Moltbot 暴露在網路上成隱憂，資安專家警告新手使用風險高

Clawdbot 專案改名為「Moltbot」，依舊獲得 AI 與開發者社群熱烈討論。這款開源 AI 助理被視為代理式 AI 應用一大突破，然而安全疑慮未減反增，真的要把解鎖自己身分和資產的鑰匙，交給一個可能暴露在開放網際網路中的機器人嗎？

Moltbot 可以透過 WhatsApp、Telegram 等即時通訊軟體來操控，使用方式與大家熟悉的 AI 聊天機器人相似。這款在自己裝置運行的個人 AI 助理，背後由大型語言模型驅動，強調在本機端運行、處理需求。它的代理式 AI 能力可替使用者處理各種生活事務，比方說回覆電子郵件、管理行事曆、篩選來電、預訂餐廳，而且只需要極少的使用者介入或指令就能辦到。

為了讓 Moltbot 能夠讀取與回覆電子郵件以及執行更多任務，它必須取得使用者的帳戶及其憑證，等同是把通訊軟體、電子郵件、電話號碼，甚至銀行帳戶等關鍵鑰匙交給了這套代理式 AI 系統。因此，資安專家對此提出警告。

Moltbot 實例暴露在網路上

Moltbot 其實是一套相當複雜的系統，表面上安裝起來就像一般應用程式一樣簡單，但有設定錯誤的風險。資安專家特別指出，在缺乏足夠專業知識的情況下執行 Moltbot 是相當危險的。

身為資安專家，專注於紅隊演練的 Dvuln 創辦人 Jamieson O’Reilly 很早注意到這個問題。他表示自己發現數百個 Moltbot 實例暴露在網路上，可能導致個人敏感資料外洩。

他向外媒 The Register 表示，已向 Moltbot 開發者回報一種可能發生的攻擊模式，漏洞已經修補。這部分涉及 AI 代理設定錯誤與 localhost 連線自動驗證，萬一被利用，可能讓不法分子取得私人訊息、帳戶憑證、API 金鑰，以及 Moltbot 擁有者所授權的所有資料。

根據 Jamieson O’Reilly 與其他資安人員透過 Shodan 搜尋引擎掃描得到的結果，有數百個 Moltbot 實例暴露在網路上。若這些實例開放未經驗證的連線，不法分子就能存取 Moltbot 所持有的所有資料。

不只如此，Jamieson O’Reilly 撰文說明他對 ClawdHub 進行一項供應鏈攻擊的概念驗證。他成功上傳了一個公開使用的技能，利用一個簡單漏洞將其下載次數灌到超過 4,000 次，看到來自 7 個國家的開發者下載使用這個被設計的套件。他上傳的技能本身無害，卻能證明他其實可以在別人的 Moltbot 實例上執行指令。

ClawdHub 在開發者說明文件明確表示，所有技能資料庫下載的程式碼都被視為可信任的程式碼，目前沒有任何審核機制，因此下載內容是否安全，需要開發者自行把關。

這也正是 Moltbot 產品的一大關鍵問題，它被開發者吹捧為下一個能造福所有人類的 AI 產品，實際上若要安全使用，需要專業技能才能達成。

「更深層的問題在於，我們花了 20 年時間，為現代作業系統建立安全邊界，例如沙箱、行程隔離、權限模式、防火牆等，將使用者的內部環境與網際網路分隔開來。這一切都是為了限制災害半徑，防止對本機資源的遠端存取」，Jamieson O’Reilly 文中也寫到，「而 AI 代理在設計上，卻必須拆除這些防線。它需要讀取你的檔案、存取你的憑證、執行指令，並與外部服務互動。這種價值主張，意味著必須在我們花了數十年建立的每一道邊界開洞。當這些 AI 代理暴露在網路上，或在供應鏈遭到入侵時，不法分子就能拿下所有存取權限，保護的城牆也就倒下。」

一鍵安裝背後的風險隱憂

「Moltbot 一鍵安裝所帶來的喜悅，與安全運作這類代理式閘道所需要的技術專業之間，存在著明顯落差。」API 安全公司 Salt Security 的資安策略總監 Eric Schwake 告訴 The Register，「雖然安裝過程看起來就像一般 Mac 應用程式，但正確的設定需要對 API 知識與治理有深入理解，才能避免因設定錯誤或驗證薄弱而導致憑證外洩。」

「許多使用者無意間製造一個巨大黑洞，因為他們未能追蹤他們與系統共享了哪些公司或個人的 token。」Eric Schwake 說，「如果缺乏企業級的洞察力來了解這些隱藏的連接，即使是『專業消費者』設定中的一個小錯誤，也可能將一個有用的工具變成一個敞開的後門，使家庭和工作資料面臨暴露給不法分子的風險。」

即使正確設定，圍繞 Moltbot 的安全疑慮仍存在，進行網路犯罪情報調查的 Hudson Rock 團隊也點出這一點。

Hudson Rock 的研究人員檢視 Moltbot 的程式碼發現，使用者與 AI 助理分享的部分祕密資訊，竟以純文字的 Markdown 與 JSON 檔案形式，儲存在使用者主機設備（例如被購買來架設 Moltbot 的 Mac mini）的檔案系統，一旦感染竊取資訊的惡意程式，那麼 AI 助理所掌握的敏感資料很可能遭到入侵。

可以想見，任何一種常見的惡意程式都可能被用來攻擊暴露在網路上的 Moltbot 實例，竊取憑證並發動以金錢為目的的攻擊。若不法分子取得改寫權限，他們甚至可以把 Moltbot 變成後門，指示它在未來持續竊取敏感資料。

「Moltbot 代表個人 AI 的未來，但它的安全設計仍然依賴一種過時的端點信任模式。若沒有靜態加密或容器化，這種本機端優先的 AI 革命，恐怕會成為全球網路犯罪經濟的金礦」，Hudson Rock 團隊表示。