Moltbot (以前は Clawdbot として知られていました) は、私がここしばらく見た中で最もバイラルな AI 製品です。パーソナル AI アシスタントはローカルで実行され、WhatsApp や iMessage などのチャット アプリ経由で接続します。 Moltbot にデバイス全体へのアクセスを許可すると、Moltbot はそのデバイス上で何かを行うことができます。これは、エージェント AI の先駆者を興奮させる類のものですが、私のようなプライバシーとセキュリティの愛好家にとっては心配です。
そして実際、私は個人のマシンに Moltbot をインストールするリスクについて大きな懸念を抱いています。エージェント AI はプロンプトに基づいて自律的にタスクを実行するため、悪意のある攻撃者は、それらのボットに独自の悪意のあるプロンプトを密かに供給することで状況を利用する可能性があります。これはプロンプト インジェクションと呼ばれ、AI ブラウザーや Moltbot のような AI アシスタントなど、あらゆる種類のエージェント AI システムに影響を与える可能性があります。
しかし、Moltbot ユーザーにとって問題となるのはプロンプト インジェクションだけではありません。
The Hacker News が発見したように、Moltbot にはすでに「Clawdbot Agent - AIcoding Assistant」(「clawdbot.clawdbot-agent」)と呼ばれる最初の悪意のある拡張機能が存在します。これはボットの名前が変更される前に開発されていたようです。この拡張機能は、Microsoft のオープンソース AI コード エディターである Visual Studio Code 用に設計されています。さらに悪いことに、それは Microsoft の公式 Extension Marketplace でホストされていたため、Visual Studio Code 拡張機能を探している Moltbot ユーザーに正当性を与えたことは間違いありません。
この拡張機能は、無料の AI コーディング アシスタントとして宣伝されていました。これをインストールすると、一連のコマンドが実行され、最終的にデバイス上でリモート デスクトップ プログラム (The Hacker News によると「ConnectWise ScreenConnect」) が実行されます。次に、悪意のある攻撃者がデバイスにリモート アクセスできるようにするリンクに接続します。この拡張機能をインストールするだけで、実質的にどこにいてもコンピューターを乗っ取るツールをハッカーに与えることになります。
幸いなことに、マイクロソフトはすでに行動を起こしています。この拡張機能は火曜日の時点でマーケットプレイスで入手できなくなりました。 Moltbot には公式の Visual Studio Code 拡張機能がないため、目に入るものは良くても違法、最悪の場合は悪意のあるものであると想定してください。拡張機能をインストールした場合、研究者はマルウェアを削除し、デバイス上でのプロセスの実行をブロックするための詳細な手順を提供しています。もちろん、最初に行うことは、Visual Studio Code から拡張機能をすぐにアンインストールすることです。
Hacker News は続けて、インターネット上で簡単に入手できる数百もの未認証の Moltbot インスタンスを発見したセキュリティ研究者ジェイミソン・オライリー氏の調査結果を紹介します。これらのインスタンスは、Moltbot ユーザーの構成データ、API キー、OAuth 資格情報、さらにはチャット履歴を明らかにします。
悪意のある攻撃者は、これらのインスタンスをプロンプト インジェクションに使用する可能性があります。Moltbot ユーザーになりすまして、そのユーザーの Moltbot AI アシスタントに独自のプロンプトを発行したり、既存のプロンプトと応答を操作したりする可能性があります。また、悪意のある「スキル」、つまりコンテキストや知識の特定のコレクションを MoltHub にアップロードし、それらを使用してユーザーを攻撃し、データを盗む可能性もあります。
The Hacker News のインタビューで、セキュリティ研究者のベンジャミン・マー氏は、核心的な問題は、Moltbot が「デフォルトで安全」な設定よりも「導入の容易さ」をどのように設計されているかであると説明しています。 Moltbot を使用すると、ボットがセキュリティ リスクについて警告することなく、機密プログラムをインストールできます。ファイアウォール、資格情報の検証、サンドボックスを組み合わせる必要がありますが、これらがなければ、ユーザーはより大きなリスクにさらされます。
これに対抗するために、The Hacker News は、デフォルトのセキュリティ構成で実行しているすべての Moltbot ユーザーが次の手順を実行することを推奨しています。
接続されているサービス統合を削除します
公開された認証情報を確認する
ネットワーク制御をセットアップする
攻撃の兆候を探します
あるいは、私と同じことをして、Moltbot を完全に避けることもできます。