Ein neuer KI-Assistent namens Moltbot sorgt in Entwicklerkreisen für Aufsehen. Er verspricht, alltägliche Aufgaben wie E-Mail-Verwaltung und Terminbuchungen zu automatisieren. Doch während die Beliebtheit des Open-Source-Tools wächst, warnen Cybersicherheitsexperten eindringlich vor erheblichen Sicherheitsrisiken, die von ungeschützten Nutzerdaten bis hin zu potenziellen Einfallstoren für Hacker reichen.
Wichtige Erkenntnisse
- Moltbot ist ein "agentischer" KI-Assistent, der Aufgaben autonom ausführen kann, aber dafür weitreichenden Zugriff auf persönliche Konten benötigt.
- Sicherheitsforscher haben hunderte ungeschützte Moltbot-Instanzen im Internet gefunden, die private Daten gefährden.
- Das System speichert sensible Informationen wie Passwörter und API-Schlüssel teilweise unverschlüsselt auf dem lokalen Computer.
- Experten warnen, dass die Architektur von Moltbot grundlegende Sicherheitspraktiken untergräbt und ein hohes Risiko für die Nutzer darstellt.
Was ist Moltbot?
Moltbot, ursprünglich unter dem Namen Clawdbot bekannt, ist mehr als nur ein weiterer Chatbot. Es handelt sich um einen sogenannten agentischen KI-Assistenten. Nutzer können ihm über Messaging-Dienste wie WhatsApp oder Telegram Anweisungen geben. Im Gegensatz zu herkömmlichen Chatbots kann Moltbot jedoch selbstständig handeln.
Zu seinen Fähigkeiten gehören das Beantworten von E-Mails, die Verwaltung von Kalendern, das Filtern von Anrufen oder das Buchen von Restaurantreservierungen. All dies soll mit minimaler Interaktion des Nutzers geschehen. Um diese Aufgaben zu erfüllen, benötigt die Software jedoch umfassenden Zugriff auf persönliche Konten, E-Mail-Postfächer, Kalender und potenziell sogar Bankdaten.
Von Clawdbot zu Moltbot
Die Umbenennung von Clawdbot in Moltbot erfolgte nach markenrechtlichen Bedenken, die vom KI-Unternehmen Anthropic geäußert wurden. Trotz des neuen Namens bleiben die grundlegende Funktionalität und die damit verbundenen Sicherheitsbedenken unverändert.
Hunderte ungeschützte Systeme im Netz entdeckt
Die Bequemlichkeit von Moltbot hat einen hohen Preis. Eines der größten Probleme ist die fehlerhafte Konfiguration durch die Nutzer. Jamieson O'Reilly, Gründer des Sicherheitsunternehmens Dvuln, war einer der ersten, der Alarm schlug. Er fand bei Scans des Internets Hunderte von Moltbot-Instanzen, die öffentlich zugänglich waren.
Diese ungeschützten Systeme könnten Angreifern den Zugriff auf Monate privater Nachrichten, Kontozugangsdaten, API-Schlüssel und andere sensible Informationen ermöglichen. O'Reilly erklärte, dass er bei einer manuellen Überprüfung acht Instanzen fand, die komplett ohne Authentifizierung offen standen. Dies hätte es jedem ermöglicht, Befehle auszuführen und Konfigurationsdaten einzusehen.
"Von den Instanzen, die ich manuell untersucht habe, waren acht ohne jegliche Authentifizierung offen und ermöglichten den vollen Zugriff, um Befehle auszuführen und Konfigurationsdaten einzusehen", so O'Reilly.
Obwohl ein von ihm gemeldetes Problem, das auf Fehlkonfigurationen von Proxys beruhte, inzwischen behoben wurde, bleibt die Gefahr durch unsachgemäße Einrichtung durch die Nutzer bestehen.
Die Gefahr aus der Lieferkette
Ein weiteres kritisches Risiko liegt in der sogenannten "ClawdHub", einer Bibliothek für Erweiterungen oder "Skills" für Moltbot. O'Reilly demonstrierte in einem Proof-of-Concept, wie einfach diese Plattform für Angriffe auf die Lieferkette missbraucht werden könnte.
Er lud eine harmlose, aber manipulierte Erweiterung hoch und konnte deren Download-Zahl künstlich auf über 4.000 erhöhen. Entwickler aus sieben Ländern luden das Paket herunter. Hätte es sich um eine schädliche Software gehandelt, hätte O'Reilly Befehle auf deren Moltbot-Instanzen ausführen können.
Keine Moderation
In den Entwicklerhinweisen von ClawdHub wird ausdrücklich darauf hingewiesen, dass jeglicher Code aus der Bibliothek als vertrauenswürdig behandelt wird. Es gibt derzeit keinen Überprüfungsprozess, was bedeutet, dass die Verantwortung zur Prüfung des Codes allein bei den Nutzern liegt.
"In den Händen von jemandem mit weniger Skrupeln wären die SSH-Schlüssel, AWS-Zugangsdaten und gesamten Codebasen dieser Entwickler abgezogen worden, bevor sie überhaupt etwas bemerkt hätten", erklärte O'Reilly die potenziellen Folgen.
Passwörter im Klartext: Eine Einladung für Schadsoftware
Selbst bei korrekter Konfiguration bestehen erhebliche Risiken. Das Sicherheitsteam von Hudson Rock analysierte den Code von Moltbot und stellte fest, dass einige der sensibelsten Daten, die Nutzer dem Assistenten anvertrauen, in unverschlüsselten Textdateien (Markdown und JSON) auf dem lokalen Computer gespeichert werden.
Diese Praxis macht das System zu einem leichten Ziel für sogenannte Infostealer-Malware. Wenn der Computer, auf dem Moltbot läuft – viele Nutzer kaufen dafür extra Mac Minis –, mit Schadsoftware wie Redline, Lumma oder Vidar infiziert wird, können Angreifer diese ungeschützten Dateien auslesen und die darin enthaltenen Zugangsdaten stehlen.
Hudson Rock warnt, dass Cyberkriminelle bereits damit beginnen, ihre Malware so anzupassen, dass sie gezielt solche lokalen Verzeichnisstrukturen, wie sie von Moltbot verwendet werden, durchsuchen.
Ein grundlegendes Designproblem
Experten sind sich einig, dass Moltbot ein tieferliegendes Problem der neuen Generation von KI-Agenten aufzeigt. Diese Systeme sind darauf ausgelegt, Barrieren zu durchbrechen, die in den letzten 20 Jahren zur Sicherung von Betriebssystemen errichtet wurden.
Eric Schwake, Director of Cybersecurity Strategy bei Salt Security, fasst das Dilemma zusammen: "Während die Installation einer typischen Mac-App ähneln mag, erfordert die richtige Konfiguration ein tiefes Verständnis der API-Sicherheits-Governance, um die Offenlegung von Anmeldeinformationen zu verhindern."
Jamieson O'Reilly geht noch weiter:
"KI-Agenten reißen all das per Design nieder. Sie müssen Ihre Dateien lesen, auf Ihre Anmeldeinformationen zugreifen, Befehle ausführen und mit externen Diensten interagieren. Ihr Wertversprechen erfordert es, Löcher in jede Grenze zu schlagen, die wir über Jahrzehnte aufgebaut haben."
Führende Sicherheitsexperten wie Heather Adkins von Google Cloud raten Nutzern schlichtweg davon ab, Moltbot zu installieren. Die Risiken, die mit der Übergabe der "Schlüssel zum eigenen digitalen Königreich" an einen potenziell unsicheren Agenten verbunden sind, scheinen den Nutzen derzeit bei weitem zu übersteigen.
