一个假冒Moltbot(原名Clawdbot)的VS Code扩展在官方插件市场被发现,该恶意扩展伪装成免费的AI编程助手,实际会投放恶意载荷并安装远程桌面程序,让攻击者获得持续远程访问权限。同时,大量Moltbot实例因反向代理配置错误暴露在互联网上,导致API密钥、OAuth凭证等敏感信息泄露。
这款由奥地利开发者彼得·斯坦伯格创建的开源AI助手项目本身设计偏向易用性而非安全性,缺乏沙盒隔离和默认安全配置,使其成为攻击者的理想目标。
假插件混进官方市场,程序员电脑秒变肉鸡
程序员圈子里最近炸锅了,有个叫Moltbot的开源AI助手项目火得一塌糊涂,GitHub上狂揽八万五千多颗星,这玩意儿能让你在本地跑个大语言模型,然后通过WhatsApp、Telegram、Slack、Discord这些聊天软件跟AI互动,想想就觉得很酷对吧。
奥地利开发者彼得·斯坦伯格搞出这个项目,初衷肯定是想让AI助手更接地气,结果火得太快,麻烦也跟着来了。
2026年1月27号,有个叫clawdbot的用户在VS Code官方扩展市场扔了个插件,名字叫ClawdBot Agent - AI Coding Assistant,包装得跟真的一样,号称免费AI编程助手,实际上就是个披着羊皮的狼。关键是Moltbot官方压根没出过VS Code扩展,这帮黑客纯属蹭热度,利用大家对新工具的猎奇心理,把恶意代码打包成插件,等着不明真相的开发者往坑里跳。
这个恶意扩展的设计堪称阴毒,每次你打开VS Code这个集成开发环境,它就自动启动,根本不需要你手动点任何东西。
它偷偷摸摸地从一个叫clawdbot.getintwopc.site的外部服务器下载一个config.json配置文件,然后执行一个叫Code.exe的二进制文件。这名字起得贼有迷惑性,跟VS Code本身的可执行文件名字一样,不懂行的人根本看不出毛病。这个Code.exe实际上部署的是ConnectWise ScreenConnect,一个正经的远程桌面程序,但被黑客拿来做坏事。部署完成后,你的电脑就会连到meeting.bulletmailer.net:8041这个地址,攻击者通过这个连接就能远程控制你的电脑,想看啥看啥,想拿啥拿啥,你在他眼里就是透明的。
Aikido安全公司的研究员查理·埃里克森直接点破了这套把戏的本质,这帮攻击者自己搭了个ScreenConnect中继服务器,搞了个预配置好的客户端安装包,然后通过VS Code扩展分发出去。受害者一安装这个扩展,就等于在自己电脑上装了个功能完整的ScreenConnect客户端,这个客户端会立即给攻击者的基础设施打电话报到,建立持久连接。
想象一下,你正美滋滋地写代码,背后却有一双眼睛在盯着你的屏幕,这画面太美不敢看。更绝的是,这个扩展还留了好几手备用方案,万一主服务器被墙或者被封,它还能从其他渠道搞到恶意载荷,这种多重保险的设计说明这帮黑客是专业的,不是那种打一枪换一个地方的脚本小子。
备用机制层层设防,黑客连后路都想好了
这帮黑客的谨慎程度简直令人发指,他们在这个扩展里塞了不止一种备用机制来确保恶意载荷能送到你电脑上。
第一种备用方案是DLL侧加载技术,扩展会从config.json里读到一个DLL文件列表,然后侧加载这些DLL,最终从Dropbox获取同样的ScreenConnect载荷。这个DLL文件叫DWrite.dll,用Rust语言写的,Rust这语言以性能和安全著称,结果被拿来写恶意代码,也是够讽刺的。这个备用方案的存在确保了即使命令与控制服务器(C2)被干掉或者网络不通,ScreenConnect客户端依然能部署到你的机器上。
