ИБ-эксперты предупреждают: ИИ-помощник Moltbot может быть небезопасен при использовании в корпоративных сетях

Исследователи безопасности предупреждают, что популярный ИИ-помощник Moltbot (ранее Clawdbot) может быть небезопасен для внедрения в корпоративные сети. Неправильная настройка открывает злоумышленникам доступ к ключам API, токенам OAuth, истории чатов и учётных записей, сообщает ^[1]Bleeping Computer. 

Moltbot — ИИ-ассистент с открытым исходным кодом, созданный инженером Петером Штайнбергером. Он глубоко интегрируется с системой пользователя и получает доступ к файлам, мессенджерам и почтовым клиентам. Главные преимущества Moltbot — работа в фоновом режиме и простота настройки, благодаря чему проект стал популярен среди технических энтузиастов.

Однако специалисты по безопасности предупреждают, что неосторожная установка Moltbot может привести к неприятностям. Как рассказал пентестер Джеймисон О’Рейли, из‑за ошибок при настройке обратного прокси сотни серверов управления Moltbot оказались в открытом доступе. Злоумышленники могут читать переписку, извлекать ключи и даже выполнять команды от имени администратора системы.

Эксперты отмечают, что корень проблемы — отсутствие механизма изоляции: Moltbot запускается с теми же правами, что и пользователь, получая доступ ко всем его данным.

Компания Hudson Rock предупредила, что вредоносные программы RedLine, Lumma и Vidar уже адаптируются к краже данных из локального хранилища Moltbot. Отдельный случай зафиксировали эксперты Aikido: в хранилище Visual Studio Code появилось расширение‑подделка, которое выдавало себя за Moltbot и устанавливало вредоносный модуль ScreenConnect RAT на устройства разработчиков.

Специалисты советуют разворачивать Moltbot только в изолированной среде — например, внутри виртуальной машины с ограниченным доступом к интернету и правильно настроенным брандмауэром, избегая запуска ИИ‑агента с правами root на основной системе.