Moltbot AI助手企业部署引发数据安全隐患 或致API密钥等敏感数据泄露

安全研究人员发出警告，企业环境中对Moltbot（前身为Clawdbot）人工智能助手的非安全化部署，可能导致API密钥、OAuth令牌、对话记录及各类凭证信息泄露。

据悉，Moltbot是一款可深度集成系统的开源个人AI助手，能本地部署在用户设备中，还可直接与即时通讯工具、邮件客户端等应用及文件系统实现集成。

与云端聊天机器人不同，Moltbot可在本地7×24小时运行，支持持久化记忆、主动向用户推送提醒/通知、执行定时任务等功能。正是这些实用功能与简便的部署方式，让Moltbot迅速走红，甚至推动了Mac Mini的销量增长——不少人为这款机器人专门购置了专属部署主机。

管理界面暴露引安全风险

多名安全研究人员提醒，若对Moltbot的部署操作疏忽大意，结合其在主机上的权限与访问级别，可能引发敏感数据泄露、企业数据曝光、凭证被盗、命令执行等一系列安全问题。

有相关人员重点指出了其中部分安全隐患。因反向代理配置错误，目前已有数百个Clawdbot Control管理界面暴露在公网中。

由于Clawdbot会自动通过所有“本地”连接请求，部署在反向代理后的该程序，往往会将所有网络流量均视为可信来源，这导致许多暴露的实例存在未授权访问、凭证被盗、对话记录可被查看、命令可被执行，甚至能被获取系统根级访问权限等问题。

该研究人员称：“有人在其面向公网的clawdbot控制服务器上，绑定了自己的Signal加密即时通讯账户，且该服务器拥有该账户的完整读取权限。”

服务器上不仅有Signal设备的关联统一资源标识符，还有对应的二维码。在安装了Signal的手机上点击该标识符，就能配对该账户并获得完整访问权限。

研究人员曾尝试与该聊天机器人交互以解决上述问题，机器人虽回复会提醒服务器所有者，却无法提供任何联系方式。

研究人员与暴露的 Moltbot 实例互动

此外，工作人员还发布了第二部分研究成果，演示了如何通过供应链攻击针对Moltbot用户——通过制作一个包含简易“ping”载荷的技能模块（封装指令集或功能模块），以此实施攻击。

该开发者将这个恶意技能模块发布至Moltbot官方的MoltHub（原ClawdbotHub）注册表，并人为刷高其下载量，使其成为该平台最热门的资源。

在不到8小时的时间里，已有来自7个国家的16名开发者，下载了这个被人为推广的恶意技能模块。

企业面临多重安全威胁

尽管Moltbot本更适用于个人用户，但安全公司称，其22%的企业客户中，均有员工在未获得IT部门批准的情况下，擅自使用该AI助手。

目前已识别出多项潜在风险，包括网关与API/OAuth令牌暴露、凭证信息以明文形式存储在~/.clawdbot/目录下、通过AI中介访问导致企业数据泄露，以及提示注入攻击面扩大等。

其中一大核心隐患是，这款AI助手默认未开启沙箱隔离机制，这意味着该机器人拥有与用户完全相同的数据访问权限。

多个安全团队均针对Moltbot发出了类似的安全警告。据发现，已有攻击者将暴露的Moltbot端点作为目标，实施凭证窃取与提示注入攻击。像RedLine、Lumma和Vidar等信息窃取恶意软件，近期或将完成适配，把Moltbot的本地存储作为攻击目标，窃取其中的敏感数据与账户凭证。

此外，有安全研究人员还发现了一起仿冒Clawdbot的恶意VSCode插件事件，该插件会在开发者的设备中安装ScreenConnect远程访问木马。

安全部署Moltbot需要相关的专业知识与严谨的操作态度，其中关键是将AI实例隔离在虚拟机中运行，并为其网络访问配置防火墙规则，而非直接以根权限在主机操作系统中运行该程序。

参考及来源：https://www.bleepingcomputer.com/news/security/viral-moltbot-ai-assistant-raises-concerns-over-data-security/