共计 2310 个字符,预计需要花费 6 分钟才能阅读完成。
将计算任务交给一只可爱的 AI 甲壳动物或许很诱人——但在加入这股最新的病毒式 AI 潮流前,请务必了解其背后的安全风险。
Samuel Boivin/NurPhoto via Getty Images
在 Anthropic 提出知识产权警告后,现已更名为 Moltbot 的 Clawdbot 正处于病毒式传播的风口浪尖——但使用这款 AI 助手存在一系列安全隐患,用户必须警惕。
什么是 Moltbot?
Moltbot 以一只可爱的甲壳动物形象示人,自称是“真正能办事的 AI”。这款开源 AI 助手由奥地利开发者 Peter Steinberger 构想而成,旨在管理用户数字生活的方方面面,包括处理电子邮件、发送消息,甚至代表用户执行操作,例如办理航班登机等事务。
正如 ZDNET 此前报道 所述,这款存储在个人电脑上的代理通过聊天应用(包括 iMessage、WhatsApp 和 Telegram)与用户通信。它拥有超过 50 项集成、技能与插件,具备持久记忆功能,并能实现浏览器及全系统控制。
Moltbot 本身并不运行独立的后端 AI 模型,而是借助 Anthropic 的 Claude(不难猜出其从 Clawdbot 更名的原因,亦可查阅这只龙虾的 背景页面)以及 OpenAI 的 ChatGPT 的能力。
短短数日,Moltbot 便实现了病毒式传播。在 GitHub 上,它已拥有数百名贡献者和约 10 万颗星标——使其成为该平台迄今增长最快的 AI 开源项目之一。
那么,问题究竟何在?
病毒式热度为诈骗者敞开大门
许多人青睐开源软件,是因为其代码透明度、任何人都可审计软件漏洞与安全问题的机会,以及流行项目所构建的社区氛围。
然而,迅猛的流行速度与频繁的变动也可能让恶意行为有机可乘。已有报道指出,出现了 虚假仓库 和 加密货币骗局。利用突然的名称变更,诈骗者推出了一个虚假的 Clawdbot AI 代币,并在崩盘前成功筹集了 1600 万美元。
因此,若计划尝试使用,请务必确保只从受信任的仓库获取。
交出数字王国的钥匙
如果选择安装 Moltbot 并希望将其用作个人自主助手,则需授予其账户访问权限并启用系统级控制。
正如 Moltbot 官方文档 所承认的,没有绝对安全的设置,而思科 直指 Moltbot 从安全角度看是“一场绝对的噩梦”。由于该机器人的自主性依赖于运行 shell 命令、读写文件、执行脚本以及代表用户执行计算任务的权限,若这些权限配置不当或设备感染恶意软件,这些特权可能会使用户及其数据陷入危险。
思科的安全研究人员表示:“已有报告称 Moltbot 泄露了明文 API 密钥和凭据,这些信息可能被威胁行为者通过提示注入或不安全的端点窃取。Moltbot 与消息应用的集成进一步将攻击面扩展至这些应用,威胁行为者可在其中构造恶意提示,引发意外行为。”
凭据暴露风险
进攻性安全研究员兼 Dvuln 创始人 Jamieson O’Reilly 一直在监控 Moltbot,并发现了连接到网络且未设任何身份验证保护的暴露、配置错误的实例。其他 研究人员 也在关注这一领域。在数百个实例中,部分完全缺乏保护措施,导致 Anthropic API 密钥、Telegram 机器人令牌、Slack OAuth 凭据、签名密钥以及对话历史记录遭到泄露。
尽管开发者立即 采取行动 并引入了可能缓解此问题的新安全措施,但若想使用 Moltbot,用户必须对其配置方式有充分信心。
提示注入攻击
提示注入 攻击已成为当下涉足 AI 领域的网络安全专家的梦魇。Irreverent Labs 的 CEO 兼联合创始人 Rahul Sood 列举了一系列与主动型 AI 代理相关的潜在安全问题, 指出 Moltbot/Clawdbot 的安全模型“令我胆寒”。
这种攻击向量要求 AI 助手读取并执行恶意指令,这些指令可能隐藏在网页素材或 URL 中。随后,AI 代理可能会泄露敏感数据、将信息发送至攻击者控制的服务器,或在用户设备上执行任务——前提是它已获得相应权限。
Sood 在 X 上进一步 阐述:
“无论你在何处运行它……云端、家庭服务器、壁橱里的 Mac Mini……请记住,你不仅仅是授权一个机器人。你正在授权一个系统,该系统将从你无法控制的来源读取内容。试想一下,全球的诈骗者正摩拳擦掌,准备摧毁你的生活。因此,请务必谨慎设定其权限范围。”
正如 Moltbot 文档 所指出的,对于所有 AI 助手和代理而言,提示注入攻击问题尚未得到解决。用户可采取一些措施降低受害风险,但将广泛的系统与账户访问权限与恶意提示相结合,无异于酿成灾难的配方。
文档写道:“即使只有你能向机器人发送消息,提示注入仍可能通过机器人读取的任何不受信任的内容(网络搜索 / 获取结果、浏览器页面、电子邮件、文档、附件、粘贴的日志 / 代码)发生。换言之:发送者并非唯一的威胁面;内容本身就可能携带对抗性指令。”
恶意技能与内容
网络安全研究人员已 发现 网上出现了可与 Moltbot 配合使用的恶意技能实例。例如,1 月 27 日,一个名为“ClawdBot Agent”的新 VS Code 扩展被标记为恶意软件。该扩展实为一个完整的木马程序,利用远程访问软件,可能用于监视和数据窃取。
Moltbot 本身并未提供 VS Code 扩展,但此案例确实凸显出:该代理日益增长的热度可能导致大量恶意扩展和技能涌现,仓库将不得不检测并管理这些内容。若用户不慎安装,可能无意中为自身设置与账户被入侵打开大门。
为强调此问题,O’Reilly 构建了一个安全但留有后门的技能并将其发布。不久后,该技能便被下载了数千次。
尽管建议谨慎采用那些具有高度自主性且能访问账户的 AI 助手和代理,但这并非否定这些创新模型与工具的价值。Moltbot 或许是 AI 代理如何融入未来生活的首次迭代,但用户仍应极度谨慎,避免为了一时便利而牺牲个人安全。
