- Moltbot по умолчанию уязвим к нескольким серьёзным атакам, включая обход аутентификации через localhost и получение удалённого выполнения кода.
- Серьёзная опасность связана с обработкой электронной почты Moltbot, что позволяет злоумышленникам через «инъекцию команды» украсть SSH-ключи жертвы.
- Для безопасного использования Moltbot необходимо применять сетевую изоляцию, запускать сервис в Docker-контейнере с ограниченными ресурсами и включить ручное подтверждение критических действий.
Эксперты по информационной безопасности провели детальный анализ Moltbot — инструмента, позиционируемого как «убийца Siri». Несмотря на впечатляющий функционал, данный AI-агент имеет ряд существенных уязвимостей, которые существенно повышают риски эксплуатации сервера злоумышленниками.
Одной из ключевых проблем является доверие Moltbot к запросам, поступающим с адреса 127.0.0.1 (localhost). Разработчики предполагают, что такой адрес гарантирует легитимный доступ администратора, и пароль не требуется. Однако этот допуск легко обходится через стандартные конфигурации nginx, который позволяет направлять трафик с внешних устройств, например iPhone, в локальную сеть сервера. В итоге злоумышленник, обнаружив сервис в сети (например, через Shodan), без труда получает права администратора без какой-либо аутентификации.
Вторая серьёзная уязвимость связана с возможностью «prompt injection» — внедрения вредоносных инструкций в электронную почту, которую Moltbot обрабатывает автоматически. В случае отправки специального письма с скрытым текстом бот может выполнить команду на утечку приватных SSH-ключей или другие опасные действия без ведома пользователя, что создаёт невидимую брешу в безопасности и может привести к массовым атакам.
Кроме того, Moltbot изначально обладает функцией доступа к терминалу и исполнению системных команд, что при уязвимом контексте позволяет злоумышленнику получить полный контроль над системой, загружать и запускать вредоносное ПО, включая майнеры криптовалют.
Специалисты рекомендуют ряд мер для минимизации угроз при использовании Moltbot. В первую очередь — жёсткая сетевая изоляция через VPN-сервисы (например, Tailscale или WireGuard), чтобы исключить доступ извне и разрешить подключение только по внутренним сетевым интерфейсам. Запуск Moltbot в Docker-контейнере с ограничением ресурсов и монтированием только специализированной песочницы поможет предотвратить утечки и влияние на основную систему. Обязателен режим подтверждения критических операций, когда любые потенциально опасные команды требуют явного одобрения пользователя.
Наконец, стоит установить лимиты потребления API-ключей OpenAI, чтобы минимизировать финансовые риски в случае компрометации ключей, задав жесткий бюджет на расходы. В совокупности эти меры позволяют значительно повысить безопасность работы с Moltbot.
Разработчики и инженеры безопасности подчёркивают, что Moltbot — это не готовое решение, а скорее мощный конструктор с большими возможностями и серьёзными рисками. Пользователям необходимо осознавать потенциал угроз и тщательно настраивать окружение, чтобы использовать преимущества технологии без риска для своих данных и систем.
В дальнейшем планируется продолжить разбор исходного кода Moltbot и разработать патчи, закрывающие выявленные дыры.
