2026年1月AI圈最火的名字，非Clawdbot莫屬（后由于Anthropic商標(biāo)侵權(quán)，更名為Moltbot）。在GitHub上，它幾天內(nèi)狂攬了94.8K星標(biāo)，被網(wǎng)友稱為“現(xiàn)實(shí)版賈維斯”——不用打開復(fù)雜軟件，只需在Telegram、WhatsApp等聊天工具里發(fā)一條指令，它就能幫你訂機(jī)票、寫代碼、整理郵件，甚至接管電腦系統(tǒng)，自動(dòng)完成一系列繁瑣任務(wù)。有人靠它搞定復(fù)雜的工作流程，有人用它實(shí)現(xiàn)了“動(dòng)動(dòng)嘴就操控電腦”的夢想，一時(shí)間，Moltbot成為無數(shù)人追捧的“效率神器”。

目前阿里云、騰訊云都已跟進(jìn)Moltbot部署，并全面適配企業(yè)微信、QQ、釘釘、飛書等國內(nèi)主流 IM App。用戶通過阿里云、騰訊云的輕量應(yīng)用服務(wù)器或阿里的無影云電腦就可快速啟用Moltbot。

但就在大家爭相跟風(fēng)部署、沉迷于它的便捷時(shí)，一場悄無聲息的“安全災(zāi)難”正在蔓延。安全研究員通過Shodan（互聯(lián)網(wǎng)設(shè)備搜索引擎）掃描發(fā)現(xiàn)，公網(wǎng)上有近千個(gè)Clawdbot/Moltbot控制臺(tái)暴露在外，無需任何認(rèn)證就能隨意訪問，用戶的聊天記錄、API密鑰、甚至Signal加密通訊賬號(hào)，都在赤裸裸地暴露在黑客面前。

爆紅與暴雷僅一步之遙，今天安全牛就好好聊一聊：這個(gè)被吹上天的AI助手，到底藏著多少致命隱患？普通用戶又該如何避坑？

先搞懂：Clawdbot到底是什么？

不同于ChatGPT這類“只給建議不行動(dòng)”的AI聊天工具，Moltbot是一款本地部署的開源AI執(zhí)行助手，核心優(yōu)勢就是“能聽指令、會(huì)做實(shí)事”，相當(dāng)于一個(gè)住在你電腦里的“私人管家”。

它的核心特點(diǎn)的可以總結(jié)為3點(diǎn)，也是它能快速爆紅的關(guān)鍵：

• 入口極便捷：無需打開專門APP，通過日常使用的聊天軟件就能發(fā)送指令，比如在Telegram里發(fā)一句“整理最近一周的郵件”，它就能自動(dòng)執(zhí)行，門檻極低；

• 權(quán)限極高：為了完成各類復(fù)雜任務(wù)，它需要獲取電腦的系統(tǒng)級權(quán)限——能讀寫本地文件、執(zhí)行Shell命令、調(diào)度系統(tǒng)任務(wù)，甚至訪問你保存的各類賬號(hào)信息；

• 私有化存儲(chǔ)：所有對話記錄、操作日志、用戶偏好都存在本地硬盤，不用上傳到云端，這也讓很多注重隱私的用戶誤以為它“很安全”；

簡單來說，Moltbot的突破，就是把大模型的“思考能力”和電腦的“執(zhí)行能力”結(jié)合起來，讓AI從“聊天器”變成了“執(zhí)行者”。但恰恰是這種“高權(quán)限+便捷性”的組合，埋下了致命的安全隱患。

警惕！Moltbot引發(fā)的4大實(shí)際安全風(fēng)險(xiǎn)，已有多人中招

目前，Moltbot的安全風(fēng)險(xiǎn)已經(jīng)不是“理論隱患”，而是實(shí)實(shí)在在發(fā)生的攻擊案例。安全研究員發(fā)現(xiàn)，僅通過Shodan搜索關(guān)鍵詞“clawdbot control”或端口18789，就能找到上千個(gè)暴露在公網(wǎng)的端點(diǎn)，黑客只需點(diǎn)幾下鼠標(biāo)，就能輕松竊取信息、操控設(shè)備。

