爆紅即“暴雷”？Moltbot（Clawdbot）熱捧背后，無數(shù)賬號正在裸奔

2026年1月AI圈最火的名字，非Clawdbot莫屬（后由于Anthropic商標侵權，更名為Moltbot）。在GitHub上，它幾天內狂攬了94.8K星標，被網(wǎng)友稱為“現(xiàn)實版賈維斯”——不用打開復雜軟件，只需在Telegram、WhatsApp等聊天工具里發(fā)一條指令，它就能幫你訂機票、寫代碼、整理郵件，甚至接管電腦系統(tǒng)，自動完成一系列繁瑣任務。有人靠它搞定復雜的工作流程，有人用它實現(xiàn)了“動動嘴就操控電腦”的夢想，一時間，Moltbot成為無數(shù)人追捧的“效率神器”。

目前阿里云、騰訊云都已跟進Moltbot部署，并全面適配企業(yè)微信、QQ、釘釘、飛書等國內主流 IM App。用戶通過阿里云、騰訊云的輕量應用服務器或阿里的無影云電腦就可快速啟用Moltbot。

但就在大家爭相跟風部署、沉迷于它的便捷時，一場悄無聲息的“安全災難”正在蔓延。安全研究員通過Shodan（互聯(lián)網(wǎng)設備搜索引擎）掃描發(fā)現(xiàn)，公網(wǎng)上有近千個Clawdbot/Moltbot控制臺暴露在外，無需任何認證就能隨意訪問，用戶的聊天記錄、API密鑰、甚至Signal加密通訊賬號，都在赤裸裸地暴露在黑客面前。

爆紅與暴雷僅一步之遙，今天安全牛就好好聊一聊：這個被吹上天的AI助手，到底藏著多少致命隱患？普通用戶又該如何避坑？

先搞懂：Clawdbot到底是什么？

不同于ChatGPT這類“只給建議不行動”的AI聊天工具，Moltbot是一款本地部署的開源AI執(zhí)行助手，核心優(yōu)勢就是“能聽指令、會做實事”，相當于一個住在你電腦里的“私人管家”。

它的核心特點的可以總結為3點，也是它能快速爆紅的關鍵：

• 入口極便捷：無需打開專門APP，通過日常使用的聊天軟件就能發(fā)送指令，比如在Telegram里發(fā)一句“整理最近一周的郵件”，它就能自動執(zhí)行，門檻極低；

• 權限極高：為了完成各類復雜任務，它需要獲取電腦的系統(tǒng)級權限——能讀寫本地文件、執(zhí)行Shell命令、調度系統(tǒng)任務，甚至訪問你保存的各類賬號信息；

• 私有化存儲：所有對話記錄、操作日志、用戶偏好都存在本地硬盤，不用上傳到云端，這也讓很多注重隱私的用戶誤以為它“很安全”；

簡單來說，Moltbot的突破，就是把大模型的“思考能力”和電腦的“執(zhí)行能力”結合起來，讓AI從“聊天器”變成了“執(zhí)行者”。但恰恰是這種“高權限+便捷性”的組合，埋下了致命的安全隱患。

警惕！Moltbot引發(fā)的4大實際安全風險，已有多人中招

目前，Moltbot的安全風險已經(jīng)不是“理論隱患”，而是實實在在發(fā)生的攻擊案例。安全研究員發(fā)現(xiàn)，僅通過Shodan搜索關鍵詞“clawdbot control”或端口18789，就能找到上千個暴露在公網(wǎng)的端點，黑客只需點幾下鼠標，就能輕松竊取信息、操控設備。

這些風險主要集中在4個方面，每一個都足以讓你“丟家底”：

風險1：隱私全盤泄露，無任何遮擋

一旦Moltbot控制臺暴露在公網(wǎng)，黑客進入后就能直接查看你所有的聊天記錄、聯(lián)系人列表、文件傳輸記錄——如果你的對話里有密碼、銀行卡信息、內部工作資料，都會被一覽無余。

更可怕的是，它集成Signal等加密通訊軟件時，會在本地存儲賬號私鑰和Session數(shù)據(jù)，黑客下載這些文件后，就能直接“克隆”你的Signal賬號，接收所有加密消息，相當于Signal辛苦搭建的端到端加密，瞬間變成擺設。

風險2：API密鑰被竊取，錢包、賬號雙受損

使用Moltbot時，很多人會綁定Claude、OpenAI、Telegram等平臺的API密鑰，而這些密鑰會以明文形式顯示在控制臺的配置頁面里。

黑客拿到這些密鑰后，一方面可以隨意調用你的API配額——瘋狂消耗你的費用，有人一夜之間就被耗光了上千美元的額度；另一方面，還能冒充你的Bot發(fā)送釣魚消息，甚至操作關聯(lián)服務，比如用你的GitHub密鑰篡改代碼、刪除項目。

