Штучний інтелект, що “насправді виконує завдання”, стрімко набирає популярності в інтернеті. Проте експерти з кібербезпеки застерігають: використання Moltbot без належних запобіжних заходів може коштувати вам контролю над цифровим життям.

Що таке Moltbot

Moltbot — це AI-агент з відкритим кодом, створений австрійським розробником Пітером Штайнбергером. Раніше проєкт називався Clawdbot, але після юридичної претензії від Anthropic отримав нову назву. Симпатичний ракоподібний асистент позиціонує себе як “штучний інтелект, що справді діє” — він керує електронною поштою, надсилає повідомлення і навіть виконує дії від вашого імені, зокрема реєструє на авіарейси.

За кілька днів проєкт отримав близько 100 000 зірок на GitHub, ставши одним із найшвидше зростаючих AI-проєктів. Але блискавична популярність приховує небезпечні уразливості, які можуть коштувати вам приватності та безпеки даних.

Агент встановлюється на комп’ютері користувача і спілкується через месенджери: iMessage, WhatsApp та Telegram. Система пропонує понад 50 інтеграцій, плагінів та навичок, має постійну пам’ять і може контролювати як браузер, так і всю систему повністю. Замість власної AI-моделі Moltbot використовує потужності Claude від Anthropic та ChatGPT від OpenAI.

За кілька днів проєкт став вірусним. На GitHub він отримав близько 100 000 зірок і сотні контриб’юторів, увійшовши до найшвидше зростаючих AI-проєктів з відкритим кодом на платформі.

Чому Moltbot небезпечний: п’ять критичних загроз

1. Вірусна популярність приваблює шахраїв

Відкритий код дає переваги: прозорість, можливість аудиту безпеки, активна спільнота. Проте блискавична популярність створює умови для зловмисників. Уже з’явилися фальшиві репозиторії та криптовалютні шахрайства. Скориставшись зміною назви, шахраї запустили підроблений токен Clawdbot AI, який зібрав $16 мільйонів перед обвалом.

Рекомендація: використовуйте лише перевірені офіційні репозиторії проєкту.

2. Повний доступ до вашого цифрового простору

Щоб Moltbot працював як автономний асистент, йому потрібно надати доступ до облікових записів і системні дозволи. Документація проєкту відверто визнає: повністю безпечної конфігурації не існує.

Cisco називає Moltbot “абсолютним кошмаром” з точки зору безпеки. Автономність бота базується на дозволах виконувати команди оболонки, читати та записувати файли, запускати скрипти і виконувати обчислювальні завдання. Неправильна конфігурація або зараження шкідливим ПЗ може призвести до витоку даних.

Дослідники Cisco повідомляють: “Moltbot вже фіксували витік API-ключів та облікових даних у відкритому вигляді. Їх можуть викрасти зловмисники через промпт-ін’єкції або незахищені кінцеві точки. Інтеграція з месенджерами розширює поверхню атаки — зловмисники можуть створювати шкідливі промпти, що спричиняють небажану поведінку системи”.

3. Оприлюднені облікові дані

Джеймісон О’Рейллі, дослідник offensive security та засновник Dvuln, моніторив Moltbot і виявив незахищені екземпляри, підключені до інтернету без автентифікації. Серед сотень інстанцій деякі не мали жодного захисту, що призвело до витоку API-ключів Anthropic, токенів Telegram-ботів, OAuth-даних Slack і таємних ключів підпису, а також історії розмов.

Розробники негайно впровадили нові заходи безпеки, проте користувачі повинні самостійно впевнитися в правильності налаштувань.

4. Атаки через промпт-ін’єкції

Prompt injection — це головний біль експертів з кібербезпеки в епоху AI. Рахул Суд, CEO Irreverent Labs, заявив, що модель безпеки Moltbot “лякає до смерті”.

Цей вектор атаки передбачає, що AI-асистент прочитає і виконає шкідливі інструкції, приховані, наприклад, у веб-контенті чи URL-адресах. AI-агент може злити конфіденційні дані, надіслати інформацію на сервери зловмисників або виконати завдання на вашій машині — якщо має відповідні привілеї.

