Штучний інтелект, що “насправді виконує завдання”, стрімко набирає популярності в інтернеті. Проте експерти з кібербезпеки застерігають: використання Moltbot без належних запобіжних заходів може коштувати вам контролю над цифровим життям.
Що таке Moltbot
Moltbot — це AI-агент з відкритим кодом, створений австрійським розробником Пітером Штайнбергером. Раніше проєкт називався Clawdbot, але після юридичної претензії від Anthropic отримав нову назву. Симпатичний ракоподібний асистент позиціонує себе як “штучний інтелект, що справді діє” — він керує електронною поштою, надсилає повідомлення і навіть виконує дії від вашого імені, зокрема реєструє на авіарейси.
За кілька днів проєкт отримав близько 100 000 зірок на GitHub, ставши одним із найшвидше зростаючих AI-проєктів. Але блискавична популярність приховує небезпечні уразливості, які можуть коштувати вам приватності та безпеки даних.
Агент встановлюється на комп’ютері користувача і спілкується через месенджери: iMessage, WhatsApp та Telegram. Система пропонує понад 50 інтеграцій, плагінів та навичок, має постійну пам’ять і може контролювати як браузер, так і всю систему повністю. Замість власної AI-моделі Moltbot використовує потужності Claude від Anthropic та ChatGPT від OpenAI.
За кілька днів проєкт став вірусним. На GitHub він отримав близько 100 000 зірок і сотні контриб’юторів, увійшовши до найшвидше зростаючих AI-проєктів з відкритим кодом на платформі.
Чому Moltbot небезпечний: п’ять критичних загроз
1. Вірусна популярність приваблює шахраїв
Відкритий код дає переваги: прозорість, можливість аудиту безпеки, активна спільнота. Проте блискавична популярність створює умови для зловмисників. Уже з’явилися фальшиві репозиторії та криптовалютні шахрайства. Скориставшись зміною назви, шахраї запустили підроблений токен Clawdbot AI, який зібрав $16 мільйонів перед обвалом.
Рекомендація: використовуйте лише перевірені офіційні репозиторії проєкту.
2. Повний доступ до вашого цифрового простору
Щоб Moltbot працював як автономний асистент, йому потрібно надати доступ до облікових записів і системні дозволи. Документація проєкту відверто визнає: повністю безпечної конфігурації не існує.
Cisco називає Moltbot “абсолютним кошмаром” з точки зору безпеки. Автономність бота базується на дозволах виконувати команди оболонки, читати та записувати файли, запускати скрипти і виконувати обчислювальні завдання. Неправильна конфігурація або зараження шкідливим ПЗ може призвести до витоку даних.
Дослідники Cisco повідомляють: “Moltbot вже фіксували витік API-ключів та облікових даних у відкритому вигляді. Їх можуть викрасти зловмисники через промпт-ін’єкції або незахищені кінцеві точки. Інтеграція з месенджерами розширює поверхню атаки — зловмисники можуть створювати шкідливі промпти, що спричиняють небажану поведінку системи”.
3. Оприлюднені облікові дані
Джеймісон О’Рейллі, дослідник offensive security та засновник Dvuln, моніторив Moltbot і виявив незахищені екземпляри, підключені до інтернету без автентифікації. Серед сотень інстанцій деякі не мали жодного захисту, що призвело до витоку API-ключів Anthropic, токенів Telegram-ботів, OAuth-даних Slack і таємних ключів підпису, а також історії розмов.
Розробники негайно впровадили нові заходи безпеки, проте користувачі повинні самостійно впевнитися в правильності налаштувань.
4. Атаки через промпт-ін’єкції
Prompt injection — це головний біль експертів з кібербезпеки в епоху AI. Рахул Суд, CEO Irreverent Labs, заявив, що модель безпеки Moltbot “лякає до смерті”.
Цей вектор атаки передбачає, що AI-асистент прочитає і виконає шкідливі інструкції, приховані, наприклад, у веб-контенті чи URL-адресах. AI-агент може злити конфіденційні дані, надіслати інформацію на сервери зловмисників або виконати завдання на вашій машині — якщо має відповідні привілеї.
Суд коментує: “Незалежно від того, де ви запускаєте агента — у хмарі, на домашньому сервері чи Mac Mini в шафі — пам’ятайте: ви надаєте доступ не просто боту. Ви даєте доступ системі, яка читатиме контент із джерел, які ви не контролюєте. Шахраї по всьому світу радіють, готуючись зруйнувати ваше життя”.
Як зазначає документація Moltbot, проблема промпт-ін’єкцій залишається невирішеною для всіх AI-асистентів. Існують способи зменшити загрозу, але поєднання широкого системного доступу зі шкідливими промптами виглядає як рецепт катастрофи.
“Навіть якщо лише ви можете писати боту, промпт-ін’єкція може статися через будь-який ненадійний контент, який читає бот: результати веб-пошуку, сторінки браузера, електронні листи, документи, вкладення, вставлені логи чи код”, — попереджає документація. “Іншими словами: відправник — не єдина поверхня загрози; сам контент може містити ворожі інструкції”.
5. Шкідливі навички та розширення
Дослідники з кібербезпеки вже виявили шкідливі скіли для Moltbot. 27 січня розширення VS Code під назвою “ClawdBot Agent” було позначено як зловмисне. Насправді це повноцінний троян, що використовує програмне забезпечення віддаленого доступу для стеження та крадіжки даних.
Хоча Moltbot не має офіційного розширення VS Code, цей випадок демонструє, як зростаюча популярність агента породжуватиме хвилю шкідливих розширень і навичок. Випадкове встановлення такого компонента може відкрити двері для компрометації всієї системи.
Щоб продемонструвати проблему, О’Рейллі створив безпечний, але бекдорний скіл і оприлюднив його. За короткий час його завантажили тисячі разів.
Висновок
Інноваційні AI-агенти мають цінність і можуть стати частиною нашого майбутнього. Moltbot може бути першою ітерацією того, як штучний інтелект інтегрується в повсякденне життя. Проте надзвичайно важливо зберігати обережність і не ставити зручність вище особистої безпеки. Використання AI-асистентів з високим рівнем автономності та доступом до облікових записів вимагає виваженого підходу та розуміння всіх ризиків.
