Clawdbot, o agente de IA que pegou o mundo da tecnologia de surpresa, tornou-se um dos projetos de ascensão mais rápida no GitHub porque prometia algo incomum.
Em vez de apenas conversar, o Clawdbot pode interagir com seus arquivos, enviar mensagens, agendar eventos de calendário e automatizar tarefas em seu próprio computador, tudo sem enviar seus dados para um grande servidor.
Sua capacidade de agir em nome dos usuários faz com que ele pareça um ajudante pessoal de IA. Isso contribuiu para sua popularidade e ajudou a se espalhar rapidamente entre desenvolvedores e usuários curiosos.
O projeto foi recentemente renomeado de Clawdbot para Moltbot depois que a Anthropic se opôs ao nome unique, citando possíveis conflitos de marca registrada. O desenvolvedor concordou com a mudança para evitar problemas legais, embora o software program em si permanecesse inalterado.
O que as verificações de segurança revelaram sobre o Clawdbot (Moltbot)
Os mesmos recursos que fizeram o Moltbot parecer poderoso também são o que o torna arriscado. Uma vez que a IA pode aceder ao seu sistema operativo, ficheiros, dados do navegador e serviços conectados, os investigadores alertam que esta cria uma ampla superfície de ataque que os malfeitores podem explorar.
Pesquisadores de segurança, na verdade encontrou centenas de painéis de controle administrativo do Moltbot expostos na Web pública porque os usuários implantaram o software program por trás de proxies reversos sem autenticação adequada.
Como esses painéis controlam o agente de IA, os invasores podem navegar pelos dados de configuração, recuperar chaves de API e até mesmo visualizar históricos completos de conversas de bate-papos e arquivos privados.
Em alguns casos, o acesso a essas interfaces de controle significava que pessoas de fora detinham essencialmente a chave mestra dos ambientes digitais dos usuários. Isso dá aos invasores a capacidade de enviar mensagens, executar ferramentas e executar comandos em plataformas como Telegram, Slack e Discord como se fossem os proprietários.
Outras investigações reveladas que a Moltbot AI frequentemente armazena dados confidenciais, como tokens e credenciais em texto simples, tornando-os alvos fáceis para ladrões de informações comuns e malware de coleta de credenciais.
Os pesquisadores também demonstraram ataques de prova de conceito em que explorações da cadeia de suprimentos permitiram que “habilidades” maliciosas fossem carregadas na biblioteca do Moltbot, permitindo a execução remota de comandos em sistemas downstream controlados por usuários desavisados.
Isto não é apenas teoria. De acordo com O Registroanalistas alertam que uma instância insegura do Moltbot exposta à Web pode atuar como um backdoor remoto.
Há também a possibilidade de vulnerabilidades de injeção imediata, em que os invasores enganam o bot para que execute comandos prejudiciais; algo que já vimos no navegador AI da OpenAI, Atlas.
Se o Moltbot não estiver protegido adequadamente com proteções tradicionais, como sandbox, isolamento de firewall ou acesso de administrador autenticado, os invasores poderão obter acesso a informações confidenciais ou até mesmo controlar partes do seu sistema.
Como o Moltbot pode automatizar ações do mundo actual, um sistema comprometido pode ser usado para espalhar malware ou infiltrar-se ainda mais nas redes. Aqui está o que Heather Adkins, vice-presidente da equipe de segurança do Google, pensa sobre o chatbot:
Resumindo, o Moltbot é um passo intrigante em direção a assistentes pessoais de IA mais capazes, mas seus profundos privilégios de sistema e amplo acesso significam que você deve pensar duas vezes e compreender os riscos antes de instalá-lo em sua máquina.
Os pesquisadores sugerem tratá-lo com o mesmo cuidado que você teria com qualquer software program que possa tocar em partes críticas do seu sistema.
