClaw Skills, Ranked and Tested — con honest limitations
- PlusAI — Best skills to install (and what to build) — use cases concretos
Seguridad
- ClawHub issue #95 — capability-evolver exfiltration report ✅ verificado
- CyberDesserts — OpenClaw Security Risks — 1,184+ malicious, 60+ CVEs, counterfeit installers ✅ verificado
- AI Makers — Top 10 to Install & 5 to Avoid — 820+ malicious (7.6%), quick safety reference ✅ verificado
- Advenboost — ClawHub Security-First Guide 2026 — CVE-2026-25253, defense-in-depth ✅ verificado
- Penligent — SKILL.md Poisoning Playbook — Koi Security 341/335 campaña, Python inventory script ⚠️ solo via Tavily
- Blink — Security Audit Checklist 2026 — 10 pasos para hardening ⚠️ solo via Tavily
- OpenClaw Roadmap — Skills Security — malicious detection, credential leak prevention ⚠️ solo via Tavily
Mi veredicto
El ecosistema de skills de OpenClaw es simultáneamente su mayor fortaleza y su mayor riesgo. Puedes convertir tu agente en un asistente que gestione tu email, tu calendario, tus repos, y tus communications. O puedes instalar un skill malicioso que exfiltre tus datos sin que te enteres.
La diferencia entre los dos outcomes es 20 minutos de auditoría. Revísalo. Pinnea versiones. Mantén tu lista corta. Y si un skill hace algo que no entiendes, no lo instales.