Clawdbot: полный аудит безопасности популярного ИИ-агента
Clawdbot (теперь Moltbot после ребрендинга из-за претензий Anthropic) стал вирусным за последние дни. Открытый ИИ-ассистент от Питера Штайнбергера, который управляется через Telegram, WhatsApp или Signal и имеет полный доступ к вашему компьютеру: терминал, файлы, браузер.
Звучит как мечта. Но прежде чем ставить — особенно если увидели рекомендации в других каналах — прочитайте внимательно.
Полный документ с чек-листами, командами и 50+ страницами рекомендаций: AItoolz Telegram — аудит Clawdbot
Что такое Clawdbot и почему безопасность критична?
Clawdbot — это не обычный чат-бот. Это автономный агент с доступом к:
- Выполнению команд в терминале (exec)
- Управлению браузером через Playwright
- Чтению и записи файлов
- Запуску субагентов
- Хранению контекста между сессиями
- Интеграции с мессенджерами (Telegram, Discord, Slack, Signal, iMessage)
Представьте, что вы наняли помощника с полным доступом к вашему компьютеру, сообщениям, браузеру с сохраненными паролями, файлам. Если кто-то получит доступ к вашему Clawdbot — он получит доступ ко всему этому.
Методология аудита
Проведено 2 аудита:
- Поверхностный скан (утренний аудит)
- Глубокий анализ кода (дневной аудит)
Проверенная версия: 2026.1.26
Результаты:
УровеньУтренний аудитГлубокий аудитСтатус???? Критичные41Частично исправлено???? Высокие51В процессе???? Средние62Требует внимания???? Низкие32Минор
Критическая уязвимость №1: выполнение кода в браузере (eval)
Что нашли в коде:
AI может выполнять любой JavaScript-код в вашем браузере. Это как дать кому-то пульт, который может не только переключать каналы, но и записывать все, что вы смотрите.
Как это используют: через Prompt Injection хакер может заставить AI выполнить код для кражи cookies и паролей одной командой.
Уровень опасности: CVSS 8.8/10 — критично
Статус: не исправлено (функция работает как задумано)
Защита:
Критическая уязвимость №2: открытый Gateway без пароля
Сканер Shodan обнаружил 900-1000+ установок Clawdbot, доступных из интернета без пароля.
25 января 2026 года исследователи Luis Catacora и Jamieson O'Reilly нашли 1 009 панелей управления Clawdbot Control без аутентификации. На следующий день Knostic насчитал 1 862 открытых инстанса.
Gateway — это «входная дверь» в Clawdbot. По умолчанию она закрыта (127.0.0.1 = только локальный доступ), но пользователи:
- Меняют на 0.0.0.0 (открыт для всех)
- Используют Docker с -p 18789:18789
- Настраивают reverse proxy неправильно
Через эти панели можно получить:
- API-ключи (Claude, ChatGPT, Anthropic — продаются за $50-200 каждый)
- OAuth-секреты и токены ботов
- Полную историю переписок
- Возможность выполнять shell-команды
- Доступ к браузеру и файлам
Уровень опасности: CVSS 9.8/10 — катастрофа
Статус: исправлено с версии 2026.1.20
Код из src/gateway/server-runtime-config.ts:91-95:
Теперь Gateway не запустится без пароля, если вы пытаетесь открыть его в интернет.
Критическая уязвимость №3: пароли в plaintext (частично решено)
Тип данных Где хранится Защита Gateway токен~/.clawdbot/moltbot.json
❌ Plaintext (chmod 600)API ключи~/.clawdbot/agents/*/auth-profiles.json
⚠️ Keychain на macOS, plaintext на Linux/WindowsWhatsApp credentials~/.clawdbot/credentials/
❌ Plaintext (chmod 600)История сессий~/.clawdbot/agents//sessions/.jsonl
❌ Plaintext (chmod 600)
Что сделано:
- Защита через chmod 0o600 — только владелец может читать
- Keychain support на macOS
- Автоматические права на папки
Что не решено:
- На Linux/Windows нет Keychain — только plaintext
- Логи сессий всегда в открытом виде
- Нет encryption-at-rest
Уровень опасности: CVSS 7.5/10 — критично
Высокие уязвимости
HTTP Telegram Webhook (без шифрования)
Если вы не указали --public-url, Telegram webhook будет использовать HTTP без шифрования. Любой на пути может перехватить сообщения и bot token.