Суд коментує: “Незалежно від того, де ви запускаєте агента — у хмарі, на домашньому сервері чи Mac Mini в шафі — пам’ятайте: ви надаєте доступ не просто боту. Ви даєте доступ системі, яка читатиме контент із джерел, які ви не контролюєте. Шахраї по всьому світу радіють, готуючись зруйнувати ваше життя”.

Як зазначає документація Moltbot, проблема промпт-ін’єкцій залишається невирішеною для всіх AI-асистентів. Існують способи зменшити загрозу, але поєднання широкого системного доступу зі шкідливими промптами виглядає як рецепт катастрофи.

“Навіть якщо лише ви можете писати боту, промпт-ін’єкція може статися через будь-який ненадійний контент, який читає бот: результати веб-пошуку, сторінки браузера, електронні листи, документи, вкладення, вставлені логи чи код”, — попереджає документація. “Іншими словами: відправник — не єдина поверхня загрози; сам контент може містити ворожі інструкції”.

5. Шкідливі навички та розширення

Дослідники з кібербезпеки вже виявили шкідливі скіли для Moltbot. 27 січня розширення VS Code під назвою “ClawdBot Agent” було позначено як зловмисне. Насправді це повноцінний троян, що використовує програмне забезпечення віддаленого доступу для стеження та крадіжки даних.

Хоча Moltbot не має офіційного розширення VS Code, цей випадок демонструє, як зростаюча популярність агента породжуватиме хвилю шкідливих розширень і навичок. Випадкове встановлення такого компонента може відкрити двері для компрометації всієї системи.

Щоб продемонструвати проблему, О’Рейллі створив безпечний, але бекдорний скіл і оприлюднив його. За короткий час його завантажили тисячі разів.

Висновок

Інноваційні AI-агенти мають цінність і можуть стати частиною нашого майбутнього. Moltbot може бути першою ітерацією того, як штучний інтелект інтегрується в повсякденне життя. Проте надзвичайно важливо зберігати обережність і не ставити зручність вище особистої безпеки. Використання AI-асистентів з високим рівнем автономності та доступом до облікових записів вимагає виваженого підходу та розуміння всіх ризиків.

Ця стаття Небезпечний Moltbot — 5 червоних прапорців, які не варто ігнорувати раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Новий персональний ШІ-асистент можна почати використовувати вже зараз, але спочатку варто зрозуміти ризики безпеки.

Але перед тим, як перейти до огляду, термінове оновлення — Clawdbot офіційно змінив свою назву. Розробник Пітер Штайнбергер повідомив у соцмережі X, що змінив назву ШІ-інструменту під тиском компанії Anthropic, яка розробляє сімейство великих мовних моделей Claude. Відтепер Clawdbot буде відомий як Moltbot.

Вірусна популярність серед технічної спільноти

Інтерес до Clawdbot, персонального ШІ-асистента з відкритим кодом, зростав від незначного до шаленого. Протягом минулих вихідних онлайн-обговорення інструменту досягли вірусного статусу — принаймні настільки вірусного, наскільки це можливо для ШІ-інструменту з відкритим кодом.

Clawdbot розробив культове коло прихильників серед спільноти ранніх послідовників, а ШІ-ентузіасти з Кремнієвої долини активно діляться найкращими практиками та демонструють свої самостійні налаштування Clawdbot. Безкоштовний open-source ШІ-асистент зазвичай працює на окремому Mac Mini (хоча можливі й інші варіанти), користувачі надають йому доступ до своїх акаунтів ChatGPT або Claude, а також до електронної пошти, календарів та месенджерів.

Clawdbot став настільки популярним у соцмережі X, що досяг статусу мема — розробники та фанати діляться жартівливими мемами про свої налаштування інструменту.

