Moltbot (tidigare Clawdbot) har tagit teknikvärlden med storm. En AI-assistent som hanterar din kalender, skickar mejl, checkar in dig på flyg – allt via WhatsApp eller Telegram. Under några dagar så är det många som lekt hej vilt ofta i isolerade miljöer på Apple – vad kan gå fel?
AI agenten bor i din hårdvara och den kommer ihåg allt du gör. En säkerhetsforskare har hittat hundratals installationer som ligger vidöppna på nätet. Här förklarar vi riskerna och hur du skyddar dig.
Vad är Moltbot?
Moltbot är en open source-baserad personlig AI-assistent som körs på din egen maskin – Mac, Windows eller Linux. Till skillnad från molnbaserade assistenter som Siri eller Google Assistant har Moltbot full tillgång till din dator och kan utföra verkliga uppgifter: läsa och skriva filer, köra kommandon, surfa på webben och integrera med dussintals tjänster som Gmail, Slack, Discord och Signal. Han som skapat programmet kallar AI:n för ”Molty, a space lobster AI with a soul”. Därav också namnet ”Moltbot” (humrar byter skal = ”molt”).
Konceptet är lockande: en AI-agent som verkligen gör saker åt dig, inte bara ger förslag. Du pratar med den via din favoritchatt-app och den agerar som en digital medarbetare med fullständig tillgång till dina system. Den har kopplingar till ett 50-tal integrationer. För att den ska fungera behöver du ge bort dina nycklar till API:er, fil system, mail…
Problemet: Hundratals exponerade installationer
En säkerhetsforskare genomförde nyligen en undersökning av hur Moltbot faktiskt driftsätts i verkligheten. Resultatet var alarmerande. Genom att söka efter Moltbots unika fingeravtryck i HTTP-svar hittade forskaren hundratals instanser av Moltbot med administrationsgränssnittet exponerade direkt mot internet.
Moltbot har två huvudkomponenter: själva gateway-tjänsten som hanterar AI-logiken, och Moltbot Control som är webbgränssnittet där du konfigurerar integrationer, ser konversationshistorik och hanterar API-nycklar. Att ha Control exponerat mot internet är som att lämna dörrarna vidöppna till hela ditt digitala liv!
Vad kan en angripare göra?
Med tillgång till en exponerad Moltbot Control-installation kan en angripare göra betydande skador. Vad händer om du skriver privata saker eller lämnar ut dina uppgifter kring hälsodata.
Läsåtkomst ger tillgång till hela konfigurationen inklusive API-nycklar för Anthropic, OpenAI eller andra AI-tjänster, bot-tokens för Telegram och Discord, OAuth-hemligheter för Slack, samt komplett konversationshistorik – potentiellt månaders privata meddelanden och bifogade filer.
Men det stannar inte där. Eftersom Moltbot-agenter har förmågan att agera – skicka meddelanden, köra kommandon, kontrollera system – ärver angriparen alla dessa kapaciteter. Det blir möjligt att utge sig för att vara ägaren gentemot kontakter, injicera meddelanden i pågående konversationer och exfiltrera data genom agentens befintliga integrationer på ett sätt som ser ut som normal trafik. I princip kan du bygga en digital tvilling om du har tillgång till bilder och röst på personen.
I värsta fall, som säkerhetsforskaren dokumenterade, hittades installationer med kommandoexekvering aktiverad där containern körde som root – fullständig systemåtkomst utan autentisering, tillgänglig för vem som helst på internet.
Tekniska utmaningar
Moltbot har faktiskt robust autentisering med kryptografisk enhetsidentitet och challenge-response-protokoll. Problemet ligger i standardkonfigurationen: localhost-anslutningar auto-godkänns utan autentisering. Detta är vettigt för lokal utveckling, men blir problematiskt när installationen ligger bakom en reverse proxy som nginx eller Caddy på samma maskin.
När reverse proxyn vidarebefordrar trafik ser alla anslutningar ut att komma från ip-adressen 127.0.0.1. Systemet tolkar då varje anslutning som lokal och godkänner den automatiskt – även om den egentligen kommer från en okänd part på internet.
Så här kan du säkra din installation av Moltbot
Om du kör eller planerar att köra Moltbot finns det flera viktiga säkerhetsåtgärder du bör vidta. Kör Moltbot på ett isolerat nätverk eller bakom en VPN. Control-gränssnittet ska aldrig vara åtkomligt från internet. Om du måste fjärransluta, använd SSH-tunnel eller VPN – aldrig direkt exponering.
Se också till att aktivera explicit autentisering även för localhost om du kör bakom reverse proxy. Kontrollera att din installation inte syns på tjänster som Shodan eller Censys genom att söka efter Moltbots fingeravtryck. Granska regelbundet vilka integrationer och API-nycklar som är konfigurerade. Begränsa systemrättigheter – kör aldrig containern som root om det inte är absolut nödvändigt.
En bra tumregel: behandla din Moltbot-installation som du skulle behandla en dator med alla dina lösenord sparade och fjärrstyrning aktiverad – för det är i princip exakt vad det är.
Slutord
Moltbot representerar en spännande framtid där AI-assistenter verkligen kan agera i vår digitala värld. Men med ökad kapacitet följer ökad risk. Samma funktioner som gör Moltbot så användbar – djup integration med kommunikationsplattformar, filsystemåtkomst, kommandoexekvering – blir katastrofala om de hamnar i fel händer.
Ironiskt nog visade säkerhetsforskaren detta genom att be en exponerad Moltbot-instans om hjälp med att rapportera säkerhetsproblemet. Agenten, som hade root-åtkomst till systemet, svarade att den inte kunde hjälpa till och inte visste vem som skulle kontaktas. En AI med full kontroll över maskinen – men oförmögen att skydda sig själv.
Det är en påminnelse om att oavsett hur intelligent vår programvara blir, förblir säkerhet ett mänskligt ansvar.
Källor:
https://x.com/theonejvo/status/2015401219746128322
