Claws ahora es una nueva capa añadida sobre los agentes LLM

 (twitter.com/karpathy)
14 puntos por GN⁺ 2026-02-22 | 2 comentarios | Compartir por WhatsApp
  • Desde que se añadieron agentes sobre los LLM, ha surgido la capa Claws, encargada de la orquestación, la programación, la gestión de contexto, la invocación de herramientas y la persistencia por encima de ellos
  • Abstrae un nivel más la estructura de ejecución de los agentes para lograr un nivel más alto de automatización y configurabilidad
  • OpenClaw está compuesto por alrededor de 400 mil líneas de código, y existen preocupaciones sobre una estructura en la que se delegan datos personales y claves
  • Se han detectado múltiples riesgos de seguridad, como instancias expuestas, vulnerabilidades de RCE, contaminación de la cadena de suministro y casos de skills maliciosas o dañadas en el registro
  • Actualmente, el ecosistema se parece al “Viejo Oeste” y está muy cerca de ser una pesadilla de seguridad
  • NanoClaw tiene un motor central de unas 4,000 líneas y una estructura relativamente compacta
    • Su tamaño permite abarcar el código mentalmente, lo que favorece la gestión, la auditoría y la flexibilidad
  • Por defecto, toda la ejecución se realiza en un entorno de contenedores
  • En lugar de archivos de configuración, adopta un método de configuración mediante skills
    • El comando /add-telegram le indica al agente cómo modificar el código real
    • Es un nuevo enfoque basado en IA que reduce los archivos de configuración complejos y las estructuras de bifurcación condicional
  • Es excelente la metaestrategia de crear un repositorio lo más fácil posible de forkar, y que las skills lo transformen en distintas configuraciones
  • Han aparecido varios proyectos derivados, como nanobot, zeroclaw, ironclaw y picoclaw
  • También existen alternativas de hosting en la nube, pero el entorno local es más favorable para experimentar y escalar
    • También facilita la conexión con dispositivos de automatización del hogar basados en red local
  • Resulta conceptualmente atractiva la idea de un agente digital personal que funcione sobre un dispositivo físico
  • Claws se está consolidando como una nueva capa del stack de IA y define la estructura de la etapa posterior a los agentes
  • Aún no está definida mi configuración final concreta, pero tengo grandes expectativas por tratarse de una estructura experimental y escalable

Lecturas relacionadas

2 comentarios

 
xguru 2026-02-22

NanoClaw – asistente de Claude basado en TypeScript de 500 líneas que se ejecuta en un entorno de aislamiento de contenedores de Apple

En el momento en que se publicó eran 500 líneas, pero ahora parece que ya son 4000 ??
 
GN⁺ 2026-02-22
Comentarios en Hacker News

  • Se encontraron varios comentarios con ataques personales y fueron eliminados
    En HN, aunque haya desacuerdos, los ataques personales están absolutamente prohibidos. Porque perjudican el propósito del sitio
    Si no has leído recientemente las directrices, te recomendamos volver a revisarlas

    • No hubo ataques personales, solo frustración por seguir renombrando la misma funcionalidad una y otra vez. La gente se enoja porque no hay innovación real. Si esto hubiera pasado en los inicios de las REST API, la reacción habría sido la misma

  • Desde el punto de vista de la seguridad, tener un Claw es parecido a tener un asistente humano o un consultor
    Así como no le darías acceso a tu correo personal o a tu cuenta bancaria, habría que configurarlo con un correo separado y una tarjeta corporativa limitada

    • Pero en el caso de políticos o ejecutivos, es común que un asistente administre el correo o las redes sociales
      Aunque no les den acceso a cuentas bancarias, a veces sí se lo dan a un contador o asesor financiero

  • Hay una medida de seguridad que puse cuando hice una herramienta de agente basada en CLI
    Para realizar acciones peligrosas, como enviar correos masivos, exige una contraseña de un solo uso (OTP)
    La herramienta le indica al agente que le pida al usuario el OTP, y sin esa entrada no puede continuar
    Todavía no he probado Claw, pero creo que una estructura de intervención humana así es indispensable
    Por eso yo mismo hago todos mis CLI para agentes, para tener más control

    • La computación de hoy se está volviendo como Sim City: solo haces un plan borroso y esperas que el sistema funcione solo. Siento que se perdió la belleza de las reglas predecibles
    • Otro enfoque es imitar un flujo corporativo de aprobaciones. Las tareas importantes tienen un aprobador (approver) aparte, y el agente le envía un mensaje para obtener autorización. En vez de OTP, se confía en el canal de aprobación
    • Pero queda la duda de cómo hacer cumplir el criterio de “no debes enviar correos a demasiadas personas”
    • Yo corro mi propio Claw en fly.io. Las tareas que requieren intervención humana, como correos o mensajes de Slack, se separan como “activity” y generan un enlace; solo se ejecutan si yo las apruebo
    • Yo hice una versión con un LLM interno y una capa externa de orquestación de permisos. No creo que haga falta OTP. La capa externa me envía una notificación por Signal y yo decido si aprobar o no cada vez

  • Si Claw hubiera existido desde antes, internet habría sido diferente
    Una estructura tipo menú basada en el simple protocolo Gopher quizá habría sido más adecuada para los LLM
    Si en adelante aumentan las interacciones centradas en agentes del lado del usuario, puede que evolucione hacia algo así

