- Автор темы
- #1
Опенсорсный ИИ-помощник Moltbot (ранее Clawdbot) набрал больше 93 000 звезд на GitHub меньше чем за месяц, став одним из самых быстрорастущих ИИ-проектов в 2026 году. Инструмент создал австрийский разработчик Петер Штайнбергер (Peter Steinberger). Персональный ИИ-ассистент работает через WhatsApp, Telegram, Slack, Discord и другие мессенджеры. Но за резким взлетом популярности последовали серьезные проблемы: мошенники активно используют популярность Moltbot, а ИБ-специалисты предупреждают о его небезопасности.
Moltbot привлек внимание своим проактивным подходом — в отличие от обычных чат-ботов, он сам может напоминать о делах, составлять расписание на основе календаря и выполнять задачи в фоновом режиме. Ассистент работает 24/7, хранит долгосрочную память в Markdown-файлах и SQLite-базе, и способен управлять браузером, почтой и файлами на локальной машине. Фактически это попытка создать мощного ИИ-помощника, запускаемого на собственном железе пользователя.
Вся эта функциональность требует доступа практически ко всей цифровой жизни пользователя. Так, понадобятся API-ключи к Claude Opus 4.5 или другим коммерческим LLM, доступ к мессенджерам и почте, учетным данным различных сервисов, а в некоторых конфигурациях — возможность выполнения шелл-команд.
Как несложно догадаться, это чревато большими проблемами с безопасностью. В последние дни множество исследователей и компаний предупреждают о потенциальной опасности Moltbot, и на нашумевший ИИ-проект уже обратили внимание злоумышленники.
Исследователи пишут, что вредонос запускался автоматически при каждом открытии IDE, загружал файл config.json с внешнего сервера и выполнял бинарник Code.exe, который устанавливал ScreenConnect — легитимную программу для удаленного доступа. После этого компьютер разработчика подключался к серверу атакующих, давая им постоянный контроль над системой.
В малварь встроили несколько механизмов резервирования: если управляющий сервер недоступен, расширение загружало вредоносную DLL через Dropbox или альтернативный домен. Представители Microsoft уже удалили расширение из маркетплейса, но неизвестно, сколько разработчиков успели его установить.
Через незащищенные панели управления можно было получить API-ключи, OAuth-токены, читать историю переписок, выполнять команды и похищать учетные данные. О'Рейли вручную проверил несколько десятков инстансов и выявил восемь полностью открытых, без какой-либо защиты.
Однако О'Рейли пошел дальше и провел proof-of-concept атаку на MoltHub — библиотеку навыков (skills) для ассистента. Он загрузил туда безобидный пакет, содержащий минимальную полезную нагрузку «ping», искусственно накрутил счетчик скачиваний до 4000+ и наблюдал, как разработчики из семи стран активно загружали этот модуль. В реальной атаке злоумышленники могли бы похитить SSH-ключи, учетные данные AWS и весь код из проектов разработчиков.
Также эксперты отметили, что популярные семейства малвари начинают адаптироваться к структуре каталогов Moltbot. Если атакующий получит права на запись, он сможет превратить ИИ-ассистента в бэкдор, который будет доверять вредоносным источникам, воровать данные и выполнять иные задачи.
Штайнбергер согласился переименовать проект (он писал, что его фактически заставили переименовать аккаунт), и «ребрендингом» тут же воспользовались мошенники. Разработчик попытался одновременно переименовать GitHub-организацию и сменить ник в соцсети X, и криптомошенники успели перехватить контроль над обоими аккаунтами на непродолжительное время. Старые учетные записи тут же начали продвигать фейковый криптотокен $CLAWD. Фальшивый токен проекта достиг капитализации в 16 млн долларов США, прежде чем рухнул до нуля.
После этого Штайнбергер подчеркивал в X, что любые криптопроекты, к которым он якобы причастен, — это скам.
Команда Intruder отмечает, что архитектура Moltbot ориентирована на простоту развертывания, но не на безопасность по умолчанию. Здесь нет принудительных файрволов, проверки учетных данных, песочницы для плагинов.
