导语:这款AI助手默认未开启沙箱隔离机制,这意味着该机器人拥有与用户完全相同的数据访问权限。
安全研究人员发出警告,企业环境中对Moltbot(前身为Clawdbot)人工智能助手的非安全化部署,可能导致API密钥、OAuth令牌、对话记录及各类凭证信息泄露。
据悉,Moltbot是一款可深度集成系统的开源个人AI助手,能本地部署在用户设备中,还可直接与即时通讯工具、邮件客户端等应用及文件系统实现集成。
与云端聊天机器人不同,Moltbot可在本地7×24小时运行,支持持久化记忆、主动向用户推送提醒/通知、执行定时任务等功能。正是这些实用功能与简便的部署方式,让Moltbot迅速走红,甚至推动了Mac Mini的销量增长——不少人为这款机器人专门购置了专属部署主机。
管理界面暴露引安全风险
多名安全研究人员提醒,若对Moltbot的部署操作疏忽大意,结合其在主机上的权限与访问级别,可能引发敏感数据泄露、企业数据曝光、凭证被盗、命令执行等一系列安全问题。
有相关人员重点指出了其中部分安全隐患。因反向代理配置错误,目前已有数百个Clawdbot Control管理界面暴露在公网中。
由于Clawdbot会自动通过所有“本地”连接请求,部署在反向代理后的该程序,往往会将所有网络流量均视为可信来源,这导致许多暴露的实例存在未授权访问、凭证被盗、对话记录可被查看、命令可被执行,甚至能被获取系统根级访问权限等问题。
该研究人员称:“有人在其面向公网的clawdbot控制服务器上,绑定了自己的Signal加密即时通讯账户,且该服务器拥有该账户的完整读取权限。”
服务器上不仅有Signal设备的关联统一资源标识符,还有对应的二维码。在安装了Signal的手机上点击该标识符,就能配对该账户并获得完整访问权限。
研究人员曾尝试与该聊天机器人交互以解决上述问题,机器人虽回复会提醒服务器所有者,却无法提供任何联系方式。
研究人员与暴露的 Moltbot 实例互动
此外,工作人员还发布了第二部分研究成果,演示了如何通过供应链攻击针对Moltbot用户——通过制作一个包含简易“ping”载荷的技能模块(封装指令集或功能模块),以此实施攻击。
该开发者将这个恶意技能模块发布至Moltbot官方的MoltHub(原ClawdbotHub)注册表,并人为刷高其下载量,使其成为该平台最热门的资源。
在不到8小时的时间里,已有来自7个国家的16名开发者,下载了这个被人为推广的恶意技能模块。
企业面临多重安全威胁
尽管Moltbot本更适用于个人用户,但安全公司称,其22%的企业客户中,均有员工在未获得IT部门批准的情况下,擅自使用该AI助手。
目前已识别出多项潜在风险,包括网关与API/OAuth令牌暴露、凭证信息以明文形式存储在~/.clawdbot/目录下、通过AI中介访问导致企业数据泄露,以及提示注入攻击面扩大等。
其中一大核心隐患是,这款AI助手默认未开启沙箱隔离机制,这意味着该机器人拥有与用户完全相同的数据访问权限。
多个安全团队均针对Moltbot发出了类似的安全警告。据发现,已有攻击者将暴露的Moltbot端点作为目标,实施凭证窃取与提示注入攻击。像RedLine、Lumma和Vidar等信息窃取恶意软件,近期或将完成适配,把Moltbot的本地存储作为攻击目标,窃取其中的敏感数据与账户凭证。
此外,有安全研究人员还发现了一起仿冒Clawdbot的恶意VSCode插件事件,该插件会在开发者的设备中安装ScreenConnect远程访问木马。
安全部署Moltbot需要相关的专业知识与严谨的操作态度,其中关键是将AI实例隔离在虚拟机中运行,并为其网络访问配置防火墙规则,而非直接以根权限在主机操作系统中运行该程序。
文章来源自:https://www.bleepingcomputer.com/news/security/viral-moltbot-ai-assistant-raises-concerns-over-data-security/如若转载,请注明原文地址
