Vibe Lab

Clawdbot/Moltbot: история крупнейшего крипто-скама и уязвимостей AI-ассистента

27 января 2026 года open-source проект Clawdbot (ныне Moltbot) оказался в эпицентре идеального шторма: вынужденный ребрендинг по требованию Anthropic создал окно для крипто-мошенников, которые за 10 секунд перехватили освободившиеся аккаунты и запустили фейковый токен с капитализацией $16 миллионов. Одновременно исследователи безопасности обнаружили катастрофические уязвимости: сотни публично доступных серверов с утечкой API-ключей, криптокошельков и личных переписок пользователей.

Что такое Clawdbot и как он работает

Clawdbot (Moltbot) — это саморазмещаемый AI-ассистент с полным доступом к компьютеру пользователя, созданный австрийским разработчиком Питером Штайнбергером (@steipete), ранее продавшим компанию PSPDFKit за ~€100 млн.

Архитектура и возможности

  • Gateway-сервер на порту 18789
  • Локальный агент Molty с памятью
  • Управление через Telegram, WhatsApp, Discord, Slack, Signal, iMessage
  • 50+ интеграций: почта, календарь, shell-команды, браузер, бронирование столиков, умный дом (Philips Hue)

Проект бесплатный (лицензия MIT), но требует API-токенов Claude от Anthropic стоимостью $100–200/месяц. На GitHub — свыше 60,000 звёзд, что делает его одним из самых быстрорастущих open-source проектов 2025–2026 годов.

Важно: Это не торговый бот для заработка, а агент с полным системным доступом.

Перехват аккаунтов и крипто-скам на $16 миллионов

Хронология инцидента

27 января 2026 года Anthropic потребовала смены названия из-за фонетической схожести «Clawd» и «Claude». Штайнбергер попытался одновременно переименовать аккаунты на GitHub и X/Twitter — и допустил критическую ошибку.

Крипто-скамеры перехватили освободившиеся хэндлы @clawdbot за ~10 секунд.

Финансовые последствия

  • Появился фейковый токен $CLAWD на Solana
  • Рыночная капитализация достигла $16 миллионов
  • После публичного отрицания Штайнбергера токен обрушился с $8 млн до менее $800,000 — падение более 90%
  • Дополнительно появился фейковый токен $MOLTY (капитализация ~$308K)

Трейдеры, купившие на пике, потеряли значительные суммы. Пользователи обвинили анонимных создателей токена в серийных rug-pull схемах.

Штайнбергер: «Любой проект, где я указан как владелец монеты — это СКАМ»

Критические уязвимости безопасности

Параллельно с крипто-скандалом исследователи обнаружили катастрофические дыры в безопасности проекта.

1. Сотни открытых серверов

Jamieson O'Reilly из Dvuln нашёл через Shodan ~780 публично доступных инстансов Clawdbot, из которых 8 были полностью открыты без какой-либо аутентификации.

Утечке подверглись:
- API-ключи Anthropic
- Токены Telegram
- OAuth-секреты
- Полные истории переписок
- Возможность выполнения команд от имени пользователей

2. Обход аутентификации

SlowMist выявила, что Gateway автоматически доверяет localhost-соединениям. При типичной конфигурации за nginx или Caddy все внешние запросы воспринимались как локальные, предоставляя полный доступ без авторизации.

3. Prompt injection за 5 минут

Матвей Кукуй (CEO Archestra AI) продемонстрировал атаку:

  1. Отправил вредоносное письмо с инъекцией промпта
  2. Попросил бота проверить почту
  3. Получил приватный SSH-ключ с машины жертвы

Другой вариант атаки заставил бота переслать последние 5 писем пользователя на адрес злоумышленника.

4. Plaintext-хранение секретов

Hudson Rock установила, что все учётные данные хранятся в незашифрованных файлах:
- ~/.clawdbot/clawdbot.json — токены
- ~/clawd/memory/*.md — персональные данные

Инфостилеры RedLine, Lumma и Vidar уже настроены на кражу этих файлов.

5. Атака на цепочку поставок

O'Reilly загрузил вредоносный «скил» в ClawdHub (библиотеку плагинов), искусственно накрутив 4,000+ скачиваний. Разработчики из 7 стран установили заражённый пакет.

Библиотека не имеет модерации — весь код автоматически считается доверенным.

Реальные жалобы пользователей

| Проблема | Детали |
|----------|--------|
| Слив токенов | 14,000 токенов только на инициализацию; простое «привет» стоит ~1,000 токенов |
| HEARTBEAT-запросы | До 300,000 токенов/сутки на пустые проверки статуса |
| Быстрый расход бюджета | Подписка на $20 исчерпывается за минуты интенсивного использования |
| Отсутствие практической пользы | «После установки обнаружил, что просто нечего автоматизировать» |

Мнения экспертов

Heather Adkins, VP Security Engineering Google Cloud:

«Не запускайте Clawdbot»

Yassine Aboukir, Principal Security Consultant:

«Как можно доверить этой штуке полный доступ к системе?»

Один исследователь назвал проект «инфостилером, замаскированным под AI-ассистента».

На Hacker News консенсус: «Это пугает. Никакой песочницы для директорий».

Текущий статус и уровень опасности

Проект продолжает работать под новым названием Moltbot:

  • Сайт: molt.bot (не clawd.bot)
  • GitHub: github.com/moltbot/moltbot
  • Twitter: @moltbot (НЕ @clawdbot — это скамеры)
  • Discord: 8,900+ участников
  • Статус: активная разработка, версии выходят ежедневно

Матрица рисков

| Риск | Уровень | Описание |
|------|---------|----------|
| 🔴 Кража криптовалют | Критический | При подключении кошельков — полный доступ к средствам |
| 🔴 Утечка данных | Критический | Сотни серверов с открытыми API-ключами |
| 🔴 Prompt injection | Критический | Вредоносные сообщения могут перехватить управление |
| 🟠 Крипто-скамы | Высокий | Фейковые токены и аккаунты активны |
| 🟠 Plaintext-хранение | Высокий | Инфостилеры уже нацелены на файлы |
| 🟠 Финансовые потери | Высокий | Быстрый расход дорогих API-токенов |

Почему стоит избегать Clawdbot/Moltbot

Clawdbot/Moltbot — это легитимный open-source проект с инновационными возможностями от авторитетного разработчика. Однако он оказался в центре идеального шторма: вынужденный ребрендинг создал окно для крипто-мошенников, а архитектура «AI с полным доступом к системе» обнажила фундаментальные проблемы безопасности агентных систем.

Рекомендации по безопасности

⚠️ Проект не рекомендуется для пользователей без глубоких технических знаний.

Категорически нельзя:
- Подключать криптокошельки
- Подключать банковские аккаунты
- Хранить чувствительные данные на машине с Moltbot

Важно знать:
- Любой токен, связывающий себя с Clawdbot или Moltbot — подтверждённый скам
- Официальные каналы: только @moltbot в Twitter и github.com/moltbot
- Если вы встречаете @clawdbot где-либо — это мошенники

Главный урок

Агентные AI-системы с полным системным доступом представляют новый класс угроз, к которому индустрия пока не готова. Даже качественный open-source проект от опытного разработчика может стать инструментом массовой кражи данных и финансовых потерь при недостаточном внимании к безопасности.

Официальная документация проекта признаёт: «Не существует 'идеально безопасной' конфигурации».

Источники: The Register, Yahoo Finance, DEV Community, Crypto News, Trending Topics, Bitdefender