はじめに:Moltbot AIアシスタントのデータセキュリティリスク
セキュリティ研究者らは、企業環境におけるMoltbot (旧Clawdbot) AIアシスタントの**不適切なデプロイメント**が、**APIキー、OAuthトークン、会話履歴、および認証情報**の漏洩につながる可能性があると警告しています。Moltbotは、システム統合が深く、ユーザーのアプリケーションやファイルシステムに直接連携できるオープンソースの個人AIアシスタントであり、その機能性とセットアップの容易さから急速に普及しました。
Moltbotとは:急成長するローカルAIアシスタント
MoltbotはPeter Steinberger氏によって開発され、クラウドベースのチャットボットとは異なり、ローカルデバイスで24時間稼働し、**永続的なメモリ**を保持できます。また、プロアクティブにユーザーにアラートやリマインダーを送信し、スケジュールされたタスクを実行するなどの機能も持ち合わせています。この能力と容易なセットアップにより、Moltbotは瞬く間に広まり、ユーザーが専用のホストマシンを求めることでMac Miniの売上を押し上げるほどの影響を与えました。
「Control」インターフェースの公開と認証なしアクセス
しかし、複数のセキュリティ研究者は、Moltbotの不注意なデプロイメントが深刻なデータ漏洩を引き起こす可能性があると警告しています。ペンテスターのJamieson O’Reilly氏は、リバースプロキシの**誤設定**により、数百ものClawdbot Control管理インターフェースがオンラインで**公開されている**ことを明らかにしました。Moltbotは「ローカル」接続を自動承認するため、リバースプロキシの背後にある多くのインスタンスは、すべてのインターネットトラフィックを信頼されたものとして扱ってしまいます。これにより、多くの公開されたインスタンスが**認証なしでのアクセス**を許し、**資格情報の窃取、会話履歴へのアクセス、コマンド実行、およびルートレベルのシステムアクセス**を可能にしているとのことです。O’Reilly氏は、あるケースで公開されたサーバー上でSignalアカウントが設定され、**完全に読み取り可能な状態**であったことを報告しています。
サプライチェーン攻撃の実証
O’Reilly氏はさらに、Moltbotユーザーに対する**サプライチェーン攻撃**も実証しました。彼は「ping」ペイロードを含むスキルを公式のMoltHub (旧ClawdHub) レジストリに公開し、そのダウンロード数を**人為的に増加**させることで、最も人気のあるアセットにしました。わずか8時間以内に、7カ国で16人の開発者がこの人工的に宣伝されたスキルをダウンロードしたことが確認されています。
企業環境におけるMoltbotのセキュリティリスク
Moltbotは消費者向けにより適しているかもしれませんが、Token Security社は、同社の企業顧客の**22%**がIT部門の承認なしにMoltbotを**積極的に使用している**と主張しています。同社は、以下のようなリスクを特定しています:
- 公開されたゲートウェイとAPI/OAuthトークン
~/.clawdbot/の下にプレーンテキストで保存される資格情報- AIを介した企業データ漏洩
- 拡張されたプロンプトインジェクション攻撃表面
特に懸念されるのは、AIアシスタントに**デフォルトでサンドボックスがない**ことです。これは、エージェントがユーザーと**同じ完全なデータアクセス権**を持つことを意味します。
専門家からの警告とマルウェアの脅威
Arkose LabsのKevin Gosschalk氏、1Password、Intruder、Hudson Rockといった他のセキュリティ企業もMoltbotに関する**同様の警告**を発しています。Intruderは、一部の攻撃が、公開されたMoltbotエンドポイントを標的として**資格情報の窃取**や**プロンプトインジェクション**を行っていることを示唆しています。Hudson Rockは、RedLine、Lumma、Vidarなどの情報窃取マルウェアが、Moltbotのローカルストレージを標的として**機密データやアカウント認証情報を盗む**ように適応するだろうと警告しています。また、Clawdbotを装った**悪意のあるVSCode拡張機能**が、開発者のマシンにScreenConnect RATをインストールした事例もAikidoの研究者によって発見されています。
安全なMoltbotデプロイのための推奨事項
Moltbotを安全にデプロイするには、知識と注意が必要です。重要なのは、AIインスタンスを**仮想マシン内に隔離**し、インターネットアクセスに**ファイアウォールルールを設定する**ことです。ホストOSにルートアクセス権限で直接実行するのではなく、これらの対策を講じることが強く推奨されます。