Popularność autonomicznych agentów AI szybko rośnie, ale wraz z nią pojawiają się poważne zagrożenia. Badacze ostrzegają, że narzędzia takie jak Moltbot (Clawdbot), wdrażane bez odpowiednich zabezpieczeń, mogą stać się idealnym celem ataków i realnym zagrożeniem dla środowisk firmowych.
Moltbot – AI, które „naprawdę coś robi”
Moltbot, znany również jako Clawdbot, to otwartoźródłowy asystent AI działający lokalnie na urządzeniu użytkownika. Narzędzie integruje się z pocztą e-mail, komunikatorami, aplikacjami oraz systemem plików, oferując całodobową automatyzację zadań, reagowanie na zdarzenia i generowanie alertów.
Reklamowany jako „AI, które naprawdę coś robi”, Moltbot w krótkim czasie zdobył ogromną popularność. Według obserwacji badaczy, zainteresowanie tym narzędziem przełożyło się nawet na wzrost sprzedaży Mac Mini, które są często wybierane jako platforma do jego uruchamiania — mimo że bot może działać na wielu różnych konfiguracjach sprzętowych.
Gdzie zaczyna się problem
Eksperci ds. bezpieczeństwa podkreślają, że największym zagrożeniem nie jest sam Moltbot, lecz sposób jego wdrażania. W wielu przypadkach narzędzie jest wystawiane do internetu z błędnie skonfigurowanym reverse proxy, co prowadzi do udostępnienia wrażliwych interfejsów administracyjnych.
W efekcie atakujący mogą uzyskać nieuwierzytelniony dostęp do:
- kluczy API i tokenów OAuth,
- historii rozmów i danych przetwarzanych przez agenta,
- poświadczeń użytkowników,
- wykonywania poleceń z uprawnieniami roota (w skrajnych przypadkach).
Setki podatnych instancji w sieci
Pentester Jamieson O’Reilly zidentyfikował w internecie setki publicznie dostępnych instancji Moltbota, które były narażone na przejęcie. Część z nich umożliwiała nawet powiązanie kont Signal za pomocą kodów QR, co dawało atakującym pełny dostęp do komunikacji użytkownika.
Przypadki te pokazują, że klasyczny problem błędnej konfiguracji — znany z wielu wcześniejszych technologii — powraca także w świecie agentów AI.
Ataki na łańcuch dostaw
Dodatkowym zagrożeniem jest możliwość ataków na łańcuch dostaw oprogramowania. Badacz zademonstrował scenariusz, w którym do oficjalnego repozytorium MoltHub trafił złośliwy „Skill”. Pakiet został szybko pobrany przez niczego niepodejrzewających deweloperów, co potwierdza, jak łatwo takie mechanizmy mogą zostać wykorzystane do dystrybucji złośliwego kodu.
Wnioski dla organizacji
Rosnąca popularność autonomicznych agentów AI sprawia, że coraz częściej trafiają one także do środowisk firmowych — często bez pełnej analizy ryzyka. Badacze podkreślają, że organizacje powinny:
- traktować agentów AI jak systemy o wysokim poziomie uprzywilejowania,
- unikać wystawiania paneli administracyjnych do internetu,
- stosować silne mechanizmy uwierzytelniania i segmentację sieci,
- dokładnie weryfikować rozszerzenia i dodatki instalowane z repozytoriów.
Moltbot i podobne narzędzia pokazują ogromny potencjał agentów AI, ale jednocześnie uwidaczniają nową klasę zagrożeń, wynikających z połączenia automatyzacji, szerokich uprawnień i błędnych konfiguracji. Bez odpowiednich zabezpieczeń „AI, które naprawdę coś robi”, może równie skutecznie pracować… dla atakujących.
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