Некоторые ИБ-исследователи прямо призывают не устанавливать Moltbot, называя его «инфостилером, замаскированным под ИИ-ассистента».
Упомянутый выше Джеймисон О'Рейли резюмирует: за последние 20 лет ИБ-индустрия выстроила множество защитных барьеров — песочницы, изоляцию процессов, модели разрешений, файрволы. Однако ИИ-агенты ломают всю эту защиту. Им нужен доступ к файлам, учетным данным, выполнению команд и внешним сервисам. Когда такой агент оказывается в сети или его компрометируют через цепочку поставок, атакующие получают полный доступ ко всему.
Moltbot наглядно демонстрирует, как могут выглядеть ИИ-помощники будущего. Однако пока это экспериментальная разработка, которая не предназначена для тех, кто не готов променять удобство на серьезные риски.
Отметим, что энтузиасты уже нашли способ отчасти минимизировать угрозу: они массово скупают Mac Mini для развертывания Moltbot на выделенном железе. Компактный, энергоэффективный и всегда включенный мини-сервер становится отличным хостом для ИИ-ассистента. Некоторые пользователи даже создают для Moltbot отдельные email-адреса и аккаунты в менеджерах паролей, как для нового сотрудника. Такая изоляция снижает риски, но не устраняет их полностью — даже на выделенной машине агент требует полного доступа ко всему.
Moltbot привлек внимание своим проактивным подходом — в отличие от обычных чат-ботов, он сам может напоминать о делах, составлять расписание на основе календаря и выполнять задачи в фоновом режиме. Ассистент работает 24/7, хранит долгосрочную память в Markdown-файлах и SQLite-базе, и способен управлять браузером, почтой и файлами на локальной машине. Фактически это попытка создать мощного ИИ-помощника, запускаемого на собственном железе пользователя.
Вся эта функциональность требует доступа практически ко всей цифровой жизни пользователя. Так, понадобятся API-ключи к Claude Opus 4.5 или другим коммерческим LLM, доступ к мессенджерам и почте, учетным данным различных сервисов, а в некоторых конфигурациях — возможность выполнения шелл-команд.
Как несложно догадаться, это чревато большими проблемами с безопасностью. В последние дни множество исследователей и компаний предупреждают о потенциальной опасности Moltbot, и на нашумевший ИИ-проект уже обратили внимание злоумышленники.
Фейковое расширение для VSCode
Специалисты компании Aikido обнаружили вредоносное расширение для Visual Studio Code под названием ClawdBot Agent — AI Coding Assistant. Малварь маскировалась под официальный инструмент для Moltbot, хотя расширения для VS Code у проекта нет.
Исследователи пишут, что вредонос запускался автоматически при каждом открытии IDE, загружал файл config.json с внешнего сервера и выполнял бинарник Code.exe, который устанавливал ScreenConnect — легитимную программу для удаленного доступа. После этого компьютер разработчика подключался к серверу атакующих, давая им постоянный контроль над системой.
В малварь встроили несколько механизмов резервирования: если управляющий сервер недоступен, расширение загружало вредоносную DLL через Dropbox или альтернативный домен. Представители Microsoft уже удалили расширение из маркетплейса, но неизвестно, сколько разработчиков успели его установить.
Сотни открытых инстансов в сети
Исследователь Джеймисон О'Рейли (Jamieson O'Reilly) из компании Dvuln обнаружил сотни развернутых экземпляров Moltbot, доступных в интернете без аутентификации. Проблема возникла из-за неправильной конфигурации reverse proxy — система автоматически доверяет всем «локальным» подключениям, и при ошибках в настройках любой трафик из интернета считается доверенным.Через незащищенные панели управления можно было получить API-ключи, OAuth-токены, читать историю переписок, выполнять команды и похищать учетные данные. О'Рейли вручную проверил несколько десятков инстансов и выявил восемь полностью открытых, без какой-либо защиты.
О'Рейли оказался не единственным, кто обнаружил проблемы. Исследователи Bitdefender нашли открытые дашборды Moltbot, через которые любой желающий мог просматривать конфигурационные данные, извлекать API-ключи и читать полные истории переписок из приватных чатов пользователей.