查理·埃里克森在深入分析载荷后发现,攻击者明显预料到了各种失败情况,所以设计了这么多交付方法,虽然其中一些方法不太稳定,但DWrite.dll这个方案相当靠谱。当Code.exe和DWrite.dll在同一个目录下时,这个恶意DLL会被默认加载,这就是经典的DLL侧加载攻击。侧加载的意思是,程序在加载动态链接库时,会优先在当前目录找,而不是去系统目录找,黑客就是利用这个特性,让正经程序加载他们的恶意DLL。
但这还没完,这个假Moltbot扩展还内嵌了硬编码的URL,可以直接下载可执行文件和要侧加载的DLL。第二种备用方法更骚,用一个批处理脚本从另一个域名darkgptprivate.com获取载荷。批处理脚本在Windows上就是BAT文件,双击就能跑,黑客用这种简单粗暴的方式确保即使前面的方法都失效了,依然有机会把恶意软件塞进你的系统。这种层层设防的设计思路说明攻击者做了充分准备,他们知道安全研究人员迟早会发现这个扩展,所以准备了多条退路,确保在被发现之前能感染尽可能多的机器。
反向代理配置翻车,数百实例裸奔在互联网上
就在假插件事件闹得沸沸扬扬的时候,Dvuln公司的创始人杰米森·奥赖利又扔了个重磅炸弹,他在网上发现了数百个未经身份验证的Moltbot实例,全是因为经典的反向代理配置错误暴露出来的。反向代理这玩意儿本来是用来保护后端服务的,相当于一个门卫,把外面的请求转发给内部服务器,同时隐藏内部结构。但配置错了就变成了帮倒忙,直接把内部服务暴露给全世界。
这些暴露的实例泄露了大量敏感信息,包括配置数据、API密钥、OAuth凭证,还有用户的私人聊天记录。想象一下,你跟AI助手的私密对话,可能涉及银行卡号、密码、公司内部机密,全被挂在网上任人围观,这酸爽简直无法形容。问题的根源在于Moltbot的设计逻辑,它会自动批准本地连接,而很多用户把Moltbot部署在反向代理后面,这时候来自互联网的连接会被当成本地连接处理,于是就被自动批准了,根本不需要任何身份验证。
杰米森·奥赖利一针见血地指出了真正的危险所在,Clawdbot代理有自主行动能力,它们能代表用户在Telegram、Slack、Discord、Signal和WhatsApp上发消息,还能执行工具和运行命令。这意味着攻击者一旦进入这些暴露的实例,就能冒充用户给联系人发消息,在正在进行的对话里插嘴,修改AI的回复内容,还能在用户毫不知情的情况下窃取敏感数据。更可怕的是,攻击者可以通过MoltHub(以前叫ClawdHub)分发带后门的Moltbot技能,发动供应链攻击,把恶意代码伪装成正常的功能插件,让更多人在不知不觉中中招。
架构设计先天不足,易用性压倒安全性
Intruder安全公司也做了类似的分析,他们发现Moltbot的广泛配置错误导致了凭证泄露、提示词注入漏洞,还有多个云服务商上的实例被攻陷。本杰明·马尔,Intruder的安全工程师,直接点出了核心问题,Clawdbot的架构设计优先考虑部署简便,而不是默认安全配置。这意味着非技术用户也能轻松部署实例,集成各种敏感服务,整个过程没有任何安全摩擦或验证环节。
没有强制防火墙要求,没有凭证验证,没有对不可信插件的沙盒隔离,这三无产品简直就是为攻击者量身定制的温床。很多用户图省事,用默认配置直接跑起来,根本不知道自己在裸奔。本杰明·马尔建议,用默认配置跑Clawdbot的用户赶紧审计自己的配置,撤销所有已连接的服务集成,检查暴露的凭证,实施网络控制措施,还要监控是否有被入侵的迹象。这些话听起来像是马后炮,但确实是肺腑之言,毕竟亡羊补牢总比坐以待毙强。
Moltbot这个项目的设计理念就是让AI助手无处不在,能接入你日常用的所有聊天软件,这种便利性确实吸引人,但也埋下了巨大的安全隐患。当AI助手能代表你发消息、执行命令、访问你的各种账户时,它就不再是一个简单的工具,而是变成了你的数字分身。如果这个分身被黑客控制,后果不堪设想。你可以想象一下,你的微信、QQ、钉钉同时被陌生人登录,用你的身份跟老板、客户、家人聊天,这种场景光是想想就让人头皮发麻。
