Wyobraź sobie uroczego krabika AI, który samodzielnie rezerwuje Ci bilety na lot, odpisuje na maile i układa kalendarz – a wszystko to dzieje się lokalnie na Twoim sprzęcie. Brzmi jak technologiczny raj? Dla setek tysięcy użytkowników GitHuba to spełnienie marzeń, jednak eksperci od cyberbezpieczeństwa widzą w Moltbocie (znanym wcześniej jako Clawdbot) prawdziwą kopalnię problemów. Ta zabawa może Cię kosztować utratę prywatnych danych, przejęcie kont i masę zszarpanych nerwów.
Co to jest Moltbot i skąd wzięła się ta nagła popularność?
Moltbot, stworzony przez austriackiego dewelopera Petera Steinbergera, to open-source’owy asystent AI, który komunikuje się z użytkownikiem przez popularne komunikatory, takie jak iMessage, WhatsApp czy Telegram. Narzędzie pracuje lokalnie na Twoim komputerze, wykorzystując potężne modele Claude od Anthropic oraz ChatGPT od OpenAI – stąd zresztą wymuszony rebranding z nazwy Clawdbot po „delikatnej” sugestii ze strony prawników Anthropic.
W ciągu zaledwie kilku dni projekt zgarnął około 100 tysięcy gwiazdek na GitHubie i przyciągnął setki współtwórców, stając się jednym z najszybciej rosnących przedsięwzięć w świecie sztucznej inteligencji. Oferuje ponad 50 integracji, posiada pamięć trwałą, potrafi kontrolować przeglądarkę i ma niemal pełny dostęp do systemu operacyjnego. Jak twierdzi sam Steinberger, to „AI, które naprawdę robi rzeczy” – od logistyki podróży po zarządzanie skrzynką odbiorczą. Wcześniej pisaliśmy o Clawdbocie jako o realnym wyzwaniu dla największych gigantów AI.
Skąd ten szał? Wszystko sprowadza się do autonomii: bot nie czeka na instrukcje z zewnętrznego serwera (backendu), lecz działa proaktywnie. Niestety, ta swoboda to klasyczny miecz obosieczny – zwłaszcza gdy powierzasz mu hasła do swoich najważniejszych kont.
Błyskawiczny wzrost przyciąga oszustów niczym magnes
Viralowy szum wokół Moltbota stworzył idealne warunki dla wszelkiej maści naciągaczy. W sieci błyskawicznie wyrosły fałszywe repozytoria na GitHubie oraz perfidny scam z tokenem kryptowalutowym Clawdbot AI, który zdołał wyciągnąć od naiwnych inwestorów 16 milionów dolarów, zanim cały projekt spektakularnie upadł.
Otwarty kod źródłowy to teoretycznie zaleta ułatwiająca audyt, ale przy tak dynamicznych zmianach i tysiącach pobrań, naśladowcy mają ułatwione zadanie przy przemycaniu złośliwego oprogramowania (malware). Oficjalna dokumentacja Moltbota ostrzega: korzystaj wyłącznie z zaufanych źródeł. Ironia losu polega na tym, że ludzie w pogoni za darmowym i potężnym AI często zapominają o podstawach higieny cyfrowej, ryzykując pobranie konia trojańskiego.
Eksperci z serwisu Ars Technica zauważają, że tak ogromna popularność drastycznie zwiększa ryzyko ataków na łańcuch dostaw – wystarczy jedna dobrze przygotowana podróbka repozytorium, by Twój komputer stał się częścią botnetu.
Pełny dostęp do systemu – oddajesz klucze do swojego królestwa
Aby Moltbot mógł faktycznie wyręczać Cię w zadaniach, musisz nadać mu szerokie uprawnienia: od wykonywania poleceń w powłoce systemowej, przez odczyt i zapis plików, aż po uruchamianie skryptów. Przedstawiciele Cisco nazywają to wprost „absolutnym koszmarem bezpieczeństwa”, podkreślając, że żadna obecna konfiguracja nie gwarantuje pełnej ochrony.
Badacze z Cisco donoszą, że Moltbot miewał już incydenty z bezpośrednim wyciekiem kluczy API, będąc podatnym na ataki typu wstrzykiwanie poleceń (command injection) lub korzystając z niechronionych punktów końcowych. Integracja z komunikatorami tylko powiększa powierzchnię ataku: jedna złośliwa wiadomość może sprowokować bota do wykonania akcji, których nigdy byś nie autoryzował. Dokumentacja projektu szczerze przyznaje: idealnie bezpieczny setup obecnie nie istnieje.
Zastanów się dwa razy: dajesz małemu krabikowi uprawnienia administratora na maszynie pełnej Twoich prywatnych danych. Jeden błąd w konfiguracji i złośliwe oprogramowanie dostaje wolną rękę do działania.
Wyciekające poświadczenia – setki instancji wystawionych na strzał
Jamieson O’Reilly, badacz bezpieczeństwa z firmy Dvuln, przeprowadził skanowanie setek publicznie dostępnych instancji Moltbota i odkrył przerażającą prawdę: wiele z nich działało bez jakiejkolwiek autentykacji. W efekcie na światło dzienne wyszły klucze API Anthropic, tokeny botów Telegram, poświadczenia OAuth do Slacka, a nawet całe historie prywatnych rozmów.
