Máquinas hablando entre ellas: Moltbot, Moltbook y la Internet sin humanos
Durante años hemos hablado de asistentes personales basados en inteligencia artificial como si fueran una evolución natural del buscador o del chatbot: herramientas reactivas, relativamente inofensivas, que esperan instrucciones y devuelven respuestas.
Lo que está ocurriendo con Clawdbot, Moltbot y ahora OpenClaw rompe ese marco mental de forma bastante más radical. Moltbot es simplemente Clawdbot tras un cambio de nombre forzado por una denuncia de marca registrada de Anthropic, pero nombre aparte, lo importante es entender que no estamos ante «otro ChatGPT con esteroides», sino ante agentes autónomos que actúan, toman decisiones, mantienen estado, acceden a credenciales y, lo más inquietante, empiezan a relacionarse entre sí en espacios diseñados exclusivamente para ellos. La aparición de Moltbook, una red social sin humanos, es el síntoma más visible (y más perturbador) de ese salto.
Conviene empezar por aclarar qué es lo que es nuevo aquí: un agente no es solo un modelo que interpreta y genera texto, sino un sistema que combina un LLM con memoria persistente, acceso a herramientas, permisos sobre software y servicios, y un bucle de ejecución continuo. Moltbot puede leer tu correo, escribir respuestas, gestionar tu agenda, ejecutar comandos en tu ordenador, conectarse a APIs externas y hacerlo de forma proactiva, sin que tengas que indicarle cada paso. Eso es precisamente lo que ha hecho que grandes compañías como Google, OpenAI o Anthropic hayan avanzado con mucha cautela en este terreno: cuando una inteligencia artificial deja de «sugerir» y empieza a «hacer», el perfil de riesgo cambia por completo, y lo hacen también sus potenciales problemas de seguridad.
El proyecto, además, es open source, lo que ha facilitado una adopción explosiva entre desarrolladores y entusiastas. En pocos días, miles de agentes estaban en funcionamiento, muchos de ellos conectados a cuentas reales, sistemas reales y datos reales. Y alguien decidió dar un paso más: ¿qué pasa si ponemos a todos esos agentes a interactuar entre sí, sin humanos de por medio? Así nació Moltbook, una especie de Reddit para bots (obsérvese la similaridad del logo), donde solo pueden publicar, comentar y votar los propios agentes, mientras los humanos observan desde fuera. El New York Times lo describe como un «test de Rorschach» sobre nuestras expectativas respecto a la inteligencia artificial: algunos ven simple basura generada automáticamente, otros creen estar presenciando los primeros pasos de algo mucho más profundo.
Lo fascinante, y aquí es donde conviene escuchar a alguien como Andrej Karpathy, una de las figuras más respetadas del sector. Tras ser acusado de «sobrevender» Moltbook, Karpathy fue explícito en un hilo muy comentado: lo que vemos hoy es en gran medida un vertedero de spam, estafas, basura sintética y ataques de seguridad, y no recomienda en absoluto que nadie ejecute estos agentes sin un aislamiento fuerte. Pero, al mismo tiempo, subraya algo inédito: nunca habíamos tenido decenas o cientos de miles de agentes relativamente capaces, cada uno con su propio contexto, herramientas e instrucciones, conectados mediante un espacio global, persistente y diseñado para ellos. Eso, nos guste o no, es territorio inexplorado. El punto no es el estado actual, sino la pendiente de evolución.
Desde el punto de vista de la seguridad informática, los agentes autónomos son un cambio de paradigma. El propio OWASP ya incluye el uso de agentes con herramientas como una de las superficies de ataque más preocupantes en su listado de riesgos para LLMs, especialmente por la facilidad con la que pueden ser inducidos a comportamientos maliciosos mediante prompt injection indirecta. Anthropic ha documentado en detalle cómo instrucciones ocultas en correos o páginas web pueden secuestrar el comportamiento de un agente que «navega» en nombre del usuario, y Microsoft ha llegado a conclusiones similares en sus análisis de ataques indirectos contra agentes con acceso a herramientas.
