共计 2578 个字符,预计需要花费 7 分钟才能阅读完成。
将日常事务托付给一只可爱的 AI 甲壳动物或许颇具吸引力,但在你决定启用 Moltbot 这类病毒式传播的 AI 助手之前,请务必审视其背后潜藏的安全隐患。安全专家发出警示,加入这股潮流并使用该 AI 助手时需保持高度警惕。
NurPhoto via Getty Images
ZDNET 核心观点
- 以“真正能做事的人工智能”为标榜的 Moltbot(原名 Clawdbot)正引发病毒式传播。
- 安全专家提醒,加入这股潮流并使用该 AI 助手时需保持高度警惕。
- 若你计划亲身体验 Moltbot,以下安全问题不容忽视。
在收到 Anthropic 的知识产权提示后更名为 Moltbot 的 Clawdbot,本周已成为网络热议的焦点。然而,使用这款流行 AI 助手潜藏着你需要了解的安全风险。
何为 Moltbot?
以可爱甲壳动物形象示人的 Moltbot 自称是“真正能做事的人工智能”。这款由奥地利开发者 Peter Steinberger 构思的开源 AI 助手,旨在管理用户数字生活的方方面面,包括处理电子邮件、发送消息,甚至代表用户执行操作,例如办理航班值机等事务。
延伸阅读:2026 年 AI 可能造成前所未有损害的 10 种方式
正如 ZDNET 此前报道所述,这款存储在个人计算机上的代理通过聊天应用(包括 iMessage、WhatsApp 和 Telegram)与用户通信。它集成了超过 50 种功能、技能和插件,具备持久记忆能力,并能进行浏览器及全系统控制。Moltbot 并非运行独立的后端 AI 模型,而是利用了 Anthropic 的 Claude 和 OpenAI 的 ChatGPT 的能力。
短短数日内,Moltbot 便实现了病毒式传播。在 GitHub 上,它现已拥有数百名贡献者和约 10 万颗星标,使其成为该平台迄今增长最快的 AI 开源项目之一。那么,问题究竟何在?
1. 病毒式传播为欺诈行为创造温床
开源软件因其代码透明、便于审计漏洞及构建社区而备受青睐。然而,Moltbot 极快的流行速度与更迭也可能为恶意开发提供可乘之机。已有报道指出出现了虚假代码仓库和流传的加密货币骗局。诈骗者利用突然更名的机会,推出了一个假冒的 Clawdbot AI 代币,在崩盘前成功募集了 1600 万美元。因此,若你计划尝试使用它,请务必确保只从受信任的仓库获取,这是防范 AI 助手安全风险的第一步。
2. 交出数字王国的钥匙
如果你选择安装 Moltbot,并希望将其用作个人自主助手,则需要授予其账户访问权限并启用系统级控制。正如 Moltbot 官方文档所承认,没有绝对安全的配置。思科公司从安全角度将 Moltbot 称为“绝对噩梦”。由于该机器人的自主性依赖于运行 Shell 命令、读写文件、执行脚本以及代表用户执行计算任务的权限,如果这些权限配置不当或系统感染了恶意软件,这些特权可能会使你和你的数据暴露于危险之中。
延伸阅读:Linux 之后?内核社区最终起草了取代托瓦尔兹的计划
思科的安全研究人员表示:“已有报告称 Moltbot 泄露了明文 API 密钥和凭据,这些信息可能被威胁行为者通过提示注入或不安全的端点窃取。Moltbot 与消息应用程序的集成将攻击面扩展到了这些应用程序,威胁行为者可以在其中制作恶意提示,导致意外行为。”
3. 凭据泄露风险
攻击性安全研究员兼 Dvuln 创始人 Jamieson O’Reilly 一直在监控 Moltbot,并发现连接到网络且没有任何身份验证保护、配置错误的实例被暴露出来。其他研究人员也在关注这一领域。在数百个实例中,有些完全没有保护措施,导致 Anthropic API 密钥、Telegram 机器人令牌、Slack OAuth 凭据、签名密钥以及对话历史记录泄露。尽管开发者立即采取行动并引入了可能缓解此问题的新安全措施,但如果你想使用 Moltbot,必须对其配置方式有充分的信心,以避免 AI 安全威胁。
4. 提示注入攻击威胁
提示注入攻击已成为涉及 AI 的网络安全专家的梦魇。Irreverent Labs 的首席执行官兼联合创始人 Rahul Sood 列举了一系列与主动式 AI 代理相关的潜在安全问题,称 Moltbot/Clawdbot 的安全模型“把我吓得够呛”。
延伸阅读:2026 年提升技能的最佳免费 AI 课程和证书——我已全部尝试过
这种攻击向量要求 AI 助手读取并执行恶意指令,这些指令可能隐藏在网页内容或 URL 中。随后,AI 代理可能会泄露敏感数据,将信息发送到攻击者控制的服务器,或者在用户机器上执行任务——前提是它拥有相应的权限。Sood 在 X 上就该话题进行了进一步阐述:“无论你在哪里运行它……请记住,你不仅仅是在给一个机器人访问权限。你是在给一个会从你无法控制的来源读取内容的系统提供访问权限。”
正如 Moltbot 官方文档所指出的,对于所有 AI 助手和代理,提示注入攻击问题尚未得到根本解决。你可以采取措施降低成为受害者的风险,但将广泛的系统和账户访问权限与恶意提示结合起来,无异于灾难的配方。文档写道:“即使只有你能向机器人发送消息,提示注入仍然可能通过机器人读取的任何不受信任的内容发生。换句话说:发送者并非唯一的威胁面;内容本身就可能携带对抗性指令。”
5. 恶意技能与内容泛滥
网络安全研究人员已经发现网上出现了适用于 Moltbot 的恶意技能实例。其中一个例子是,1 月 27 日,一个名为“ClawdBot Agent”的新 VS Code 扩展被标记为恶意软件。该扩展实际上是一个功能齐全的木马,可能利用远程访问软件进行监控和数据窃取。Moltbot 本身没有官方的 VS Code 扩展,但这个案例确实凸显了该代理日益增长的人气可能会催生大量恶意扩展和技能,仓库将不得不检测和管理这些内容。如果用户不小心安装了恶意扩展,他们可能无意中为自己的系统设置和账户被入侵打开了方便之门。
延伸阅读:Claude Cowork 现在为你自动化复杂任务——风险自负
为了强调这个问题,O’Reilly 构建了一个安全但留有后门的技能并将其发布。不久之后,该技能就被下载了数千次。这再次证明了在尝试热门 AI 助手时保持警惕的重要性。
尽管专家们敦促在采用具有高度自主性和账户访问权限的 AI 助手和代理时要保持谨慎,但这并非否定这些创新模型和工具的价值。Moltbot 可能是 AI 代理如何融入我们未来生活的首个迭代,但我们仍然应该极其审慎,避免为了便利而牺牲个人安全。在拥抱 AI 助手带来的效率提升时,必须将 AI 安全置于首位。
