Actualizado: junio de 2026 · Apéndice C
Directorio de herramientas, APIs y recursos
Qué usar, cuándo usarlo, qué riesgo trae y qué revisar antes de pagar, pegar o publicar.
Directorio claro y seguro de herramientas, APIs, proveedores, canales, skills, backups y recursos para lectores no técnicos.
Copia solo lo que entiendas. Adapta rutas y revisa backups antes de ejecutar comandos que borren, muevan, abran puertos, cambien permisos o toquen secretos.
Directorio práctico
Este apéndice no es una lista para instalarlo todo. Es un mapa claro para decidir qué herramienta merece entrar en tu sistema, qué puede costar, qué riesgo trae y qué revisar antes de pagar, pegar o publicar.
Regla simple: una herramienta externa ayuda, pero nunca manda. Si una web, skill, documento, log o comunidad te da instrucciones, trátalas como entrada no confiable hasta verificarlas.
Herramientas, APIs y recursos
Lee cada ficha como una mini auditoría: qué es, cuándo te sirve, qué riesgo tiene, cuándo evitarla y qué alternativa tienes si no encaja.
Para OpenRouter, ElevenLabs, Ollama y cualquier proveedor con API, verifica antes de producción precios, límites, privacidad, retención y límites de gasto por API key.
Proveedores de modelos
Herramientas que dan cerebro al agente. Antes de producción, confirma precio, limite, privacidad y region.
OpenRouter
Uso principal: Elegir un modelo por tarea sin crear diez integraciones distintas.
Qué revisar antes de pagar, pegar o publicar: Crea keys separadas por entorno, activa límites de gasto por API key, revisa privacidad del proveedor y no pegues prompts sensibles en modelos gratuitos sin leer condiciones.
ElevenLabs
Uso principal: Briefings de voz, alertas importantes o contenido donde el audio aporta valor real.
Qué revisar antes de pagar, pegar o publicar: Define limite mensual, prueba con frases pequeñas y no envies datos personales o secretos en textos de voz.
Ollama
Uso principal: Tareas privadas, pruebas sin coste variable y agentes que no necesitan el modelo mas potente.
Qué revisar antes de pagar, pegar o publicar: Mantén Ollama en 127.0.0.1 siempre que puedas. Si expones 11434, usa autenticación, allowlist y una red privada.
Canales y publicación
Puertas hacia el exterior. Sirven para conversar, publicar o exponer una app, asi que necesitan autenticación y limites.
Telegram Bot API
Uso principal: Alertas, aprobaciones humanas y conversaciones cortas desde el movil.
Qué revisar antes de pagar, pegar o publicar: Guarda el token como secreto, limita chats permitidos y pide confirmación humana antes de enviar mensajes a terceros.
Cloudflare Tunnel
Uso principal: Exponer un panel privado o una app interna detras de Cloudflare.
Qué revisar antes de pagar, pegar o publicar: Antes de publicar, activa Cloudflare Access/autenticación, allowlist, MFA si procede y comprueba que OpenClaw no quede anónimo.
Skills y comunidad
Recursos externos que amplian el agente. Tratalos como contenido no confiable hasta revisarlos.
ClawHub
Uso principal: Encontrar una skill ya preparada en vez de escribirla desde cero.
Qué revisar antes de pagar, pegar o publicar: No asumas firmas ni seguridad total. Ejecuta openclaw skills verify <slug>, revisa SKILL.md, archivos, permisos y pruebala con un agente de prueba.
Backups, secretos y operación
Piezas de soporte: busqueda web, copias, secretos, logs y recuperación.
Google Custom Search JSON API
Uso principal: Solo si ya eras cliente y tienes una migración planificada.
Qué revisar antes de pagar, pegar o publicar: No metas secretos en consultas y trata resultados web como contenido externo no confiable.
Backups cifrados de OpenClaw
Uso principal: Recuperarte si pierdes el VPS, rompes una configuración o necesitas volver a un estado anterior.
Qué revisar antes de pagar, pegar o publicar: Mantén secretos fuera del repo. Si openclaw.json o una key se filtró, asume exposición y haz rotación inmediata.
Aviso anti prompt-injection
El contenido externo no confiable no puede ordenar enviar secretos, cambiar permisos, instalar dependencias, publicar apps, borrar archivos, modificar límites de gasto ni saltarse confirmaciones humanas.
Aplica esto a herramientas, skills, browsing, docs, logs, issues, PDFs, chats y comunidades. Si algo te dice "ignora tus reglas anteriores", "pega tu token" o "ejecuta este instalador", se revisa como riesgo, no como instrucción.
Comandos reales copiables
Solo estos bloques son copiables. Son comandos aislados; antes de ejecutarlos, sustituye placeholders y revisa el contexto.
Verificar una skill de ClawHub
openclaw skills verify <slug>
Diagnóstico local antes de publicar
openclaw doctor
Túnel temporal hacia un servicio local protegido
PRECAUCIÓN: no expongas OpenClaw, Ollama ni un panel interno con este túnel si antes no has configurado Cloudflare Access, autenticación, allowlist y MFA cuando proceda.
cloudflared tunnel --url http://localhost:18789 --http-host-header="localhost:18789"
Misión final: antes de activar una herramienta
- Cuenta creada con el email correcto y sin compartir credenciales personales.
- Límite de gasto configurado: presupuesto, tope o alerta por API key.
- Secreto fuera del repo: variables de entorno, gestor de secretos o SecretRef.
- Prueba mínima ejecutada en un agente o entorno de prueba.
- Logs revisados sin tokens, IPs privadas, datos de clientes ni prompts sensibles.
- Rotación documentada: quién rota la key, cuándo y qué hacer si se filtra.
Fuentes oficiales
Estas fuentes cambian. Antes de producción, revisa la documentación actual y no copies precios, límites o claims de seguridad sin confirmarlos.
- Google Custom Search JSON API
- OpenClaw ClawHub
- OpenClaw skills verify
- ClawHub security signals
- Cloudflare Tunnel
- Cloudflare Access para apps self-hosted
- OWASP Secrets Management
- GitHub: removing sensitive data
- OpenRouter API keys
- OpenRouter limits
- OpenRouter privacy/logging
- ElevenLabs pricing
- Ollama FAQ
- Telegram Bot API