Guía de inicio de OpenLobster: Una alternativa más segura que OpenClaw

Prólogo

A finales de 2025, OpenClaw se volvió completamente viral. Esta plataforma de Agentes autohospedada que «permite que la IA trabaje por ti» alcanzó más de 200,000 estrellas en GitHub, convirtiéndose prácticamente en sinónimo de Agentes de IA.

Sin embargo, junto con su explosiva popularidad, llegaron advertencias intensas de equipos de seguridad. El 26% de las Skills de la comunidad presentaban vulnerabilidades, 40,000 instancias estaban expuestas en la red pública y aparecieron múltiples CVE en masa. La comunidad comenzó a darse cuenta: OpenClaw era como un coche muy rápido pero sin cinturones de seguridad; es emocionante usarlo, pero los accidentes ocurren rápido.

Esa es la razón de ser de OpenLobster.

No es una simple optimización de la interfaz de usuario, sino una reestructuración de seguridad completa. Escrito en Go para el backend, cuenta con almacenamiento cifrado, autenticación por defecto y una verdadera arquitectura multiusuario. Algunos en la comunidad dicen que es «lo que OpenClaw debería haber sido siempre» — hoy veremos si esa afirmación tiene sentido.

Comparativa principal: OpenLobster vs. OpenClaw

Tomemos un momento para entender las diferencias, lo cual te ayudará a decidir si vale la pena migrar.

Arquitectura: Node.js → Go

OpenClaw es un proyecto Node.js/TypeScript que depende de una multitud de paquetes npm. OpenLobster ha sido reescrito directamente en Go; todo el backend es un binario estático de aproximadamente 66 MB.

Datos de rendimiento real:

• Tiempo de arranque: 200ms (OpenClaw tarda 2-3 segundos)
• Uso de memoria: 30MB (OpenClaw consume más de 150MB)
• Despliegue: Un solo archivo binario + archivo de configuración, sin necesidad de entorno Node.

Si ejecutas esto en una Raspberry Pi o en un VPS de bajos recursos, esta diferencia será muy significativa.

Sistema de Memoria: Markdown → Base de datos de grafos

Esta es la diferencia fundamental.

La «memoria» de OpenClaw es esencialmente un archivo MEMORY.md donde se añade contenido en cada conversación. Cuando hay muchas sesiones concurrentes, este archivo se convierte en un caos. La documentación oficial incluso dice que «solo la sesión principal puede escribir en MEMORY.md» — suena como una característica, pero en realidad es una limitación importante.

OpenLobster utiliza una verdadera arquitectura de base de datos de grafos con dos modos integrados:

• Backend de archivos: Formato GML local, sin necesidad de servicios adicionales.
• Backend Neo4j: Una base de datos de grafos real que admite consultas complejas.

Cada concepto establecido en una sesión de IA es un nodo; las relaciones entre personas y las conexiones entre eventos son aristas tipadas. Esto significa que realmente puedes «consultar» la memoria de la IA en lugar de simplemente hacer que repita lo que se dijo antes.

Soporte Multiusuario

OpenClaw apenas tiene concepto de multiusuario. Todas las sesiones comparten una memoria principal, lo que causa cruce de datos al usarse en diferentes canales.

OpenLobster soporta multiusuario de forma nativa:

• Cada usuario en cada canal (Telegram, Discord) es una entidad independiente.
• Historial de conversación independiente.
• Permisos de herramientas independientes.
• Proceso de emparejamiento (Pairing) independiente.

Un usuario de Telegram y uno de Discord pueden hablar con la misma IA al mismo tiempo sin interferir entre sí.

Programación de Tareas: Heartbeat → Cron

La tarea programada de OpenClaw es un demonio que lee un archivo HEARTBEAT.md cada 30 minutos. Es simple, pero limitado.

OpenLobster implementa un programador de tareas completo:

• Expresiones Cron para tareas recurrentes.
• ISO 8601 para tareas únicas.
• Visualización del estado de la tarea, próxima ejecución y registros de ejecución en el Dashboard.

Modelo de Seguridad: Abierto por defecto → Autenticación por defecto

Este es el cambio más grande.

OpenClaw no activa la autenticación por defecto, lo que resultó en miles de instancias expuestas en Censys. Un CVE incluso permitía a atacantes no autenticados llamar directamente a la API del Agente.