Choć deweloperzy zareagowali szybko, wprowadzając nowe mechanizmy obronne, problem obnażył skalę ignorancji: użytkownicy masowo wystawiają Moltbota do sieci bez żadnych zabezpieczeń. Portal Bleeping Computer potwierdza te doniesienia, cytując innych badaczy – wrażliwe dane wiszą w internecie niczym darmowe prezenty dla hakerów.
To nie są teoretyczne rozważania: konkretne instancje były otwarte na oścież, zapraszając do kradzieży tożsamości. Jeśli decydujesz się na samodzielną konfigurację, lepiej trzy razy sprawdź ustawienia zapory sieciowej (firewall) i siłę swoich haseł.
Ataki przez wstrzykiwanie poleceń – gdy treść staje się trucizną
Wstrzykiwanie poleceń to obecnie największy ból głowy ekspertów od sztucznej inteligencji. Ukryte instrukcje w mailach, na stronach WWW czy w załącznikach mogą zmusić agenta AI do kradzieży danych lub wykonania operacji na rzecz atakującego. Rahul Sood, CEO Irreverent Labs, mówi bez ogródek: model bezpieczeństwa Moltbota po prostu „przeraża”.
Nawet jeśli to tylko Ty wydajesz botu polecenia, zagrożenie czai się w treściach, które on przetwarza: wynikach wyszukiwania, odwiedzanych witrynach czy logach systemowych. Twórcy Moltbota potwierdzają w dokumentacji: nadawca wiadomości to niejedyna droga ataku. Sood na platformie X ostrzegał, że oszuści z całego świata już szykują pułapki, by przejąć kontrolę nad Twoim cyfrowym życiem.
Specjaliści z firmy Snyk podkreślają: dostęp do powłoki systemowej w połączeniu z jednym skutecznym wstrzyknięciem to recepta na katastrofę. Możliwości mitygacji? Można ograniczać dostęp, ale pełna ochrona przed takimi atakami to wciąż sfera science fiction.
Złośliwe umiejętności – trojany wewnątrz ekosystemu
Popularność Moltbota błyskawicznie zrodziła rynek złośliwych rozszerzeń. Już 27 stycznia wykryto dodatek do VS Code o nazwie „ClawdBot Agent” – był to w rzeczywistości pełnoprawny trojan oferujący zdalny dostęp do szpiegowania i kradzieży plików. Choć Moltbot nie posiada oficjalnego rozszerzenia do VS Code, to zdarzenie jest zapowiedzią nadchodzącej plagi.
Jamieson O’Reilly, by udowodnić lukę w systemie, stworzył pozornie przydatną, ale wyposażoną w backdoor „umiejętność” (skill), która w ciągu kilku godzin została pobrana tysiące razy. Repozytoria muszą teraz prowadzić nieustanną walkę z malware ukrytym w pluginach. Vectra AI określa agentów takich jak Moltbot mianem „cieniowych superużytkowników” – to idealne narzędzia do przeprowadzania skomplikowanych ataków.
Zanim cokolwiek zainstalujesz, przeprowadź audyt każdego skryptu. Lista zagrożeń obejmuje:
- fałszywe integracje służące do wyłudzania danych,
- tylne furtki (backdoory) ukryte w popularnych wtyczkach,
- ataki na łańcuch dostaw realizowane za pośrednictwem GitHuba.
To dobitnie pokazuje, jak otwartość projektu staje się jego największą słabością.
Co dalej z Moltbotem – czy warto podejmować to ryzyko?
Moltbot to jedna z pierwszych iteracji agentów AI, którzy mają realnie wpleść się w naszą codzienność, ale eksperci z 1Password stawiają sprawę jasno: to narzędzie niesamowite, a zarazem przerażające. Cisco i inni specjaliści zalecają stosowanie izolacji w maszynach wirtualnych (VM), częstą rotację kluczy oraz nakładanie filtrów (guardrails) na wpisywane polecenia.
Peter Steinberger zbudował to narzędzie z myślą o bezpieczeństwie, jednak viralowy chaos bezlitośnie obnażył luki w projekcie. Firmy takie jak Netskope widzą w nim prototyp zagrożeń, z którymi wkrótce będą musiały mierzyć się korporacje. Ironia? Ludzie chętnie oddają klucze do swojego królestwa w zamian za odrobinę wygody.
Jeśli mimo wszystko chcesz spróbować, izoluj bota w kontenerze Docker, używaj bezpiecznych sejfów (vaultów) na sekrety i drastycznie ogranicz liczbę integracji. Pozostaje jednak pytanie: czy ta wygoda jest warta takiego ryzyka? Przyszłość autonomicznych agentów wymaga znacznie solidniejszych fundamentów, zanim staną się oni powszechną normą.
Źródła: ZDNet (https://www.zdnet.com/article/moltbot-clawdbot-5-reasons-viral-ai-agent-security-nightmare/), Ars Technica (https://arstechnica.com/ai/2026/01/viral-ai-assistant-moltbot-rapidly-gains-popularity-but-poses-security-risks), Cisco Blogs (https://blogs.cisco.com/ai/personal-ai-agents-like-openclaw-are-a-security-nightmare), BleepingComputer, Snyk, The Verge, Wired, GitHub Moltbot repo
