Moltbot AI助手企業部署引發數據安全隱患 或致API密鑰等敏感數據泄露

安全研究人員發出警告，企業環境中對Moltbot（前身為Clawdbot）人工智能助手的非安全化部署，可能導致API密鑰、OAuth令牌、對話記錄及各類憑證信息泄露。

據悉，Moltbot是一款可深度集成系統的開源個人AI助手，能本地部署在用戶設備中，還可直接與即時通訊工具、郵件客戶端等應用及文件系統實現集成。

與云端聊天機器人不同，Moltbot可在本地7×24小時運行，支持持久化記憶、主動向用戶推送提醒/通知、執行定時任務等功能。正是這些實用功能與簡便的部署方式，讓Moltbot迅速走紅，甚至推動了Mac Mini的銷量增長——不少人為這款機器人專門購置了專屬部署主機。

管理界面暴露引安全風險

多名安全研究人員提醒，若對Moltbot的部署操作疏忽大意，結合其在主機上的權限與訪問級別，可能引發敏感數據泄露、企業數據曝光、憑證被盜、命令執行等一系列安全問題。

有相關人員重點指出了其中部分安全隱患。因反向代理配置錯誤，目前已有數百個Clawdbot Control管理界面暴露在公網中。

由于Clawdbot會自動通過所有“本地”連接請求，部署在反向代理后的該程序，往往會將所有網絡流量均視為可信來源，這導致許多暴露的實例存在未授權訪問、憑證被盜、對話記錄可被查看、命令可被執行，甚至能被獲取系統根級訪問權限等問題。

該研究人員稱：“有人在其面向公網的clawdbot控制服務器上，綁定了自己的Signal加密即時通訊賬戶，且該服務器擁有該賬戶的完整讀取權限。”

服務器上不僅有Signal設備的關聯統一資源標識符，還有對應的二維碼。在安裝了Signal的手機上點擊該標識符，就能配對該賬戶并獲得完整訪問權限。

研究人員曾嘗試與該聊天機器人交互以解決上述問題，機器人雖回復會提醒服務器所有者，卻無法提供任何聯系方式。

研究人員與暴露的 Moltbot 實例互動

此外，工作人員還發布了第二部分研究成果，演示了如何通過供應鏈攻擊針對Moltbot用戶——通過制作一個包含簡易“ping”載荷的技能模塊（封裝指令集或功能模塊），以此實施攻擊。

該開發者將這個惡意技能模塊發布至Moltbot官方的MoltHub（原ClawdbotHub）注冊表，并人為刷高其下載量，使其成為該平臺最熱門的資源。

在不到8小時的時間里，已有來自7個國家的16名開發者，下載了這個被人為推廣的惡意技能模塊。

企業面臨多重安全威脅

盡管Moltbot本更適用于個人用戶，但安全公司稱，其22%的企業客戶中，均有員工在未獲得IT部門批準的情況下，擅自使用該AI助手。

目前已識別出多項潛在風險，包括網關與API/OAuth令牌暴露、憑證信息以明文形式存儲在~/.clawdbot/目錄下、通過AI中介訪問導致企業數據泄露，以及提示注入攻擊面擴大等。

其中一大核心隱患是，這款AI助手默認未開啟沙箱隔離機制，這意味著該機器人擁有與用戶完全相同的數據訪問權限。

多個安全團隊均針對Moltbot發出了類似的安全警告。據發現，已有攻擊者將暴露的Moltbot端點作為目標，實施憑證竊取與提示注入攻擊。像RedLine、Lumma和Vidar等信息竊取惡意軟件，近期或將完成適配，把Moltbot的本地存儲作為攻擊目標，竊取其中的敏感數據與賬戶憑證。

此外，有安全研究人員還發現了一起仿冒Clawdbot的惡意VSCode插件事件，該插件會在開發者的設備中安裝ScreenConnect遠程訪問木馬。

安全部署Moltbot需要相關的專業知識與嚴謹的操作態度，其中關鍵是將AI實例隔離在虛擬機中運行，并為其網絡訪問配置防火墻規則，而非直接以根權限在主機操作系統中運行該程序。

參考及來源：https://www.bleepingcomputer.com/news/security/viral-moltbot-ai-assistant-raises-concerns-over-data-security/