這些風(fēng)險(xiǎn)主要集中在4個(gè)方面，每一個(gè)都足以讓你“丟家底”：

風(fēng)險(xiǎn)1：隱私全盤泄露，無任何遮擋

一旦Moltbot控制臺(tái)暴露在公網(wǎng)，黑客進(jìn)入后就能直接查看你所有的聊天記錄、聯(lián)系人列表、文件傳輸記錄——如果你的對話里有密碼、銀行卡信息、內(nèi)部工作資料，都會(huì)被一覽無余。

更可怕的是，它集成Signal等加密通訊軟件時(shí)，會(huì)在本地存儲(chǔ)賬號(hào)私鑰和Session數(shù)據(jù)，黑客下載這些文件后，就能直接“克隆”你的Signal賬號(hào)，接收所有加密消息，相當(dāng)于Signal辛苦搭建的端到端加密，瞬間變成擺設(shè)。

風(fēng)險(xiǎn)2：API密鑰被竊取，錢包、賬號(hào)雙受損

使用Moltbot時(shí)，很多人會(huì)綁定Claude、OpenAI、Telegram等平臺(tái)的API密鑰，而這些密鑰會(huì)以明文形式顯示在控制臺(tái)的配置頁面里。

黑客拿到這些密鑰后，一方面可以隨意調(diào)用你的API配額——瘋狂消耗你的費(fèi)用，有人一夜之間就被耗光了上千美元的額度；另一方面，還能冒充你的Bot發(fā)送釣魚消息，甚至操作關(guān)聯(lián)服務(wù)，比如用你的GitHub密鑰篡改代碼、刪除項(xiàng)目。

風(fēng)險(xiǎn)3：遠(yuǎn)程操控設(shè)備，淪為黑客“肉雞”

Moltbot的“bash工具”允許執(zhí)行Shell命令，黑客進(jìn)入控制臺(tái)后，只需發(fā)送一條指令，就能遠(yuǎn)程操控你的電腦：比如注入惡意代碼、設(shè)置反向Shell，讓你的電腦變成“肉雞”，隨時(shí)被黑客調(diào)用；甚至可以執(zhí)行“rm -rf”這類高危命令，刪除你電腦里的所有文件、格式化磁盤，造成不可逆的損失。

有用戶反饋，自己部署Moltbot后沒做好防護(hù)，第二天醒來發(fā)現(xiàn)電腦里的工作文件全部消失，API賬號(hào)被惡意調(diào)用，損失慘重。

風(fēng)險(xiǎn)4：插件惡意攻擊，雪上加霜

Moltbot的開源插件生態(tài)很豐富，但缺乏嚴(yán)格的審核機(jī)制。很多用戶為了增加功能，隨意從論壇、社群下載小眾插件，而這些插件可能隱藏惡意代碼，過度申請權(quán)限。

比如有些插件看似是“郵件整理工具”，實(shí)則會(huì)偷偷讀取你的本地文件，向第三方服務(wù)器發(fā)送敏感信息；還有的插件會(huì)突破權(quán)限限制，操控你的聊天軟件，向你的聯(lián)系人發(fā)送釣魚鏈接。

深挖根源：為什么Moltbot會(huì)淪為“安全陷阱”？

Moltbot的安全災(zāi)難，不是單一原因造成的，而是“產(chǎn)品設(shè)計(jì)+用戶操作+文檔誤導(dǎo)”三方疊加的結(jié)果。總結(jié)下來，核心根源有4點(diǎn)：

根源1：配置設(shè)計(jì)不合理，默認(rèn)安全但易被誤改

Moltbot的控制臺(tái)默認(rèn)監(jiān)聽“l(fā)ocalhost:18789”，也就是僅限本地訪問，本身是安全的。但很多用戶想通過手機(jī)、筆記本遠(yuǎn)程控制，就需要修改配置，將“bind”參數(shù)改為“0.0.0.0”。

很多人不知道，這個(gè)參數(shù)的差異意味著什么：在局域網(wǎng)（比如家里的電腦），它只監(jiān)聽內(nèi)網(wǎng)IP；但在云服務(wù)器上，它會(huì)直接監(jiān)聽公網(wǎng)IP——相當(dāng)于把你的控制臺(tái)直接暴露給全世界，而用戶往往誤以為“云服務(wù)器有自帶防火墻，很安全”，殊不知默認(rèn)情況下防火墻是全開的。

