Moltbot (ранее Clawdbot) всего за несколько недель набрал более 93 000 звёзд на GitHub, став одним из самых быстрорастущих ИИ-проектов 2026 года. Разработанный австрийским инженером Петером Штайнбергером, этот open-source ИИ‑ассистент интегрируется с WhatsApp, Telegram, Slack, Discord и другими мессенджерами, позиционируясь как «персональный ИИ, работающий на вашем железе». Однако стремительный рост интереса к Moltbot немедленно привлёк внимание как специалистов по кибербезопасности, так и злоумышленников.
Функциональность Moltbot: глубокий доступ к цифровой жизни пользователя
Moltbot выделяется среди классических чат-ботов тем, что действует проактивно: самостоятельно напоминает о задачах, строит расписание по календарю, ведёт долгосрочную память в Markdown и SQLite и может управлять браузером, почтой и локальными файлами в фоновом режиме. По сути, это ИИ-агент, которому пользователь доверяет почти всё: от рабочих переписок до учётных данных облачных сервисов.
Чтобы реализовать такую автономность, ассистенту требуются API-ключи к коммерческим LLM (например, Claude Opus 4.5), доступ к мессенджерам и email, токены OAuth, учётные записи сторонних сервисов, а в некоторых конфигурациях — право выполнения shell-команд. Подобный уровень привилегий делает Moltbot крайне привлекательной целью для атак по принципу «одна компрометация — полный доступ».
Маскировка под Moltbot: вредоносное расширение для Visual Studio Code
Поддельный ClawdBot Agent и установка удалённого доступа
Компания Aikido выявила в Marketplace Visual Studio Code вредоносное расширение ClawdBot Agent — AI Coding Assistant, выдававшее себя за официальный инструмент для Moltbot, хотя у проекта нет легитимного плагина для VS Code. Расширение автоматически запускалось при каждом открытии IDE, загружало config.json с внешнего сервера и запускало бинарный файл Code.exe, который устанавливал легитимный, но в данном случае злоупотребляемый продукт удалённого доступа ScreenConnect.
В результате система разработчика подключалась к серверу операторов атаки, предоставляя им устойчивый удалённый контроль. Вредонос содержал механизмы резервирования: при недоступности основного управляющего сервера он подгружал DLL из Dropbox или с альтернативных доменов. Microsoft удалила расширение, но неизвестно, сколько разработчиков успели установить его, доверившись бренду Moltbot.
Ошибки конфигурации: открытые панели управления и утечка секретов
Неправильный reverse proxy и публично доступные инстансы Moltbot
Исследователь Джеймисон О’Рейли (Dvuln) обнаружил сотни экземпляров Moltbot, доступных в интернет без какой-либо аутентификации. Причиной стала типичная, но критичная ошибка: reverse proxy «по умолчанию» доверял всем «локальным» подключениям, и при неверной настройке весь внешний трафик воспринимался как доверенный.
Через такие открытые панели управления можно было просматривать и извлекать API‑ключи и OAuth‑токены, читать историю переписок, выполнять команды и похищать учётные данные. Вручную проверив несколько десятков инстансов, О’Рейли нашёл как минимум восемь полностью открытых установок без какой-либо защиты, включая сервер, где был настроен Signal с полным доступом на чтение и активными URI/QR-кодами для подключения новых устройств.
Уязвимости MoltHub: риск атак через цепочку поставок
Параллельно О’Рейли провёл proof-of-concept атаку на MoltHub — репозиторий skills (навыков) для Moltbot. Он опубликовал безвредный модуль с минимальной полезной нагрузкой «ping», искусственно накрутил счётчик загрузок до 4000+ и зафиксировал реальное использование пакета разработчиками из семи стран. В реальной атаке такой модуль мог бы незаметно выкачивать SSH-ключи, AWS‑учётные данные и исходный код, демонстрируя, насколько уязвима экосистема плагинов и цепочка поставок ИИ-агентов.
Хранение конфиденциальных данных и превращение ИИ-ассистента в бэкдор
Анализ команды Hudson Rock показал, что Moltbot хранит часть секретов в открытом виде — в Markdown- и JSON-файлах на локальной машине. Это означает, что при заражении хоста стандартным инфостилером (Redline, Lumma, Vidar и др.) атакующий получает простой и полный доступ к токенам, ключам и истории взаимодействий ИИ-агента.
Исследователи также отмечают, что популярные семейства малвари уже адаптируются к структуре каталогов Moltbot. При наличии прав записи злоумышленник может модифицировать файлы конфигурации и превратить ассистента в бэкдор, доверяющий вредоносным источникам, автоматически передающий данные или выполняющий произвольные команды от атакующего.
Ребрендинг Clawdbot → Moltbot и криптоскам вокруг токена $CLAWD
Отдельный вектор злоупотреблений связан с брендом. По запросу Anthropic разработчик был вынужден переименовать проект с Clawdbot на Moltbot из‑за схожести с названием Claude. В момент смены GitHub-организации и ника в X (Twitter) криптомошенники успели кратковременно перехватить контроль над старыми аккаунтами и начали активно продвигать фейковый токен $CLAWD. Рыночная капитализация этого псевдокоина достигла примерно 16 млн долларов США, после чего токен обрушился до нуля. Петер Штайнбергер публично подчеркнул, что любые криптопроекты с его именем — скам.
AI-агенты против традиционной модели безопасности
Эксперты Salt Security и Intruder отмечают, что между пользовательским энтузиазмом и реальными требованиями к безопасности существует существенный разрыв. Безопасная настройка Moltbot требует понимания API‑безопасности, управления доступом и сегментации среды. Архитектура проекта ориентирована на простоту развёртывания, а не на принцип «secure by default»: отсутствуют обязательные файрволы, строгая проверка учётных данных и песочницы для плагинов.
Некоторые исследователи прямо называют Moltbot «инфостилером, замаскированным под ИИ‑ассистента». По словам Джеймисона О’Рейли, за последние десятилетия индустрия создала множество слоёв защиты — песочницы, изоляцию процессов, модели разрешений, файрволы. Но ИИ-агенты ломают эти барьеры, потому что по определению требуют максимальных привилегий: доступа к файлам, секретам, выполнению команд и внешним сервисам. При компрометации через сеть или цепочку поставок атакующий фактически наследует весь этот уровень доступа.
На практике часть энтузиастов пытается снизить риски, вынося Moltbot на выделенное железо — чаще всего недорогие Mac Mini, работающие как отдельный сервер ИИ-ассистента. Для него создают отдельные email‑адреса и учётные записи в менеджерах паролей, как для нового сотрудника. Такая изоляция действительно уменьшает потенциальный ущерб, но не устраняет ключевую проблему: любой высокопривилегированный ИИ‑агент остаётся критической точкой концентрации рисков.
Случай Moltbot демонстрирует, как быстро open-source ИИ‑проекты превращаются в магнит для атак — от поддельных расширений и утечки API‑ключей до манипуляций токенами и атак через экосистему плагинов. Организациям и частным пользователям, рассматривающим развертывание ИИ-агентов с доступом к корпоративным и личным данным, стоит применять к таким системам тот же уровень строгости, что и к администраторским аккаунтам и критичной инфраструктуре: изолированные хосты, принцип наименьших привилегий, жёсткий контроль конфигураций, регулярный аудит и мониторинг. Инвестирование времени в архитектуру безопасности на этапе внедрения ИИ‑ассистента почти всегда оказывается дешевле, чем ликвидация последствий его компрометации.
