Risiken durch Moltbots „allwissenden“ KI-Assistenten

Moltbot zeichnet sich durch seine Fähigkeit aus, vom Benutzer zugewiesene Aufgaben automatisch auszuführen. Foto: Moltbot .

Moltbot, ehemals Clawdbot, ist ein lokal laufender KI-Agent, der auf mehreren Geräten eingesetzt werden kann. Nutzer können Moltbot über gängige Messenger-Dienste wie WhatsApp, Telegram, Signal, Discord oder iMessage anweisen, Aufgaben in ihrem Namen zu erledigen. In sozialen Medien berichten viele Nutzer, wie sie Moltbot nutzen, um Erinnerungen zu verwalten, Gesundheitsdaten zu erfassen oder sogar mit Kunden zu kommunizieren.

Federico Viticci, Redakteur von MacStories , berichtete, er habe Moltbot auf einem Mac Mini M4 installiert und es zu einem Tool für die Erstellung täglicher Audiozusammenfassungen aus Daten der Kalender-, Notion- und Todoist-Apps umfunktioniert. Ein anderer Nutzer teilte mit, Moltbot könne automatisch animierte Gesichtsausdrücke generieren und einen Schlaf-Effekt hinzufügen – ganz ohne manuelle Eingriffe.

Moltbot leitet Nutzeranfragen an den gewählten KI-Anbieter weiter, darunter OpenAI, Anthropic oder Google. Wie viele andere Assistenten kann er Formulare direkt im Browser ausfüllen, E-Mails versenden und Kalender verwalten. Laut Nutzerfeedback erledigt Moltbot diese Aufgaben jedoch effizienter und flexibler.

Allerdings erfordert dies auch, dass Benutzer sehr weitreichende Zugriffsrechte auf das Computersystem gewähren, einschließlich des Lesens und Schreibens von Dateien sowie des Ausführens von Befehlen. Die Kombination von Geräteadministratorrechten mit Anmeldeinformationen für Anwendungen kann, wenn sie nicht streng kontrolliert wird, erhebliche Sicherheitsrisiken bergen.

Rachel Tobac, CEO von SocialProof Security, warnt davor, dass Angreifer, sobald ein KI-Agent wie Moltbot Administratorrechte auf einem Computer erlangt, versuchen könnten, die Kontrolle über das System mit einer einzigen Nachricht zu übernehmen. Laut Tobac lassen sich automatisierte KI-Agenten durch sogenannte Prompt-Injection-Angriffe ausnutzen – eine Schwachstelle, die zwar identifiziert wurde, für die es aber noch keine endgültige Lösung gibt. Prompt-Injection-Angriffe erfolgen, wenn ein Angreifer die KI mit schädlichen Anweisungen manipuliert, die direkt oder versteckt in Dateien, E-Mails oder Webseiten gesendet werden, die die KI verarbeitet.

Moltbot könnte ein Sicherheitsrisiko darstellen. Foto: Moltbot .

Diese Bedenken wurden noch verstärkt, als Jamieson O'Reilly, Sicherheitsexperte und Gründer des Cybersicherheitsunternehmens Dvuln, feststellte, dass einige private Nachrichten, Anmeldeinformationen und API-Schlüssel im Zusammenhang mit Moltbot online veröffentlicht worden waren.

Demnach könnten diese Daten von Hackern ausgenutzt werden, um Informationen zu stehlen oder andere Angriffe durchzuführen. Laut „The Register“ meldete er das Problem dem Moltbot-Entwicklungsteam, woraufhin ein Patch veröffentlicht wurde.