Он хочет ваши чаты, почту и деньги. Moltbot выглядит удобным, но звучит как мечта злоумышленника

Популярный AI-ассистент Moltbot (ранее Clawdbot, переименованный из-за претензий Anthropic по поводу торговой марки) вызвал серьезные опасения экспертов по кибербезопасности. Инструмент, который позиционируется как персональный помощник с агентными возможностями, требует доступа к мессенджерам, электронной почте, календарям и даже банковским счетам — и эксперты считают, что это создает огромные риски.

Moltbot можно управлять через WhatsApp или Telegram, и он способен самостоятельно отвечать на письма, вести календарь, фильтровать звонки и бронировать столики в ресторанах. Звучит удобно, но для всего этого ассистенту нужен полный доступ к учетным записям пользователя. Многие энтузиасты даже покупают Mac Mini специально для того, чтобы развернуть собственную копию Moltbot.

Джеймисон О'Рейли, основатель компании Dvuln, обнаружил сотни публично доступных экземпляров Clawdbot в интернете, которые из-за неправильной настройки могли утекать конфиденциальные данные. Уязвимость, связанная с неверной конфигурацией прокси и автоматической аутентификацией через localhost, уже исправлена разработчиками, но если бы её эксплуатировали злоумышленники, они получили бы доступ к месяцам переписки, учетным данным и API-ключам.

Согласно сканированию через Shodan, подтвержденному другими исследователями, О'Рейли нашел сотни открытых в сеть экземпляров. Восемь из них вообще не имели аутентификации и предоставляли полный доступ к выполнению команд и просмотру конфигурации. Ещё 47 имели рабочую защиту, остальные находились где-то посередине.

Во вторник О'Рейли опубликовал второе исследование, демонстрирующее эксплойт цепочки поставок для ClawdHub — библиотеки навыков ассистента. Он загрузил публичный навык, искусственно накрутил счетчик загрузок до 4000 и наблюдал, как разработчики из семи стран скачивали вредоносный пакет. Сам пакет был безвредным, но доказал возможность выполнения команд на экземплярах Moltbot.

В заметках для разработчиков ClawdHub указано, что весь код из библиотеки считается доверенным — модерации пока нет, так что разработчики должны сами проверять всё, что скачивают. В этом и заключается главная проблема: инструмент рекламируется как доступный для всех, но на деле требует специальных знаний для безопасного использования.

Эрик Швейк, директор по стратегии кибербезопасности в Salt Security, отмечает разрыв между восторгом пользователей от простоты установки и техническими знаниями, необходимыми для безопасной работы агентного шлюза. Многие создают огромную «слепую зону», не отслеживая, какие корпоративные и личные токены они передали системе.

Команда Hudson Rock обнаружила, что некоторые секреты, которыми пользователи делятся с Moltbot, хранятся в виде обычного текста в Markdown и JSON файлах на локальной файловой системе. Если машина, на которой работает Moltbot, заразится вредоносным ПО-похитителем данных вроде Redline, Lumma или Vidar, все эти секреты могут быть скомпрометированы. При получении доступа на запись злоумышленники могут превратить Moltbot в бэкдор.

О'Рейли отмечает более глубокую проблему: последние 20 лет индустрия выстраивала границы безопасности в операционных системах — изоляцию процессов, модели разрешений, файрволы. AI-агенты по своей природе ломают все эти барьеры, им нужен доступ к файлам, учетным данным и возможность выполнять команды. Вице-президент Google Cloud по инженерной безопасности Хизер Адкинс прямо призывает не устанавливать Clawdbot, а консультант по безопасности Ясин Абукир задается вопросом: «Как можно доверять этой штуке полный доступ к системе?»