    • Ese futuro hay que construirlo directamente. Un mundo donde todos los servicios existan solo en forma de API y mi agente los combine
      Si YouTube, Gmail, HN, los bancos y hasta la compañía eléctrica fueran todo APIs, el usuario podría armar la interfaz como quisiera
      Las empresas se opondrían porque se romperían sus monopolios, pero la tecnología sería menos rentable y más valiosa
    • Hacia 1992, antes de la era de la etiqueta IMG, hice experimentos creando pares DNS como foo-www, foo-http
      Cuando apareció la propuesta de CGI pensé “nadie va a usar esto”, pero al final todos implementaron esa especificación. Lástima haber perdido esa flexibilidad inicial
    • MCP ya va en esa dirección. Es una estructura donde el LLM accede a servicios mediante texto
      Yo hablo con mi instancia de OpenClaw en mi Mac por Telegram. En la práctica, ya estoy usando una interfaz nueva en lugar de la UI de las apps
      Parece más razonable crear una interfaz centrada en agentes en vez de ventanas para humanos, y dejar solo una interfaz de verificación
    • Técnicamente, todos los sitios web podrían ofrecer APIs, pero por un problema de incentivos la mayoría no quiere hacerlo. Como en el caso de Google Search API
    • No creo que Claw pudiera haber existido antes. Los datos de entrenamiento de los LLM surgieron gracias a la expansión de la WWW, y sin esa infraestructura el entrenamiento a gran escala habría sido imposible

  • El verdadero punto clave de Claw es que es un agente centrado en el usuario
    La IA que a la gente no le gusta es la IA controlada por empresas. Claw es algo que el usuario posee e incluso le pone nombre
    Es la diferencia entre un compañero como R2D2 y un robot humanoide clonado que intenta venderme cosas

    • De acuerdo. Los actores dominantes de siempre, como los vendedores de sistemas operativos, intentarán integrar este modelo centrado en el usuario a sus productos solo después de que pase por cierto caos
    • Pero depende de quién sea el “usuario”. ¿La persona que inició al agente, o la persona que interactúa con él? La segunda podría terminar siendo la víctima

  • Tenía curiosidad por saber qué era exactamente “Claw”
    ¿Es una IA que accede a datos personales como el correo?
    ¿Si se ejecuta con un LLM local dentro de un contenedor es seguro?

    • Yo lo veo como una nueva forma de asistente digital personal.
      • uso directo por parte de una persona
      • acceso a una terminal capaz de ejecutar código
      • integración con apps de chat
      • capacidad de ejecutar tareas programadas
      • acceso a datos sensibles como correo, calendario y archivos
        Puede correr tanto en hardware de consumo como en un VPS. Se está abriendo un mercado nuevo
    • Para mí es como un cron-for-agents que se ejecuta periódicamente, revisa la bandeja de entrada y hace cosas automáticamente
      Usa mis credenciales de forma asíncrona para realizar tareas. Es simple, pero interesante
    • Pero ejecutar algo en un contenedor no elimina el riesgo fundamental
    • Alguien satiriza Claw como simplemente un “estado psicológico de exponerse temerariamente para no quedarse atrás en la moda de la IA”
    • Técnicamente, Claw es un “agente dentro de una cola”. Es decir, un LLM y herramientas formando un bucle, con esos bucles conectados mediante una cola

  • Mi resumen: OpenClaw tiene un riesgo de seguridad de 5/5
    Incluso un NanoClaw perfectamente auditado sería como 4/5
    Con intervención humana mejora, pero la utilidad cae con rapidez
    Los LLM son buenos para generar guardrails a partir de especificaciones en lenguaje o pruebas, pero creo que la estabilidad es más importante

  • Parece que el nombre “Claw” se va a consolidar como el término para referirse a agentes personales de IA del estilo OpenClaw

    • Es interesante ver la difusión viral del término. Más adelante quizá los abogados sufran por temas de marca registrada. Como el “press” en el ecosistema WordPress

  • La moda actual de los flujos de trabajo con agentes ignora un problema fundamental: la ausencia de límites de seguridad
    Si un LLM tiene acceso irrestricto al shell y carga datos no confiables, la inyección indirecta de prompts es inevitable
    Además, si metes un enorme prompt de sistema y esquemas de herramientas en el contexto, la capacidad básica de razonamiento del modelo empeora y aumenta su vulnerabilidad

    • En realidad, todos conocen estos riesgos, pero la conveniencia es tan grande que aun así los aceptan
    • Information Flow Control sería lo ideal, pero es imposible de implementar a menos que cambien los protocolos a lo largo de todos los canales integrados
    • Me pregunto si alguien podría compartir investigaciones relacionadas

  • La marca de tienda Claw salió antes que GTA VI
    Lo hice yo mismo y bastaron 50 líneas de código
    Solo hacen falta unas líneas de una librería de Telegram y claude -p prooompt
    Se puede tomar como referencia el código de ejemplo de ULTRON
    Claro, el agente se delega hacia afuera, pero incluso con 50 líneas de Bash se puede lograr un resultado casi perfecto

    • Pero para usarlo como un Claw de verdad, hay que agregar cron