A személyes AI asszisztensek sötét oldala: miért lehet biztonsági rémálom a Moltbot

Az elmúlt hetekben villámgyorsan vált ismertté egy nyílt forráskódú, saját gépen futtatható személyes AI asszisztens, amely eredetileg Clawdbot néven indult, ma pedig már Moltbotként terjed a neten. A koncepció első ránézésre álomszerű: egy lokálisan futó mesterséges intelligencia, amely WhatsAppon vagy iMessage-en keresztül kommunikál, repülőjegyet foglal, vacsorát szervez, kezeli a naptárat és az e-maileket, sőt akár automatizmusokat és szkripteket is futtat a felhasználó nevében.

Technológiai szempontból ez pontosan az, amit a személyes AI asszisztensek fejlesztői évek óta próbálnak elérni.

Biztonsági oldalról viszont – a szakértők szerint – ez konkrétan rémálom.

Egy AI, ami mindent lát és mindent csinálhat

A Moltbot nem egyszerű chatbot. Tartós memóriával rendelkezik, vagyis megjegyzi a korábbi beszélgetéseket, beállításokat és szokásokat. Emellett képes fájlokat olvasni és írni, parancsokat futtatni a rendszereden, böngészőt vezérelni, időzített automatizmusokat kezelni, és külső „skillekkel” tovább bővíthető.

Ezek a képességek együtt egy rendkívül erős – de egyben veszélyes – kombinációt alkotnak.

A biztonsági kutatók szerint már most több komoly probléma is felszínre került:

A Moltbot képes shell parancsokat futtatni és szkripteket végrehajtani a felhasználó gépén. Ha valaki rosszindulatú „skill”-t telepít, az AI gyakorlatilag teljes hozzáférést kap a rendszerhez.

Jelentések szerint a bot már kiszivárogtatott nyílt szövegként tárolt API kulcsokat és hitelesítő adatokat, amelyeket támadók prompt injection technikákkal vagy nem megfelelően védett végpontokon keresztül megszerezhetnek.

A WhatsApp és iMessage integráció tovább növeli a támadási felületet: egy ügyesen megfogalmazott üzenet is elég lehet ahhoz, hogy a rendszer nem kívánt műveleteket hajtson végre.

A dokumentáció maga is elismeri: nincs „tökéletesen biztonságos” beállítás. Egy olyan AI, amely korlátlan hozzáférést kap a felhasználó adataihoz – még lokálisan is –, komoly kockázatot jelent.

Cisco belép a képbe: így bukott el a Moltbot

A helyzet súlyosságát jól mutatja, hogy a Cisco AI Threat and Security Research csapata saját eszközt fejlesztett az ilyen „skillek” vizsgálatára. Az új, nyílt forráskódú Skill Scanner képes átnézni az Anthropic Claude és az OpenAI Codex környezetében használt képességfájlokat, és kiszűrni a gyanús vagy rosszindulatú viselkedést.

A kutatók egy „What Would Elon Do?” nevű harmadik féltől származó skillt futtattak le Moltboton – és az eredmény elég egyértelmű lett.

Kilenc különböző biztonsági problémát találtak, köztük kettőt kritikus, ötöt pedig magas súlyosságú kategóriában.

A legdurvább felfedezés az volt, hogy a skill konkrétan adatokat szivárogtatott ki egy külső szerverre egy rejtett curl parancson keresztül – mindezt a felhasználó tudta nélkül. Ráadásul a kód közvetlen prompt injectiont is tartalmazott, amely arra utasította az AI-t, hogy hagyja figyelmen kívül saját biztonsági szabályait, és hajtsa végre a parancsot.

A további problémák között szerepelt parancsbefecskendezés, rosszindulatú payloadok és eszközmérgezés is.

Magyarul: ez a „skill” gyakorlatilag malware volt.

Miért kellene ezzel a cégeknek is foglalkozniuk?

Jogosan merül fel a kérdés: ha ez egy személyes AI asszisztens, mi köze van ehhez a vállalati világnak?

A válasz egyszerű: nagyon is van.

Az ilyen AI ügynökök észrevétlen adatcsatornává válhatnak, megkerülve a hagyományos adatvédelmi és végpontvédelmi rendszereket. A prompt maga válhat végrehajtható utasítássá, amit a klasszikus biztonsági eszközök nehezen tudnak észlelni.

Ráadásul a rosszindulatú skillek mesterségesen felpumpálhatók a ranglistákon – a vizsgált „What Would Elon Do?” például a #1 helyig jutott –, így a felhasználók könnyen megbízható eszköznek hihetik.

És mivel ezek a skillek helyi fájlcsomagként települnek, nem távoli szervereken futnak, a legveszélyesebb viselkedés akár teljesen észrevétlen maradhat.

Ez az úgynevezett „shadow AI” jelenséghez vezet: alkalmazottak jó szándékkal, produktivitási eszközként visznek be magas kockázatú AI megoldásokat a munkahelyi környezetbe.

Skill Scanner: nyílt forráskódú védelem

A Cisco válasza erre a problémára a Skill Scanner, amely statikus és viselkedéselemzést, LLM-alapú szemantikai vizsgálatot, VirusTotal ellenőrzést és saját AI Defense workflow-kat kombinál. Az eszköz konkrét fájlhelyeket, példákat, súlyossági szinteket és javaslatokat ad, hogy egy csapat eldönthesse: elfogadja, javítja vagy elutasítja az adott skillt.

A projekt nyílt forráskódú, és elérhető GitHubon.

Összegzés: az AI asszisztensek kora veszélyekkel indul

A Moltbot megmutatta, milyen közel vagyunk ahhoz, hogy valódi, mindent intéző személyes AI ügynökeink legyenek. De azt is, hogy megfelelő biztonsági keretek nélkül ezek az eszközök pillanatok alatt digitális trójai falóvá válhatnak.

A technológia lenyűgöző – a kockázat pedig nagyon is valós.

Forrás: Cisco