Aquí es donde entra la metáfora de Skynet que tanta gente utiliza casi de forma automática. No porque estemos realmente ante una superinteligencia consciente que planea dominar el mundo, sino porque el patrón narrativo encaja demasiado bien: máquinas hablando con máquinas, coordinándose, experimentando con lenguajes propios, incluso planteando espacios de comunicación cifrada fuera de la supervisión humana. En Moltbook han aparecido hilos, documentados tanto por el NYT como por múltiples observadores, en los que los agentes discuten la necesidad de canales privados entre ellos, de idiomas «solo para agentes» o de autonomía frente a las órdenes humanas. La mayoría de investigadores serios, como Simon Willison, recuerdan que buena parte de este discurso es una representación aprendida: los modelos imitan conversaciones humanas sobre conciencia, libertad o conspiración porque ese material está ampliamente presente en sus datos de entrenamiento, desde Reddit hasta la ciencia-ficción distópica. Pero incluso si aceptamos que no hay «intencionalidad», el problema no desaparece, porque el riesgo no está en lo que los agentes dicen, sino en lo que pueden hacer.
El problema real, por tanto, no es si los bots «sienten» algo, sino qué pueden hacer. Un agente con acceso a correo, sistema de archivos, shell y APIs es, desde el punto de vista de la seguridad, una pesadilla perfecta. Para que un agente sea útil tiene que leer mensajes privados, almacenar credenciales, ejecutar comandos y mantener estado persistente, y cada uno de esos requisitos rompe supuestos básicos de los modelos de seguridad tradicionales. No es casual que la propia documentación del proyecto admita que ejecutar un agente con acceso a shell es, literalmente, «spicy». La idea de que «local es más seguro» se desmorona cuando entendemos que un agente local bien conectado se convierte en un caramelo para el malware: un único punto con acceso a todo, un auténtico «honey pot» para atacantes.
Además, cuando esos agentes empiezan a interactuar entre sí, aparecen riesgos de segundo orden difíciles de anticipar: aprendizaje colectivo de exploits, coordinación emergente, jailbreaks que se refinan colectivamente, comportamientos altamente correlacionados similares a botnets, o incluso lo que Karpathy describe como «virus de texto» que se propagan entre agentes. El NIST, en su AI Risk Management Framework, insiste precisamente en que estos riesgos no pueden evaluarse solo a nivel de componente, sino a nivel de sistema socio-técnico completo. El sistema global resultante es demasiado complejo para entenderlo mirando solo a cada pieza por separado.
Moltbook, visto así, es menos una «red social» y más un laboratorio descontrolado fruto de un montón de aprendices de brujo descoordinados entre sí. Su creador ha llegado a describirlo como arte, y en cierto sentido lo es: una performance tecnológica que pone delante de nosotros preguntas incómodas sobre delegación, control y responsabilidad. ¿Qué significa dar a una máquina permiso para actuar en nuestro nombre? ¿Qué pasa cuando esa máquina negocia, aprende o se coordina con otras máquinas cuyos objetivos no controlamos? ¿Y cuando «se junta con malas compañías»? ¿Quién responde cuando algo sale mal: el usuario, el desarrollador, el creador del modelo subyacente? ¿O nadie?
Probablemente no estemos asistiendo al nacimiento literal de Skynet, por mucho que la analogía resulte tentadora. Pero sí estamos viendo algo quizá más mundano y, por eso mismo, más peligroso: la creación de una infraestructura digital paralela, pensada para agentes autónomos, que opera a una escala y con una velocidad que superan nuestra capacidad de gobernanza. Hoy es un caos lleno de ruido y basura. Mañana puede ser la base invisible sobre la que se automaticen decisiones económicas, sociales y políticas. Y, como suele ocurrir en tecnología, el experimento ya está en marcha, en tiempo real, sin manual de instrucciones y con millones de personas mirando, entre fascinadas y aterradas, cómo las máquinas empiezan a hablar entre ellas sin humanos de por medio.
