ИИ-ассистент Moltbot (ранее Clawdbot, переименован после претензий Anthropic) вызвал тревогу у специалистов по кибербезопасности, пишет SecurityLab. Он позиционируется как персональный агент и требует широкого доступа — к мессенджерам, почте, календарям и даже банковским аккаунтам, что создаёт серьёзные риски.
Moltbot можно управлять через WhatsApp или Telegram, он умеет самостоятельно отвечать на письма, вести календарь, фильтровать звонки и делать бронь в ресторанах. Для всего этого ассистенту нужен полный доступ к учётным записям пользователя.
Основатель Dvuln Джеймисон О’Рейли обнаружил сотни публично доступных экземпляров Clawdbot с опасными настройками. Из-за уязвимостей в прокси и локальной аутентификации злоумышленники могли бы получить доступ к переписке, токенам и API-ключам. Хотя баг уже исправили, восемь найденных экземпляров вообще не имели аутентификации, ещё 47 — частичную защиту.
Во втором исследовании О’Рейли показал атаку на цепочку поставок через ClawdHub — библиотеку навыков Moltbot. Он загрузил «навык», накрутил число загрузок и доказал возможность удалённого выполнения команд. При этом весь код в ClawdHub считается доверенным и не проходит модерацию.
Эксперты подчёркивают ключевую проблему: инструмент рекламируется как простой, но требует глубоких знаний для безопасного использования. По данным Hudson Rock, секреты Moltbot хранятся в открытом виде в локальных файлах, а заражение системы инфостилерами может привести к полной компрометации и превращению ассистента в бэкдор.
Специалисты отмечают, что AI-агенты по своей природе разрушают традиционные модели безопасности ОС. Представители Google Cloud и независимые консультанты предупреждают: доверять такому инструменту полный доступ к системе крайне опасно.
