假冒的Moltbot AI編碼助手
網路安全研究人員在微軟官方應用商店中發現了一個惡意的 Visual Studio Code 擴展程序,該擴展程序虛假宣傳自己是一款免費的、基於人工智能的 Moltbot(原名 Clawdbot)代碼助手。實際上,該擴充功能並沒有提供任何合法功能,而是悄無聲息地向受感染的系統部署了惡意程式。
這款名為「ClawdBot Agent – AI Coding Assistant」(clawdbot.clawdbot-agent)的擴充功能由名為「clawdbot」的使用者於2026年1月27日發布。微軟隨後已將其從應用程式商店下架。不法分子利用Moltbot迅速走紅的勢頭,誘騙不知情的開發者安裝這款Moltbot官方並未提供的工具。
目錄
為什麼Moltbot是極具吸引力的誘餌
Moltbot 在 GitHub 上的星標數量已突破 85,000 個,這主要得益於其承諾提供基於大型語言模型的本地託管個人 AI 助理。該平台支援透過 WhatsApp、Telegram、Slack、Discord、Signal、iMessage、Microsoft Teams、Google Chat 和網頁聊天用戶端等常用服務進行互動。
一個經常被忽略的關鍵點是,Moltbot 並沒有合法的 VS Code 擴充。攻擊者利用了這個漏洞,引入了一個旨在與開發者生態系統無縫融合的偽造插件。
從 IDE 啟動到完全遠端控制
安裝完成後,惡意擴充功能會在每次啟動 VS Code 時自動執行。它會從 clawdbot.getintwopc.site 取得遠端 config.json 文件,該檔案指示擴充功能執行名為 Code.exe 的二進位檔案。這個可執行檔會部署一個合法的遠端存取工具:ConnectWise ScreenConnect。
安裝好的 ScreenConnect 用戶端隨後連接到 meeting.bulletmailer.net:8041,使攻擊者能夠持久、互動地遠端存取受感染的電腦。
冗餘交付和彈性策略
攻擊者運行著自己的 ScreenConnect 中繼基礎設施,並透過擴充功能分發預先設定的用戶端。多種備用機制確保即使主命令與控制通道發生故障,有效載荷也能順利送達。
其中包括:
- 檢索並側載 config.json 中引用的基於 Rust 的惡意 DLL (DWrite.dll),該 DLL 能夠從 Dropbox 下載 ScreenConnect 用戶端。
- 透過 Code.exe 進行 DLL 側加載,當惡意程式庫位於相同目錄時,Code.exe 會優先載入該惡意程式庫。
- 擴充功能中硬編碼的 URL 指向備用下載位置。
更深入的分析表明,攻擊者預料到了操作故障,因為一些機制不可靠,但卻採用了多層持久化措施。
更大的風險:不安全的 Moltbot 部署
除了惡意擴充功能之外,研究人員還發現了數百個未經身份驗證的 Moltbot 線上實例。這些實例是由於典型的反向代理配置錯誤造成的,導致設定檔、API 金鑰、OAuth 憑證和私人聊天記錄暴露在外。
此漏洞源自於 Moltbot 自動核准「本機」連線的功能,以及其部署在反向代理程式之後的情況。來自互聯網的流量被錯誤地視為可信任的本地訪問,從而實現了未經身份驗證的控制。
當人工智慧代理成為攻擊代理時
Moltbot代理程式擁有自主運作能力。它們可以代表用戶發送訊息、在主流訊息平台上進行互動、執行工具和運行命令。一旦獲得未經授權的存取權限,這將帶來嚴重的風險。
- 被收買的特務可能被濫用以達到以下目的:
- 冒充運營商並將資訊注入私人對話
- 操控代理的輸出與工作流程
- 隱蔽地竊取敏感數據
- 透過 MoltHub(原名 ClawdHub)分發惡意或帶有後門的“技能”,從而發動供應鍊式攻擊。
大範圍的錯誤配置已經造成了憑證洩漏、提示注入濫用和跨雲入侵等問題的發生。
建築上的弱點
問題的核心在於 Moltbot 的架構理念。該平台優先考慮的是無縫部署,而非強化預設設定。使用者可以快速整合敏感的企業服務,而無需強制執行防火牆、憑證驗證或插件沙箱。
安全專家警告稱,Moltbot 能夠深度存取企業系統,通常是透過位於傳統安全邊界之外的未經管理的個人設備進行訪問,一旦配置錯誤,就會造成嚴重的安全漏洞。由於缺乏沙箱機制,且長期記憶和憑證以明文形式存儲,Moltbot 尤其容易成為攻擊目標。
如果攻擊者攻破了主機,就不需要使用高級技術。現代資訊竊取程式通常會收集已知目錄中的令牌、API金鑰、日誌和開發者設定資料。如果這些資產未加密存儲,則可以在幾秒鐘內被竊取。
研究人員已經觀察到 RedLine、Lumma 和 Vidar 等惡意軟體即服務家族專門針對 Moltbot 相關的目錄結構進行調整。
從資料竊取到認知損害
對於資訊竊取者而言,Moltbot 資料不僅僅代表憑證。它能夠實現研究人員所說的「認知上下文竊取」。透過存取對話記錄、系統提示和長期記憶,攻擊者不僅可以了解系統,還能了解操作意圖。
如果攻擊者還獲得了寫入權限,例如透過與竊取程式一起部署的遠端存取木馬,他們就可以升級到代理劫持和記憶體投毒,隨著時間的推移,巧妙地操縱行為、輸出和信任關係。
立即採取的風險緩解措施
強烈建議使用預設設定來運行 Moltbot 的組織和個人立即採取防禦措施:
- 審核所有配置和已暴露的服務。
- 撤銷並輪換所有已連接的整合和憑證。
- 檢查系統是否有被入侵的跡象。
- 實施網路級存取控制和監控。
如果不採取果斷的補救措施,Moltbot 環境仍然極易受到靜默接管、資料竊取和下游供應鏈攻擊。
