Un ex desarrollador presenta el tan esperado componente de seguridad que OpenClaw dejó fuera
En breve
Tank OS empaqueta OpenClaw como una imagen de sistema de arranque.
Con esta implementación, cada agente se ejecuta en un contenedor aislado con sus propias credenciales y ninguna instancia puede acceder a la máquina host ni a otros agentes.
Las auditorías de seguridad señalaron que entre el 12 % y el 20 % de los complementos de ClawHub eran maliciosos.
Sally O'Malley, ingeniera de software principal de Red Hat, pasó un fin de semana resolviendo un problema que la mayoría de los equipos de TI empresariales no saben que tienen todavía. El resultado es Tank OS, una herramienta de código abierto que empaqueta OpenClaw (el nuevo software de moda que facilita la implementación de agentes de IA) dentro de un entorno seguro y autónomo y lo entrega como una imagen de sistema lista para arrancar que puede enviar a cualquier máquina: un servidor en la nube, una máquina virtual o hardware físico.
En otras palabras, si usted (o su agente) arruina las cosas, este nivel de aislamiento contendría el daño dentro del territorio de "está bien".
En lugar de instalar OpenClaw manualmente en cada computadora y esperar que alguien lo configure correctamente, publica una imagen (una instantánea completa del sistema operativo más el agente) y cada máquina que arranca desde allí obtiene exactamente la misma configuración. Las actualizaciones funcionan de la misma manera: cambia la imagen, reinicia y listo. Sin parches manuales.
La parte de seguridad es donde Tank OS gana su nombre. Cada instancia de OpenClaw se ejecuta dentro de un contenedor, una especie de caja amurallada dentro de la computadora que no puede salir de sus propios límites.
Fundamentalmente, O'Malley utilizó Podman, una herramienta de contenedor desarrollada en Red Hat, que se ejecuta sin privilegios de administrador. Eso significa que incluso si algo sale mal dentro del contenedor, no puede tocar el resto de la máquina.
Las claves API (las "contraseñas" que conectan OpenClaw con servicios como el correo electrónico o Slack y hacen posible que su máquina se comunique con todos esos servicios) se almacenan por separado por instancia. Un agente no puede ver las credenciales de otro. Nada dentro del contenedor puede llegar al sistema anfitrión.
O'Malley es mantenedora de OpenClaw, lo que significa que ayuda al creador Peter Steinberger a decidir qué funciones se incluyen y qué errores se solucionan, con su enfoque específico en casos de uso empresarial y el ecosistema Linux de Red Hat. Tank OS no es un parche de terceros. Refleja dónde alguien dentro del proyecto cree que realmente debe avanzar el fortalecimiento empresarial.
La seguridad en la era de la IA agente es extremadamente importante, considerando que ahora casi todo el mundo utiliza estas herramientas, pero no muchos saben qué hacen realmente para operar. Esto crea una invitación de puertas abiertas para hackers y atacantes con conocimientos técnicos.
Por ejemplo, el investigador de seguridad Mav Levin de DepthFirst reveló CVE-2026-25253 a finales de enero, una vulnerabilidad calificada con 8,8 sobre 10 en la escala de gravedad utilizada por investigadores de seguridad de todo el mundo. Fue un ataque con un solo clic: visitar la página web equivocada mientras OpenClaw se estaba ejecutando fue suficiente para entregarle al atacante sus credenciales de inicio de sesión y el control total de su computadora. La solución se envió el 30 de enero. Más de 17.500 instancias expuestas eran vulnerables antes de que lo hiciera.
Este repositorio está dirigido a las empresas clientes de Red Hat, pero la idea de ejecutar agentes en contenedores puede ser un buen consejo incluso para usuarios domésticos.
"Mi papel dentro de OpenClaw es realmente mi interés en ello", dijo O'Malley a TechCrunch. "Cómo se verá ampliado cuando haya millones de estos agentes autónomos hablando entre sí".
Tank OS ya está disponible en github.com/LobsterTrap/tank-os.