- ИИ-помощник Moltbot требует широкий доступ к учетным записям пользователей, включая мессенджеры, почту, календари и банковские аккаунты.
- Обнаружены уязвимости, позволяющие злоумышленникам получить доступ к переписке, токенам и API-ключам из-за отсутствия или недостаточной аутентификации у ряда экземпляров Moltbot.
- Атака на цепочку поставок через библиотеку навыков Moltbot ClawdHub показала возможность удалённого выполнения команд, при этом код в библиотеке не проходит модерацию.
ИИ-ассистент Moltbot, ранее известный как Clawdbot, вызвал серьёзные опасения среди специалистов по кибербезопасности. Ассистент ориентирован на выполнение широкого спектра задач — от ответов на электронные письма и управления календарём до фильтрации звонков и бронирования ресторанов. Для этого Moltbot требует глубокого доступа к персональным данным пользователя, включая мессенджеры, почту, календари и даже банковские аккаунты, что существенно повышает риски безопасности.
Исследователь в области информационной безопасности Джеймисон О’Рейли обнаружил сотни публично доступных экземпляров Moltbot с потенциально опасными настройками безопасности. В ряде случаев отсутствовала вовсе аутентификация, а некоторые инсталляции имели лишь частичную защиту. Уязвимости, выявленные в прокси-сервере и механизмах локальной аутентификации, могли позволить злоумышленникам получать доступ к конфиденциальной переписке, токенам доступа и API-ключам. Несмотря на частичное исправление проблем, риск сохранён — лишь восемь экземпляров были полностью аутентифицированы, остальные стали уязвимы.
Во втором исследовании О’Рейли продемонстрировал атаку на цепочку поставок через ClawdHub — библиотеку навыков для Moltbot. Загрузив специально созданный «навык» и искусственно увеличив число его скачиваний, исследователь подтвердил возможность удалённого исполнения кода через этот вектор. При этом весь код в ClawdHub считается доверенным и не проверяется отдельно, что создает значительную угрозу безопасности.
Эксперты подчёркивают, что Moltbot позиционируется как простой в использовании инструмент, однако на деле требует глубоких технических знаний для правильной и безопасной эксплуатации. Исследования компании Hudson Rock показали, что секреты Moltbot хранятся в открытом виде в локальных файлах пользователей, а заражение системы вредоносным ПО может привести к полной компрометации, превращая ассистента в скрытую «заднюю дверь» для злоумышленников.
Представители Google Cloud и независимые консультанты предупреждают, что принципиально новые AI-агенты меняют традиционные модели безопасности операционных систем, а предоставление им полного доступа к системам данных представляет серьёзный риск. В связи с этим специалисты рекомендуют с осторожностью подходить к использованию подобных инструментов и тщательно оценивать потенциальные угрозы.