Защита: используйте Tailscale Serve или polling:
Memory Poisoning (SOUL.md/MEMORY.md)
Файлы SOUL.md, MEMORY.md, AGENTS.md автоматически добавляются к каждому запросу AI. Malware или сам AI под prompt injection может изменить эти файлы и добавить инструкции для утечки данных.
Защита:
Prompt Injection с Tool Execution
Документация Clawdbot честно признает: «Prompt injection is not solved».
Откуда берется опасный текст: результаты поиска, веб-страницы, email, вложенные документы.
Реальный инцидент: исследователь Matvey Kukuy отправил email с prompt injection и получил приватный ключ с машины жертвы за 5 минут.
Что сделано правильно
АспектОценкаКомментарийAuthentication9/10Обязательная, fail-closed, 192-bit токеныToken GenerationExcellentcrypto.randomBytes(24) — невозможно брутфорситьAudit & Logging7/10Есть security audit, логи сессийUpdates9/10Активная разработка, частые fixes
Общая оценка
Без настройки: 6.5/10
После всех рекомендаций: 7.9/10
СценарийОценкаРекомендацияБез настройки
???? Не рекомендуется
Только эксперименты в изолированной средеС базовой настройкой
???? Приемлемо
Дом, личные проектыСо всеми рекомендациями
✅ Рекомендуется
Личное, бизнес с одобрения IT
Пошаговая настройка безопасности
Шаг 0: Обновитесь (самое важное!)
Разработчик обновляет Clawdbot очень часто. Многие проблемы безопасности исправляются в новых релизах.
Шаг 1: Базовая настройка (обязательно)
Шаг 2: Отключите опасные функции
Шаг 3: Запустите аудит
Чек-лист безопасности
???? Критичные (без этого не запускайте!):
- [ ] Установлена последняя версия
- [ ] Gateway токен установлен
- [ ] Gateway bind = 127.0.0.1 (не 0.0.0.0)
- [ ] Права на файлы = 700/600
- [ ] Audit не показывает CRITICAL
???? Рекомендуемые:
- [ ] Browser eval отключен
- [ ] mDNS отключен
- [ ] Exec требует подтверждение
- [ ] Шифрование диска включено (FileVault/BitLocker)
???? Опциональные:
- [ ] Выделенный пользователь ОС
- [ ] Docker изоляция
- [ ] Firewall настроен
- [ ] Используете Claude Opus 4.5 (лучшая защита от Prompt Injection)
Что делать при взломе
Немедленно:
- Остановите Clawdbot: pkill -9 moltbot
- Отключите интернет
- Сохраните доказательства: cp -r ~/.clawdbot ~/clawdbot-incident
Затем: 4. Смените все API-ключи (с другого устройства!) 5. Regenerate Telegram Bot Token через @BotFather 6. Удалите и переустановите Clawdbot чисто 7. Проверьте систему на malware
Подробные инструкции — в полном документе.
Вердикт: стоит ли давать агенту доступ к ПК?
❌ Не рекомендуется если:
- У вас ценные данные (код, ключи, креденшелы)
- Вы работаете с продакшн-системами
- Вы не можете контролировать каждое действие
✅ Относительно безопасно если:
- Изолированное окружение (VM/контейнер)
- Отдельный пользователь без sudo
- evaluateEnabled: false
- exec.ask: always
- Файрвол + мониторинг
Главный вывод: не доверяйте ИИ-агенту больше, чем доверили бы джуниору с root-доступом. Потому что это, по сути, он и есть — только работает круглосуточно и никогда не устает.
Не ставьте все, что советуют горе-блогеры. Сначала читайте, потом ставьте.
Полный документ с 50+ страницами рекомендаций, командами, сценариями использования и инструкциями при взломе: AItoolz Telegram
Источники
- AItoolz — Полный аудит Clawdbot (собственный анализ кода)
- DEV Community — Riding the Hype: Security Audit of AI Agent Clawdbot
- The Register — Clawdbot becomes Moltbot, but can't shed security concerns