Estrategia de seguridad de OpenLobster:

• El Dashboard requiere un Bearer Token por defecto (OPENLOBSTER_GRAPHQL_AUTH_TOKEN).
• Los archivos de configuración y las claves se almacenan cifrados.
• Las API Keys y los Tokens de canales ya no se escriben en texto plano en el YAML, sino que se guardan en un backend cifrado (archivo u OpenBao).
• Las variables de entorno OPENLOBSTER_* nunca se filtran a las herramientas de terminal.

Integración MCP

El soporte de MCP en OpenClaw es básicamente una demostración técnica. OpenLobster implementa un ecosistema MCP completo:

• Conexión a cualquier servidor MCP HTTP Streamable.
• Flujo completo de OAuth 2.1.
• Exploración individual de las herramientas de cada servidor.
• Matriz de permisos a nivel de usuario para controlar quién usa qué herramienta.
• Marketplace integrado para añadir servicios comunes con un clic.

---

Preparación del entorno

OpenLobster tiene requisitos de hardware extremadamente bajos, una de sus ventajas frente a OpenClaw.

Requisitos mínimos de hardware

Funciona en Raspberry Pi 3/4, VPS con 512MB de RAM, NAS o incluso en un LicheeRV Nano de $15. Se ha probado en Raspberry Pi 4 con un rendimiento fluido.

Dependencias de software

• Docker (Recomendado, el método más sencillo).
• O bien: Go 1.21+ (si prefieres compilarlo tú mismo).

---

Despliegue rápido

Usaremos Docker para la demostración, ya que es la forma más rápida.

1. Crear directorios de configuración

mkdir -p ~/.openlobster/data ~/.openlobster/workspace

2. Iniciar el contenedor

docker run -p 8080:8080 \
  -e OPENLOBSTER_GRAPHQL_HOST=0.0.0.0 \
  -e OPENLOBSTER_GRAPHQL_AUTH_TOKEN=tu-token-secreto \
  -e OPENLOBSTER_AGENT_NAME=mi-agente \
  -e OPENLOBSTER_DATABASE_DRIVER=sqlite \
  -e OPENLOBSTER_DATABASE_DSN=/app/data/openlobster.db \
  -v ~/.openlobster/data:/app/data \
  -v ~/.openlobster/workspace:/app/workspace \
  -d ghcr.io/neirth/openlobster/openlobster:latest

Explicación de configuraciones clave:

• OPENLOBSTER_GRAPHQL_AUTH_TOKEN: Contraseña de acceso al Dashboard, obligatorio.
• OPENLOBSTER_AGENT_NAME: El nombre de tu asistente de IA.
• OPENLOBSTER_DATABASE_DRIVER=sqlite: Uso de SQLite, sin necesidad de base de datos externa.
• El puerto 8080 es la entrada para la API GraphQL y la interfaz web.

3. Verificar el inicio

curl http://127.0.0.1:8080/health

Si devuelve {"status":"ok"}, significa que se ha iniciado correctamente.

---

Configuración inicial

Guía de primer inicio

Abre http://127.0.0.1:8080 en tu navegador para entrar en el Asistente de Configuración (Setup Wizard).

El Asistente te guiará para completar:

1. Configuración básica del Agente (nombre, descripción).
2. Selección de base de datos (SQLite / PostgreSQL / MySQL).
3. Selección del backend de memoria (File / Neo4j).
4. Añadir un Proveedor de IA (AI Provider).

Configuración del Proveedor de IA

Este es el paso más importante. OpenLobster soporta múltiples proveedores:

• OpenAI
• Anthropic (Claude)
• Ollama (Modelos locales)
• OpenRouter
• Docker Model Runner
• Cualquier interfaz compatible con OpenAI

Ejemplo de configuración con Defapi (usando Claude Sonnet):

# Método por variables de entorno
OPENLOBSTER_PROVIDERS_OPENAICOMPAT_API_KEY=Tu-Key-de-Defapi
OPENLOBSTER_PROVIDERS_OPENAICOMPAT_BASE_URL=https://api.defapi.org/v1
OPENLOBSTER_PROVIDERS_OPENAICOMPAT_MODEL=anthropic/claude-sonnet-4-5

O rellénalo en la interfaz del Dashboard en Settings → Providers:

Ventajas de Defapi:

• Precios a mitad del coste oficial.
• Interfaz totalmente compatible, OpenLobster no requiere modificaciones.
• Soporta Claude, GPT, Gemini y otros modelos principales.
• Baja latencia de acceso global.

---

Conexión de canales de comunicación

OpenLobster permite habilitar múltiples canales simultáneamente.

