安全研究人员发出警告，企业环境中对 Moltbot（前身为 Clawdbot）人工智能助手的非安全化部署，可能导致 API 密钥、OAuth 令牌、对话记录及各类凭证信息泄露。

据悉，Moltbot 是一款可深度集成系统的开源个人 AI 助手，能本地部署在用户设备中，还可直接与即时通讯工具、邮件客户端等应用及文件系统实现集成。

与云端聊天机器人不同，Moltbot 可在本地 7 × 24 小时运行，支持持久化记忆、主动向用户推送提醒 / 通知、执行定时任务等功能。正是这些实用功能与简便的部署方式，让 Moltbot 迅速走红，甚至推动了 Mac Mini 的销量增长——不少人为这款机器人专门购置了专属部署主机。

管理界面暴露引安全风险

多名安全研究人员提醒，若对 Moltbot 的部署操作疏忽大意，结合其在主机上的权限与访问级别，可能引发敏感数据泄露、企业数据曝光、凭证被盗、命令执行等一系列安全问题。 

有相关人员重点指出了其中部分安全隐患。因反向代理配置错误，目前已有数百个 Clawdbot Control 管理界面暴露在公网中。 

由于 Clawdbot 会自动通过所有 " 本地 " 连接请求，部署在反向代理后的该程序，往往会将所有网络流量均视为可信来源，这导致许多暴露的实例存在未授权访问、凭证被盗、对话记录可被查看、命令可被执行，甚至能被获取系统根级访问权限等问题。 

该研究人员称：" 有人在其面向公网的 clawdbot 控制服务器上，绑定了自己的 Signal 加密即时通讯账户，且该服务器拥有该账户的完整读取权限。"  

服务器上不仅有 Signal 设备的关联统一资源标识符，还有对应的二维码。在安装了 Signal 的手机上点击该标识符，就能配对该账户并获得完整访问权限。

研究人员曾尝试与该聊天机器人交互以解决上述问题，机器人虽回复会提醒服务器所有者，却无法提供任何联系方式。

研究人员与暴露的 Moltbot 实例互动

此外，工作人员还发布了第二部分研究成果，演示了如何通过供应链攻击针对 Moltbot 用户——通过制作一个包含简易 "ping" 载荷的技能模块（封装指令集或功能模块），以此实施攻击。

该开发者将这个恶意技能模块发布至 Moltbot 官方的 MoltHub（原 ClawdbotHub）注册表，并人为刷高其下载量，使其成为该平台最热门的资源。 

在不到 8 小时的时间里，已有来自 7 个国家的 16 名开发者，下载了这个被人为推广的恶意技能模块。

企业面临多重安全威胁

尽管 Moltbot 本更适用于个人用户，但安全公司称，其 22% 的企业客户中，均有员工在未获得 IT 部门批准的情况下，擅自使用该 AI 助手。

目前已识别出多项潜在风险，包括网关与 API/OAuth 令牌暴露、凭证信息以明文形式存储在 ~/.clawdbot/ 目录下、通过 AI 中介访问导致企业数据泄露，以及提示注入攻击面扩大等。 

其中一大核心隐患是，这款 AI 助手默认未开启沙箱隔离机制，这意味着该机器人拥有与用户完全相同的数据访问权限。 

多个安全团队均针对 Moltbot 发出了类似的安全警告。据发现，已有攻击者将暴露的 Moltbot 端点作为目标，实施凭证窃取与提示注入攻击。像 RedLine、Lumma 和 Vidar 等信息窃取恶意软件，近期或将完成适配，把 Moltbot 的本地存储作为攻击目标，窃取其中的敏感数据与账户凭证。 

此外，有安全研究人员还发现了一起仿冒 Clawdbot 的恶意 VSCode 插件事件，该插件会在开发者的设备中安装 ScreenConnect 远程访问木马。 

安全部署 Moltbot 需要相关的专业知识与严谨的操作态度，其中关键是将 AI 实例隔离在虚拟机中运行，并为其网络访问配置防火墙规则，而非直接以根权限在主机操作系统中运行该程序。