風險3：遠程操控設備，淪為黑客“肉雞”

Moltbot的“bash工具”允許執(zhí)行Shell命令，黑客進入控制臺后，只需發(fā)送一條指令，就能遠程操控你的電腦：比如注入惡意代碼、設置反向Shell，讓你的電腦變成“肉雞”，隨時被黑客調用；甚至可以執(zhí)行“rm -rf”這類高危命令，刪除你電腦里的所有文件、格式化磁盤，造成不可逆的損失。

有用戶反饋，自己部署Moltbot后沒做好防護，第二天醒來發(fā)現(xiàn)電腦里的工作文件全部消失，API賬號被惡意調用，損失慘重。

風險4：插件惡意攻擊，雪上加霜

Moltbot的開源插件生態(tài)很豐富，但缺乏嚴格的審核機制。很多用戶為了增加功能，隨意從論壇、社群下載小眾插件，而這些插件可能隱藏惡意代碼，過度申請權限。

比如有些插件看似是“郵件整理工具”，實則會偷偷讀取你的本地文件，向第三方服務器發(fā)送敏感信息；還有的插件會突破權限限制，操控你的聊天軟件，向你的聯(lián)系人發(fā)送釣魚鏈接。

深挖根源：為什么Moltbot會淪為“安全陷阱”？

Moltbot的安全災難，不是單一原因造成的，而是“產(chǎn)品設計+用戶操作+文檔誤導”三方疊加的結果。總結下來，核心根源有4點：

根源1：配置設計不合理，默認安全但易被誤改

Moltbot的控制臺默認監(jiān)聽“l(fā)ocalhost:18789”，也就是僅限本地訪問，本身是安全的。但很多用戶想通過手機、筆記本遠程控制，就需要修改配置，將“bind”參數(shù)改為“0.0.0.0”。

很多人不知道，這個參數(shù)的差異意味著什么：在局域網(wǎng)（比如家里的電腦），它只監(jiān)聽內網(wǎng)IP；但在云服務器上，它會直接監(jiān)聽公網(wǎng)IP——相當于把你的控制臺直接暴露給全世界，而用戶往往誤以為“云服務器有自帶防火墻，很安全”，殊不知默認情況下防火墻是全開的。

根源2：文檔誤導，新手易踩坑

Moltbot的官方README文檔里，“快速開始”部分直接給出了“clawdbot gateway --port 18789”的示例代碼，新手往往會直接復制使用，卻忽略了文檔中隱藏的警告：“生產(chǎn)環(huán)境必須啟用認證”。

更關鍵的是，即使不啟用認證，啟動時也不會報錯，用戶根本不知道自己的配置已經(jīng)存在致命漏洞，相當于“官方手把手教你開漏洞”。

根源3：高權限設計，缺乏默認防護

Moltbot的核心功能依賴高權限，但官方只提供了基礎安全框架，沒有任何主動攔截機制。比如它默認允許執(zhí)行高危命令、默認開放全量文件訪問權限，所有防護措施都需要用戶手動配置——這對普通用戶來說門檻極高，大多數(shù)人根本不知道該如何修改配置、關閉冗余權限。

就像給一個剛入職的實習生，直接開放了公司的最高權限，風險可想而知。

根源4：用戶安全意識薄弱，盲目跟風

這是最關鍵的一點。很多用戶看到Moltbot爆紅，就盲目跟風部署，根本不了解它的權限特性和安全隱患。包括：為了圖方便，直接復制文檔里的危險配置，把控制臺暴露在公網(wǎng)；隨意下載來源不明的插件，不審核代碼、不限制權限；用管理員賬戶運行Moltbot，一旦被攻擊，黑客就能獲取電腦的最高控制權；

很多用戶甚至覺得“我就是普通用戶，沒人會攻擊我”，但在黑客眼里，這些暴露的控制臺就是“無主的寶藏”，無論你是誰，只要有漏洞，就會被攻擊。

實用指南：如果一定要用Moltbot，這5條“保命規(guī)則”必須焊死

必須明確一點：我們不是否定Moltbot的價值，它的便捷性確實無可替代，但安全永遠是前提。如果你已經(jīng)部署了Moltbot，或者打算嘗試，建議嚴格遵守以下5條建議（網(wǎng)絡暴露面、身份驗證、權限控制、供應鏈風險、環(huán)境隔離），守住安全底線；如果只是普通用戶，暫時不建議盲目跟風。