根源2：文檔誤導(dǎo)，新手易踩坑

Moltbot的官方README文檔里，“快速開始”部分直接給出了“clawdbot gateway --port 18789”的示例代碼，新手往往會(huì)直接復(fù)制使用，卻忽略了文檔中隱藏的警告：“生產(chǎn)環(huán)境必須啟用認(rèn)證”。

更關(guān)鍵的是，即使不啟用認(rèn)證，啟動(dòng)時(shí)也不會(huì)報(bào)錯(cuò)，用戶根本不知道自己的配置已經(jīng)存在致命漏洞，相當(dāng)于“官方手把手教你開漏洞”。

根源3：高權(quán)限設(shè)計(jì)，缺乏默認(rèn)防護(hù)

Moltbot的核心功能依賴高權(quán)限，但官方只提供了基礎(chǔ)安全框架，沒有任何主動(dòng)攔截機(jī)制。比如它默認(rèn)允許執(zhí)行高危命令、默認(rèn)開放全量文件訪問權(quán)限，所有防護(hù)措施都需要用戶手動(dòng)配置——這對普通用戶來說門檻極高，大多數(shù)人根本不知道該如何修改配置、關(guān)閉冗余權(quán)限。

就像給一個(gè)剛?cè)肼毜膶?shí)習(xí)生，直接開放了公司的最高權(quán)限，風(fēng)險(xiǎn)可想而知。

根源4：用戶安全意識(shí)薄弱，盲目跟風(fēng)

這是最關(guān)鍵的一點(diǎn)。很多用戶看到Moltbot爆紅，就盲目跟風(fēng)部署，根本不了解它的權(quán)限特性和安全隱患。包括：為了圖方便，直接復(fù)制文檔里的危險(xiǎn)配置，把控制臺(tái)暴露在公網(wǎng)；隨意下載來源不明的插件，不審核代碼、不限制權(quán)限；用管理員賬戶運(yùn)行Moltbot，一旦被攻擊，黑客就能獲取電腦的最高控制權(quán)；

很多用戶甚至覺得“我就是普通用戶，沒人會(huì)攻擊我”，但在黑客眼里，這些暴露的控制臺(tái)就是“無主的寶藏”，無論你是誰，只要有漏洞，就會(huì)被攻擊。

實(shí)用指南：如果一定要用Moltbot，這5條“保命規(guī)則”必須焊死

必須明確一點(diǎn)：我們不是否定Moltbot的價(jià)值，它的便捷性確實(shí)無可替代，但安全永遠(yuǎn)是前提。如果你已經(jīng)部署了Moltbot，或者打算嘗試，建議嚴(yán)格遵守以下5條建議（網(wǎng)絡(luò)暴露面、身份驗(yàn)證、權(quán)限控制、供應(yīng)鏈風(fēng)險(xiǎn)、環(huán)境隔離），守住安全底線；如果只是普通用戶，暫時(shí)不建議盲目跟風(fēng)。

規(guī)則1：嚴(yán)禁綁定0.0.0.0，鎖死本地訪問

這是最核心、最關(guān)鍵的一條！無論你多需要遠(yuǎn)程控制，都不要直接將“bind”參數(shù)改為0.0.0.0。

正確做法：默認(rèn)綁定127.0.0.1（僅限本地訪問）；如果確實(shí)需要遠(yuǎn)程訪問，用SSH隧道或Tailscale等安全隧道，比如執(zhí)行“ssh -L 18789:localhost:18789 user@server”，絕對不要直接開放端口到公網(wǎng)。

規(guī)則2：啟用強(qiáng)認(rèn)證，給控制臺(tái)加“密碼鎖”

如果實(shí)在需要綁定到0.0.0.0（允許遠(yuǎn)程訪問），必須同時(shí)啟用認(rèn)證機(jī)制，并配合加密傳輸與訪問控制形成雙重防護(hù)。

• 基礎(chǔ)防護(hù)：在配置文件中啟用密碼保護(hù)，設(shè)置復(fù)雜密碼（字母+數(shù)字+特殊符號(hào)），避免簡單密碼被破解；

• 進(jìn)階防護(hù)：使用官方支持的JWT Token認(rèn)證（如有），配置合理的Token有效期（例如 24小時(shí)），并定期輪換憑證，降低泄露后的長期風(fēng)險(xiǎn)。

