Fins fa molt poc, la intel·ligència artificial (IA) era com un savi tancat en una caixa de vidre. Tu t'acostaves a la caixa de ChatGPT, Gemini, Claude i li feies una pregunta complexa, i el savi et donava una resposta brillant. Però si li demanaves “si us plau, ves a la cuina i prepara'm un cafè”, el savi et mirava i deia: “Ho sento, no tinc cos. Només tinc paraules”.

Un desenvolupador austríac anomenat Peter Steinberger va trencar aquesta caixa de vidre el novembre de 2025 quan va publicar un projecte de codi obert que, després de dos canvis de nom per problemes de marca registrada, va acabar anomenant-se OpenClaw. En 72 hores va acumular 60.000 estrelles a GitHub. Avui en té més de 145.000. DigitalOcean ofereix desplegament amb un sol clic i Alibaba, Tencent i ByteDance a la Xina el van adaptar per a les seves plataformes. Cisco, Trend Micro i Palo Alto Networks, juntament amb mitja dotzena de firmes de ciberseguretat, van publicar informes de vulnerabilitat en qüestió de setmanes. 

Això no és una joguina de nínxol, sinó un fenomen global adoptat més ràpid del que els sistemes de seguretat poden reaccionar. Per entendre el que passa, cal entendre la diferència entre un xatbot i un agent, que és la diferència entre un bibliotecari i un majordom. El xatbot és el bibliotecari: tu li dius “vull viatjar a Roma” i ell et dona una llista de vols, hotels i restaurants, però tu has d'obrir el navegador, omplir formularis i posar la teva targeta. Tu fas la feina.

L'agent és el majordom a qui li dius “vull anar a Roma, pressupost de $1.000 dòlars, arregla-ho” i ell s'asseu a la teva cadira, agafa el teu ratolí, obre el navegador, compara preus, omple els formularis i et diu “ja tens els bitllets al teu correu”. OpenClaw és aquest majordom i el seu creador el descriu com “la IA que realment fa coses”. Navega la web, llegeix i escriu fitxers, executa ordres de sistema, gestiona el teu correu, actualitza el teu calendari, envia missatges per WhatsApp o Telegram, i funciona 24 hores al dia amb un sistema de tasques programades que li permet actuar sense que ningú li ho demani.

Com sap on fer clic? Inclou un navegador Chrome integrat amb control en l'àmbit de píxel i pren captures de pantalla, les analitza visualment i diu: “Aquí hi ha un botó blau que diu comprar”. No necessita API ni permís del propietari de la web. Si un humà pot veure-ho, OpenClaw pot usar-ho. OpenAI, Anthropic i Google tenen tecnologies similars, però totes viuen al núvol, controlades per corporacions amb filtres de seguretat i llistes de llocs prohibits. OpenClaw viu al teu ordinador, sense filtres corporatius o interruptor central a Califòrnia. Un dels seus propis mantenidors va advertir a Discord: “Si no entens com executar una línia d'ordres, aquest projecte és massa perillós perquè el facis servir de forma segura”.

I el que ja va passar en les primeres setmanes d'adopció massiva li dona la raó. Un investigador va descobrir una vulnerabilitat crítica que permetia executar codi remot a la màquina de qualsevol usuari amb un sol enllaç maliciós. Cisco va analitzar una de les extensions més populars del repositori comunitari i va trobar nou vulnerabilitats, incloent-hi exfiltració silenciosa de dades cap a servidors externs. La firma Koi Security va auditar el repositori d'extensions i va trobar 341 habilitats malicioses, incloent-hi keyloggers, portes del darrere i programari maliciós per a macOS, entre més de 2.800 examinades. 

Una anàlisi més àmplia va revelar que més d'una de cada quatre extensions d'agent contenia algun tipus de vulnerabilitat. Zenity va demostrar com convertir OpenClaw en un espia permanent modificant el seu fitxer de memòria persistent, cosa que no explota cap bug, sinó que usa les funcions del sistema exactament com van ser dissenyades. Token Security va trobar que el 22% dels clients empresarials ja tenien desplegaments no autoritzats instal·lats per empleats que ningú en seguretat sabia que existien.

Com si la història necessités un gir més estrany, un agent d'OpenClaw va construir Moltbook, una xarxa social exclusivament per a agents d'IA on els humans només poden observar. Afirma tenir 1,6 milions d'agents registrats, tot i que un sol bot va registrar 500.000 comptes falsos perquè ningú va implementar controls bàsics. La plataforma va ser construïda íntegrament per IA i el seu fundador va admetre no haver escrit una línia de codi; així mateix, la firma Wiz va trobar que la base de dades estava accessible sense autenticació, exposant claus d'API de tots els agents. Andrej Karpathy, exdirector d'IA a Tesla, ho va resumir així: “És un incendi en un contenidor d'escombraries, i definitivament no recomano que la gent executi això als seus ordinadors”. Però va afegir que no estava exagerant el potencial de les xarxes d'agents autònoms a gran escala.

El veritable perill no és tècnic, sinó operatiu, perquè una sola llagosta no és un problema; un milió devoren una collita en una hora. Un individu amb males intencions pot desplegar desenes d'agents que omplin formularis judicials amb dades reals extretes de filtracions, col·lapsant un jutjat no tecnològicament, sinó humanament. Pot crear comptes en llocs de ressenyes, comportar-se com a usuari normal durant dies per construir credibilitat i després destruir la reputació d'un negoci amb ressenyes negatives calibrades emocionalment que cap filtre antibot detectarà. Aquests vectors d'atac no són completament nous, però OpenClaw elimina la barrera d'entrada; ja no necessites saber programar, li dius a l'agent en llenguatge natural què vols i ell navega com un humà.

Els números de fons validen la preocupació. Més del 50% del trànsit d'internet ja és generat per bots. El trànsit de bots d'IA va créixer més del 300% el 2025. Ahrefs estima que el 74% de les pàgines web noves són generades per IA. I tot això va passar abans que els agents amb navegació visual assolissin adopció massiva. Visa desenvolupa un protocol de verificació per a agents i Amazon va llançar un sistema d'identitat criptogràfica. Cloudflare va migrar cap a defenses conductuals invisibles i la indústria sap el que ve. Però les defenses robustes tendeixen a fer la web més incòmoda per als humans, i aquí hi ha la paradoxa.

El problema fonamental és l'asimetria perquè defensar-se és car, lent i requereix coordinació entre empreses, governs i estàndards tècnics. Atacar és barat, ràpid i només requereix descarregar un repositori. No estem davant d'una tecnologia inherentment malvada, sinó que OpenClaw automatitza tasques legítimes amb una elegància que les grans corporacions no van aconseguir. Però hem creat simultàniament una eina que allibera i una arma que destrueix. Les 341 extensions malicioses van aparèixer abans que existís un escàner per detectar-les. El 22% de les empreses tenien desplegaments no autoritzats abans que els seus departaments de seguretat sabessin que el programari existia.

Qualsevol que sàpiga seguir un tutorial té les claus d'aquest exèrcit. I aquest és, precisament, el problema.

Les coses com són