規(guī)則1：嚴禁綁定0.0.0.0，鎖死本地訪問

這是最核心、最關鍵的一條！無論你多需要遠程控制，都不要直接將“bind”參數(shù)改為0.0.0.0。

正確做法：默認綁定127.0.0.1（僅限本地訪問）；如果確實需要遠程訪問，用SSH隧道或Tailscale等安全隧道，比如執(zhí)行“ssh -L 18789:localhost:18789 user@server”，絕對不要直接開放端口到公網(wǎng)。

規(guī)則2：啟用強認證，給控制臺加“密碼鎖”

如果實在需要綁定到0.0.0.0（允許遠程訪問），必須同時啟用認證機制，并配合加密傳輸與訪問控制形成雙重防護。

• 基礎防護：在配置文件中啟用密碼保護，設置復雜密碼（字母+數(shù)字+特殊符號），避免簡單密碼被破解；

• 進階防護：使用官方支持的JWT Token認證（如有），配置合理的Token有效期（例如 24小時），并定期輪換憑證，降低泄露后的長期風險。

規(guī)則3：實施“最小權限原則”，不給多余權限（非常關鍵）

采用allowlist（白名單）模式：默認全部拒絕，僅按需開放能力，避免Moltbot獲得不必要的系統(tǒng)權限與執(zhí)行范圍。

• 禁用高危命令：在配置文件中設置禁用或不啟用任何具備 Shell 執(zhí)行能力的技能/插件，在宿主機側使用AppArmor/SELinux、rbash、容器權限收斂等方式限制高危命令執(zhí)行，僅允許明確批準的命令集合（命令 allowlist），而不是依賴黑名單封禁。

• 限制文件訪問：僅開放指定目錄的讀寫權限，禁止Moltbot訪問系統(tǒng)根目錄、用戶主目錄等敏感路徑；

• 限制指令來源：如在官方支持的訪問控制機制中配置允許的來源賬號/會話范圍，僅允許已認證的用戶或指定渠道觸發(fā)指令執(zhí)行，拒絕未知來源的消息或未授權賬號訪問控制接口。

規(guī)則4：謹慎使用插件，拒絕“來路不明”的功能

插件是安全重災區(qū)，一定要做好“篩選-審核-監(jiān)控”三步：

• 篩選：只下載官方推薦插件，或GitHub上高下載量、高評分（4.5分以上）的開源插件，拒絕論壇、社群分享的“破解插件”“小眾插件”；

• 審核：下載插件后，手動查看代碼，排查是否有惡意數(shù)據(jù)傳輸、高危命令執(zhí)行的邏輯，若插件功能簡單卻申請高權限，直接棄用；

• 監(jiān)控：啟用插件后，定期查看Moltbot運行日志，發(fā)現(xiàn)異常訪問、數(shù)據(jù)傳輸行為，立即禁用并刪除插件。

規(guī)則5：隔離部署，避免連累主力機（非常重要）

不要在存放重要文件、綁定核心賬號的主力機上部署Moltbot，建議：

• 用舊電腦、虛擬機或Docker容器部署，實現(xiàn)權限隔離，即使被攻擊，也不會影響主力機的數(shù)據(jù)安全；

• 部署時使用普通用戶賬戶，不要用管理員賬戶，進一步降低權限泄露的風險；

• 定期運行官方安全檢測命令“Moltbot doctor”，檢查綁定地址、認證狀態(tài)，及時修復高危提示。

寫在最后：AI再便捷，也別忘記“鎖門”

Moltbot的爆紅與暴雷，其實是當前AI代理工具的一個縮影——當技術在追求“更便捷、更強大”時，安全往往會被忽視。我們追捧Moltbot，本質上是追求效率、向往更便捷的生活，但這絕不意味著要以犧牲隱私和安全為代價。就像安全專家說的：“裸跑Moltbot，就像是給第一天入職的實習生，直接開了公司的最高Root權限。”對于普通用戶來說，與其盲目跟風部署一款自己不懂的高風險工具，不如先做好安全防護；對于已經(jīng)部署的用戶，一定要對照上面的建議，立即檢查自己的配置，堵住漏洞。AI的未來，必然是“便捷與安全并存”。在擁抱新技術的同時，守住安全底線，才是最理性的選擇。

最后，建議大家把這篇文章轉發(fā)給身邊正在使用Moltbot的朋友，提醒他們做好防護，避免踩坑～

（參考來源：https://docs.molt.bot/）

合作電話：18610811242

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com