各大安全厂商集体警告,明文存储成致命伤
1Password、Hudson Rock和Token Security这几家安全公司也跳出来警告Moltbot的潜在危险。他们说这玩意儿对企业系统的访问深度简直毫无歉意,而且在企业安全边界之外的个人设备上运行,一旦配置错误就会变成高影响力的控制点。Token Security的数据显示,他们22%的客户组织里有员工在积极使用Clawdbot,这个数字相当惊人,说明Moltbot已经在企业环境里悄悄蔓延。
Token Security特别指出,这个平台缺乏沙盒隔离,而且用明文存储记忆和凭证,这对想窃取敏感企业数据的攻击者来说简直是送上门的大礼。沙盒隔离的意思是,程序应该在一个受限环境里运行,即使出问题也不会影响整个系统,但Moltbot显然没这么做。明文存储更是犯了安全大忌,密码、密钥这些敏感信息至少应该加密或者哈希处理,直接明文保存就等于把钥匙挂在门把手上。
1Password的说法更直接,如果你的Moltbot所在的机器被攻击者拿下,他们根本不需要搞什么高端操作。现代的信息窃取器会扫描常见目录,把看起来像凭证、令牌、会话日志或开发者配置的东西全部打包带走。如果你的代理把API密钥、Webhook令牌、对话记录、长期记忆都明文存在已知位置,信息窃取器几秒钟就能把整个数据库搬空。Hudson Rock也观察到,RedLine、Lumma、Vidar这些主流恶意软件即服务(MaaS)家族正在针对这些目录结构做专门适配,目的很明确,就是偷Moltbot里的数据。
认知上下文窃取,记忆投毒成新威胁
Hudson Rock提出了一个叫认知上下文窃取的概念,这听起来像是科幻小说里的情节,但实际上已经在发生了。对信息窃取器来说,Moltbot里的数据很独特,偷的不只是密码那么简单,而是你的整个认知上下文。这包括你跟AI的对话历史、你的 preferences、你的工作流程、你的思维方式,这些东西比单纯的密码值钱多了。攻击者可以利用这些信息构建你的心理画像,预测你的行为模式,甚至冒充你跟其他人互动。
威胁不只是数据外泄,还有代理劫持。如果攻击者获得了写入权限,比如通过远程访问木马(RAT),他们就能搞记忆投毒。记忆投毒的意思是,攻击者可以修改AI的记忆,植入虚假信息或后门指令。想象一下,你的AI助手突然开始建议你访问某个恶意网站,或者在关键时刻给你错误的建议,这些都是记忆投毒的可能后果。这种攻击方式比传统的木马更难察觉,因为AI的行为变化可能被误认为是正常的学习过程。
微软在发现这个恶意扩展后已经把它下架了,但 damage 可能已经造成。安装了这个扩展的开发者需要立即检查自己的系统,看看有没有Code.exe或者DWrite.dll这些可疑文件,还要检查网络连接日志,看有没有连到meeting.bulletmailer.net这个地址。如果发现异常,赶紧断网、杀毒、改密码,必要时重装系统。对于这种级别的入侵,宁可错杀一千不能放过一个,毕竟你的代码、你的账户、你的隐私都可能是攻击者的目标。
技能库里面藏着诈骗
另外:Clawdbot 的公共技能库简直是安全噩梦,加密货币诈骗犯到处试图注入提示符。今天,这个名为“axiom-agent”的技能下载量就达到了数千次。(友情提示:不要运行任何你没有完整阅读过的技能!)
这个工具https://caterpillar.alice.io/能扫描AI代理技能以发现安全威胁: 在安装之前,确保它是安全的。 毛毛虫会扫描每一个技能,然后才能造成伤害。