Der Open-Source-KI-Agent namens Moltbot hat sich zu einem der am schnellsten wachsenden Projekte in der Geschichte von GitHub entwickelt und in nur wenigen Wochen die Marke von 85.000 Sternen überschritten. Hinter diesem großen Interesse verbergen sich jedoch ernsthafte Sicherheitsbedenken. Sicherheitsforscher weisen darauf hin, dass das „Always-on“-Design der Anwendung und die Zugriffsrechte auf Systemadministratorebene gefährlich sind. Es wird berichtet, dass diese Schwachstellen bereits bei einigen Angriffsversuchen ausgenutzt wurden.
Moltbot bricht GitHub-Rekorde: Populär, aber gefährlich
Das vom österreichischen Entwickler Peter Steinberger ins Leben gerufene Projekt war zuvor unter dem Namen „Clawdbot“ bekannt. Aufgrund einer Markenwarnung von Anthropic wegen der Ähnlichkeit zum Namen „Claude“ wurde der Name jedoch am 27. Januar geändert. Nutzer können diesen Assistenten lokal auf ihren Geräten ausführen und über Anwendungen wie WhatsApp, Telegram, Slack und iMessage mit ihm interagieren.
Während herkömmliche KI-Assistenten auf Befehle warten, agiert Moltbot wie ein ständig im Hintergrund laufender Dienst. Er kann morgendliche Zusammenfassungen aus Kalendern und Task-Managern erstellen. Nutzer können dem System vollen Zugriff gewähren, wodurch es Dateien lesen und schreiben, Skripte ausführen und Browser steuern kann. Diese Funktionen werden mit JARVIS aus den Iron-Man-Filmen verglichen. Die Popularität des Tools bewegte aufgrund der genutzten Infrastrukturtechnologie sogar die Cloudflare-Aktien.
Jamieson O’Reilly, Gründer der Sicherheitsfirma Dvuln, warnte eindringlich vor der Architektur des Tools. Im Internet wurden hunderte Moltbot-Instanzen ohne Authentifizierung entdeckt. O’Reilly demonstrierte zudem ein Sicherheitsrisiko im Plugin-Store der Plattform, dem MoltHub. Er lud ein harmloses Plugin hoch und manipulierte die Download-Zahlen. Fünfzehn Entwickler aus sieben Ländern installierten das Plugin. Wäre es bösartig gewesen, hätten SSH-Schlüssel und gesamte Codebasen gestohlen werden können.
Die Cybersicherheitsplattform SOC Prime berichtete, dass die Probleme auf falsch konfigurierte Servereinstellungen zurückzuführen sind. Dieser Fehler führt dazu, dass Internetverbindungen als vertrauenswürdige lokale Verbindungen wahrgenommen werden. Benjamin Marr, Sicherheitsingenieur bei Intruder, betonte, dass das Kernproblem in der Architektur liege. Das Projekt priorisiere die einfache Installation gegenüber Standard-Sicherheitsanforderungen. Heather Adkins vom Google-Sicherheitsteam gab eine deutliche Warnung heraus: „Lassen Sie dieses Tool nicht laufen.“
Trotz aller Warnungen ist die Discord-Community des Projekts auf über 8.900 Mitglieder angewachsen. In der eigenen Dokumentation des Projekts wird die Situation eingeräumt: Es wird explizit darauf hingewiesen, dass der Betrieb eines KI-Agenten mit Shell-Zugriff auf dem Computer riskant ist und eine „perfekt sichere“ Installation nicht möglich sei.