Однако О'Рейли пошел дальше и провел proof-of-concept атаку на MoltHub — библиотеку навыков (skills) для ассистента. Он загрузил туда безобидный пакет, содержащий минимальную полезную нагрузку «ping», искусственно накрутил счетчик скачиваний до 4000+ и наблюдал, как разработчики из семи стран активно загружали этот модуль. В реальной атаке злоумышленники могли бы похитить SSH-ключи, учетные данные AWS и весь код из проектов разработчиков.
Хранение секретов открытым текстом
Команда Hudson Rock проанализировала код Moltbot и выяснила, что часть конфиденциальных данных хранится в виде обычного текста в формате Markdown и JSON-файлах на локальной машине пользователя. Это значит, что если хост с запущенным Moltbot будет заражен инфостилером (вроде Redline, Lumma или Vidar), все эти данные попадут в руки атакующих.Также эксперты отметили, что популярные семейства малвари начинают адаптироваться к структуре каталогов Moltbot. Если атакующий получит права на запись, он сможет превратить ИИ-ассистента в бэкдор, который будет доверять вредоносным источникам, воровать данные и выполнять иные задачи.
Переименование и криптоскам
На прошлой неделе Anthropic попросила разработчика Moltbot сменить название проекта с Clawdbot на Moltbot из-за возможного нарушения торговой марки (Clawd слишком созвучно с Claude).Штайнбергер согласился переименовать проект (он писал, что его фактически заставили переименовать аккаунт), и «ребрендингом» тут же воспользовались мошенники. Разработчик попытался одновременно переименовать GitHub-организацию и сменить ник в соцсети X, и криптомошенники успели перехватить контроль над обоими аккаунтами на непродолжительное время. Старые учетные записи тут же начали продвигать фейковый криптотокен $CLAWD. Фальшивый токен проекта достиг капитализации в 16 млн долларов США, прежде чем рухнул до нуля.
После этого Штайнбергер подчеркивал в X, что любые криптопроекты, к которым он якобы причастен, — это скам.
Предостережения экспертов
Эрик Швейк (Eric Schwake) из компании Salt Security говорит, что между пользовательским энтузиазмом и реальными требованиями к безопасности — огромный разрыв. Чтобы настроить Moltbot безопасно, нужно понимание API-безопасности, создание правильной конфигурации и контроль доступа. Большинство пользователей об этом даже не задумываются.Команда Intruder отмечает, что архитектура Moltbot ориентирована на простоту развертывания, но не на безопасность по умолчанию. Здесь нет принудительных файрволов, проверки учетных данных, песочницы для плагинов.
Некоторые ИБ-исследователи прямо призывают не устанавливать Moltbot, называя его «инфостилером, замаскированным под ИИ-ассистента».
Упомянутый выше Джеймисон О'Рейли резюмирует: за последние 20 лет ИБ-индустрия выстроила множество защитных барьеров — песочницы, изоляцию процессов, модели разрешений, файрволы. Однако ИИ-агенты ломают всю эту защиту. Им нужен доступ к файлам, учетным данным, выполнению команд и внешним сервисам. Когда такой агент оказывается в сети или его компрометируют через цепочку поставок, атакующие получают полный доступ ко всему.
Moltbot наглядно демонстрирует, как могут выглядеть ИИ-помощники будущего. Однако пока это экспериментальная разработка, которая не предназначена для тех, кто не готов променять удобство на серьезные риски.
Отметим, что энтузиасты уже нашли способ отчасти минимизировать угрозу: они массово скупают Mac Mini для развертывания Moltbot на выделенном железе. Компактный, энергоэффективный и всегда включенный мини-сервер становится отличным хостом для ИИ-ассистента. Некоторые пользователи даже создают для Moltbot отдельные email-адреса и аккаунты в менеджерах паролей, как для нового сотрудника. Такая изоляция снижает риски, но не устраняет их полностью — даже на выделенной машине агент требует полного доступа ко всему.