ИИ-помощник Moltbot вызвал опасения у специалистов по кибербезопасности

ИИ-ассистент Moltbot (ранее Clawdbot, переименован после претензий Anthropic) вызвал тревогу у специалистов по кибербезопасности, пишет ^[1] SecurityLab. Он позиционируется как персональный агент и требует широкого доступа — к мессенджерам, почте, календарям и даже банковским аккаунтам, что создаёт серьёзные риски.

Moltbot можно управлять через WhatsApp* или Telegram, он умеет самостоятельно отвечать на письма, вести календарь, фильтровать звонки и делать бронь в ресторанах. Для всего этого ассистенту нужен полный доступ к учётным записям пользователя.

Основатель Dvuln Джеймисон О’Рейли обнаружил ^[2] сотни публично доступных экземпляров Clawdbot с опасными настройками. Из-за уязвимостей в прокси и локальной аутентификации злоумышленники могли бы получить доступ к переписке, токенам и API-ключам. Хотя баг уже исправили, восемь найденных экземпляров вообще не имели аутентификации, ещё 47 — частичную защиту.

Во втором исследовании О’Рейли показал ^[3] атаку на цепочку поставок через ClawdHub — библиотеку навыков Moltbot. Он загрузил «навык», накрутил число загрузок и доказал возможность удалённого выполнения команд. При этом весь код в ClawdHub считается доверенным и не проходит модерацию.

Эксперты подчёркивают ключевую проблему: инструмент рекламируется как простой, но требует глубоких знаний для безопасного использования. По данным Hudson Rock, секреты Moltbot хранятся в открытом виде в локальных файлах, а заражение системы инфостилерами может привести к полной компрометации и превращению ассистента в бэкдор.

Специалисты отмечают, что AI-агенты по своей природе разрушают традиционные модели безопасности ОС. Представители Google Cloud и независимые консультанты предупреждают: доверять такому инструменту полный доступ к системе крайне опасно.