規(guī)則3：實(shí)施“最小權(quán)限原則”，不給多余權(quán)限（非常關(guān)鍵）

采用allowlist（白名單）模式：默認(rèn)全部拒絕，僅按需開放能力，避免Moltbot獲得不必要的系統(tǒng)權(quán)限與執(zhí)行范圍。

• 禁用高危命令：在配置文件中設(shè)置禁用或不啟用任何具備 Shell 執(zhí)行能力的技能/插件，在宿主機(jī)側(cè)使用AppArmor/SELinux、rbash、容器權(quán)限收斂等方式限制高危命令執(zhí)行，僅允許明確批準(zhǔn)的命令集合（命令 allowlist），而不是依賴黑名單封禁。

• 限制文件訪問：僅開放指定目錄的讀寫權(quán)限，禁止Moltbot訪問系統(tǒng)根目錄、用戶主目錄等敏感路徑；

• 限制指令來源：如在官方支持的訪問控制機(jī)制中配置允許的來源賬號(hào)/會(huì)話范圍，僅允許已認(rèn)證的用戶或指定渠道觸發(fā)指令執(zhí)行，拒絕未知來源的消息或未授權(quán)賬號(hào)訪問控制接口。

規(guī)則4：謹(jǐn)慎使用插件，拒絕“來路不明”的功能

插件是安全重災(zāi)區(qū)，一定要做好“篩選-審核-監(jiān)控”三步：

• 篩選：只下載官方推薦插件，或GitHub上高下載量、高評分（4.5分以上）的開源插件，拒絕論壇、社群分享的“破解插件”“小眾插件”；

• 審核：下載插件后，手動(dòng)查看代碼，排查是否有惡意數(shù)據(jù)傳輸、高危命令執(zhí)行的邏輯，若插件功能簡單卻申請高權(quán)限，直接棄用；

• 監(jiān)控：啟用插件后，定期查看Moltbot運(yùn)行日志，發(fā)現(xiàn)異常訪問、數(shù)據(jù)傳輸行為，立即禁用并刪除插件。

規(guī)則5：隔離部署，避免連累主力機(jī)（非常重要）

不要在存放重要文件、綁定核心賬號(hào)的主力機(jī)上部署Moltbot，建議：

• 用舊電腦、虛擬機(jī)或Docker容器部署，實(shí)現(xiàn)權(quán)限隔離，即使被攻擊，也不會(huì)影響主力機(jī)的數(shù)據(jù)安全；

• 部署時(shí)使用普通用戶賬戶，不要用管理員賬戶，進(jìn)一步降低權(quán)限泄露的風(fēng)險(xiǎn)；

• 定期運(yùn)行官方安全檢測命令“Moltbot doctor”，檢查綁定地址、認(rèn)證狀態(tài)，及時(shí)修復(fù)高危提示。

寫在最后：AI再便捷，也別忘記“鎖門”

Moltbot的爆紅與暴雷，其實(shí)是當(dāng)前AI代理工具的一個(gè)縮影——當(dāng)技術(shù)在追求“更便捷、更強(qiáng)大”時(shí)，安全往往會(huì)被忽視。我們追捧Moltbot，本質(zhì)上是追求效率、向往更便捷的生活，但這絕不意味著要以犧牲隱私和安全為代價(jià)。就像安全專家說的：“裸跑Moltbot，就像是給第一天入職的實(shí)習(xí)生，直接開了公司的最高Root權(quán)限?！睂τ谄胀ㄓ脩魜碚f，與其盲目跟風(fēng)部署一款自己不懂的高風(fēng)險(xiǎn)工具，不如先做好安全防護(hù)；對于已經(jīng)部署的用戶，一定要對照上面的建議，立即檢查自己的配置，堵住漏洞。AI的未來，必然是“便捷與安全并存”。在擁抱新技術(shù)的同時(shí)，守住安全底線，才是最理性的選擇。

最后，建議大家把這篇文章轉(zhuǎn)發(fā)給身邊正在使用Moltbot的朋友，提醒他們做好防護(hù)，避免踩坑～

（參考來源：https://docs.molt.bot/）

合作電話：18610811242

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com