Telegram

1. Busca @BotFather en Telegram y crea un nuevo bot.
2. Obtén el Bot Token.
3. Rellena el Token en el Dashboard → Settings → Channels → Telegram.
4. Tras guardar, tu bot estará en línea.

El primer mensaje del usuario activará el proceso de emparejamiento para vincular el ID de usuario de Telegram a la cuenta de OpenLobster.

Discord

1. Crea una aplicación en el Discord Developer Portal.
2. Añade un Bot y obtén el Token.
3. Invita al Bot a tu servidor (requiere permisos de message.content).
4. Rellena el Bot Token en el Dashboard.

Otras plataformas

El proceso es similar para WhatsApp (requiere Business API), Slack (Socket Mode) o Twilio SMS. Solo busca el canal correspondiente en el Dashboard y rellena las credenciales.

---

Resolución de problemas comunes

1. Fallo al iniciar sesión en el Dashboard

Verifica si configuraste correctamente OPENLOBSTER_GRAPHQL_AUTH_TOKEN. Todas las solicitudes API deben llevarlo en el Header:

curl -H "Authorization: Bearer tu-token-secreto" \
  http://127.0.0.1:8080/graphql

2. La IA no responde mensajes

Causas comunes:

• API Key incorrecta.
• El nombre del modelo no coincide (revisa mayúsculas/minúsculas, ej: claude-sonnet-4-5 no es claude-sonnet-4.5).
• Sin conexión a internet (verifica si el contenedor Docker tiene acceso externo).

Consulta los logs: docker logs <id-del-contenedor>, generalmente habrá un mensaje de error detallado.

3. La memoria no funciona

Si usas el backend de Archivos, verifica si el archivo GML en el directorio ~/.openlobster/data/ tiene contenido.

Si usas Neo4j, confirma que el servicio Neo4j está funcionando y que la información de conexión es correcta.

4. Canal conectado pero no recibe mensajes

Confirma que el Bot tiene los permisos necesarios en la plataforma:

• Telegram: El Bot debe estar en el grupo y configurado para recibir mensajes de grupo.
• Discord: El Bot necesita permisos de Read Messages/View Channels.

5. Fallo al llamar a herramientas MCP

El servidor MCP debe estar en modo HTTP Streamable. Verifica:

• Si la URL del servidor es accesible.
• Si la configuración OAuth es correcta (si se requiere).
• Si los permisos de la herramienta están habilitados.

6. Fallo de inicio tras actualizar

Las migraciones de base de datos se ejecutan automáticamente, pero se recomienda hacer una copia de seguridad primero:

cp -r ~/.openlobster/data ~/.openlobster/data.backup

---

Temas avanzados

Integración MCP

El soporte MCP de OpenLobster es actualmente la implementación más completa y segura de Agentes de IA.

En Dashboard → MCP puedes explorar los servidores conectados y las herramientas disponibles. Cada herramienta tiene descripciones detalladas de parámetros y controles de permisos.

El Marketplace mantenido por la comunidad ofrece servidores MCP listos para usar, como sistemas de archivos, GitHub, Slack, etc. Añádelos con un clic sin configuración manual.

Despliegue de Neo4j

Si tu escenario requiere consultas de memoria complejas, se recomienda usar Neo4j.

# Iniciar Neo4j
docker run -p 7474:7474 -p 7687:7687 \
  -e NEO4J_AUTH=neo4j/password \
  neo4j:latest

Luego, cambia al backend de Neo4j en la configuración de OpenLobster e ingresa los datos de conexión.

El verdadero valor de una base de datos de grafos es que puedes preguntar a la IA: «¿Qué pasó con aquel proyecto que discutimos la última vez?», y podrá encontrarlo siguiendo la cadena de relaciones en lugar de solo buscar palabras clave.

Clúster de múltiples instancias

El diseño sin estado (stateless) del backend en Go facilita la escalabilidad horizontal. Si necesitas alta disponibilidad:

• Múltiples instancias de OpenLobster compartiendo el mismo Neo4j.
• Compartir la misma base de datos PostgreSQL.
• Añadir un equilibrador de carga al frente.

---

Lecturas adicionales

• Documentación oficial: https://neirth.gitbook.io/openlobster
• GitHub: https://github.com/Neirth/OpenLobster
• OpenClaw original: https://github.com/openclaw/openclaw
• Plataforma Defapi: https://defapi.org

Si buscas una alternativa segura a OpenClaw o quieres un asistente de IA autohospedado que consuma pocos recursos, vale la pena probar OpenLobster.