Had some fun today

Got 12 Mac Minis setup with 12 Clawdbots running 12 Ralph Wiggums with my 12 Claude Max Plans

Wake up. It’s 2026. You’re getting left behind in the dust pic.twitter.com/2vul9aJGCk

— Jeff Tang (@jefftangx) January 23, 2026

Що таке Clawdbot: агентний ШІ-асистент

Як зазначалося раніше, Clawdbot — це ШІ-асистент з відкритим кодом, який працює локально на вашому пристрої. Інструмент створив розробник та підприємець Пітер Штайнбергер, найбільш відомий завдяки створенню та продажу PSPDFKit. Інструмент часто асоціюють з емодзі лобстера з очевидних причин.

Clawdbot є вражаючим прикладом агентного ШІ, тобто інструменту, який може діяти автономно та виконувати багатоетапні дії від імені користувача. 2025 рік мав стати роком ШІ-агентів, але натомість багато високопрофільних реалізацій агентного ШІ не виправдали очікувань, і зростає відчуття, що ШІ-агенти досягли межі своїх можливостей.

Унікальні можливості та переваги

Користувачі Clawdbot стверджують, що інструмент забезпечує результати там, де попередні асистенти зазнали невдачі. Персональний ШІ-асистент запам’ятовує все, що ви йому коли-небудь говорили, а користувачі також можуть надати йому доступ до електронної пошти, календаря та документів. Крім того, Clawdbot може проактивно вживати персоналізованих дій. Тож Clawdbot не лише перевіряє вашу електронну пошту, але й може надіслати вам повідомлення в момент надходження високопріоритетного листа.

Виходячи з вірусного успіху проєкту, не виключено, що ШІ-компанії на кшталт OpenAI та Anthropic намагаються залучити Штайнбергера до співпраці.

Як спробувати Clawdbot: технічні вимоги

Штайнбергер завантажив вихідний код Clawdbot на GitHub, і користувачі можуть завантажити, встановити та почати експериментувати з інструментом негайно.

Однак завантаження та налаштування Clawdbot не настільки просте, як завантаження типового додатка чи програмного забезпечення. Для запуску Clawdbot на пристрої знадобляться певні технічні знання. Також існують серйозні питання безпеки та конфіденційності, які варто враховувати.

Clawdbot можна запустити на пристроях Mac, Windows та Linux. Офіційний вебсайт містить інструкції зі встановлення, системні вимоги та поради.

Критичні ризики безпеки: що потрібно знати

Частина причини успіху Clawdbot там, де інші ШІ-агенти зазнали невдачі, полягає в тому, що він має повний системний доступ до вашого пристрою. Це означає, що він може читати та записувати файли, виконувати команди, запускати скрипти та керувати браузером.

Штайнбергер відверто говорить про те, що запуск Clawdbot несе певні ризики.

“Запуск ШІ-агента з доступом до командної оболонки на вашій машині — це ризиковано”, — йдеться в FAQ. “Clawdbot є одночасно продуктом та експериментом: ви інтегруєте поведінку передової моделі в реальні месенджери та реальні інструменти. Немає ‘ідеально безпечного’ налаштування”.

Користувачі можуть отримати доступ до інструменту аудиту безпеки для Clawdbot на GitHub, а FAQ також містить корисний розділ про безпеку. Підрозділ під назвою “Модель загроз” зазначає, що зловмисники можуть “спробувати обдурити ваш ШІ, щоб він робив погані речі” та “застосувати соціальну інженерію для доступу до ваших даних”.

Пояснення перейменування: від Clawd до Molt

Clawdbot було перейменовано на Moltbot. Назва Clawdbot та його талісман Clawd (космічний лобстер) звучали дуже схоже на Claude. Claude — це назва великих мовних моделей, створених компанією Anthropic. Оскільки багато користувачів Clawdbot покладаються на Claude, зміна назви була неминучою.

У публікації в соцмережі X творець Clawdbot написав: “Та сама душа лобстера, нова оболонка. Anthropic попросила нас змінити назву (питання торгової марки), і чесно кажучи? ‘Molt’ підходить ідеально — саме це роблять лобстери, щоб рости”.

Ця стаття Clawdbot (Moltbot): новий ШІ-асистент, який викликав ажіотаж у Кремнієвій долині раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня