爆红即“暴雷”？Moltbot（Clawdbot）热捧背后，无数账号正在裸奔|密钥|控制台|插件|服务器|裸奔

2026年1月AI圈最火的名字，非Clawdbot莫属（后由于Anthropic商标侵权，更名为Moltbot）。在GitHub上，它几天内狂揽了94.8K星标，被网友称为“现实版贾维斯”——不用打开复杂软件，只需在Telegram、WhatsApp等聊天工具里发一条指令，它就能帮你订机票、写代码、整理邮件，甚至接管电脑系统，自动完成一系列繁琐任务。有人靠它搞定复杂的工作流程，有人用它实现了“动动嘴就操控电脑”的梦想，一时间，Moltbot成为无数人追捧的“效率神器”。

目前阿里云、腾讯云都已跟进Moltbot部署，并全面适配企业微信、QQ、钉钉、飞书等国内主流 IM App。用户通过阿里云、腾讯云的轻量应用服务器或阿里的无影云电脑就可快速启用Moltbot。

但就在大家争相跟风部署、沉迷于它的便捷时，一场悄无声息的“安全灾难”正在蔓延。安全研究员通过Shodan（互联网设备搜索引擎）扫描发现，公网上有近千个Clawdbot/Moltbot控制台暴露在外，无需任何认证就能随意访问，用户的聊天记录、API密钥、甚至Signal加密通讯账号，都在赤裸裸地暴露在黑客面前。

爆红与暴雷仅一步之遥，今天安全牛就好好聊一聊：这个被吹上天的AI助手，到底藏着多少致命隐患？普通用户又该如何避坑？

先搞懂：Clawdbot到底是什么？

不同于ChatGPT这类“只给建议不行动”的AI聊天工具，Moltbot是一款本地部署的开源AI执行助手，核心优势就是“能听指令、会做实事”，相当于一个住在你电脑里的“私人管家”。

它的核心特点的可以总结为3点，也是它能快速爆红的关键：

入口极便捷：无需打开专门APP，通过日常使用的聊天软件就能发送指令，比如在Telegram里发一句“整理最近一周的邮件”，它就能自动执行，门槛极低；
权限极高：为了完成各类复杂任务，它需要获取电脑的系统级权限——能读写本地文件、执行Shell命令、调度系统任务，甚至访问你保存的各类账号信息；
私有化存储：所有对话记录、操作日志、用户偏好都存在本地硬盘，不用上传到云端，这也让很多注重隐私的用户误以为它“很安全”；

简单来说，Moltbot的突破，就是把大模型的“思考能力”和电脑的“执行能力”结合起来，让AI从“聊天器”变成了“执行者”。但恰恰是这种“高权限+便捷性”的组合，埋下了致命的安全隐患。

警惕！Moltbot引发的4大实际安全风险，已有多人中招

目前，Moltbot的安全风险已经不是“理论隐患”，而是实实在在发生的攻击案例。安全研究员发现，仅通过Shodan搜索关键词“clawdbot control”或端口18789，就能找到上千个暴露在公网的端点，黑客只需点几下鼠标，就能轻松窃取信息、操控设备。

这些风险主要集中在4个方面，每一个都足以让你“丢家底”：

风险1：隐私全盘泄露，无任何遮挡

一旦Moltbot控制台暴露在公网，黑客进入后就能直接查看你所有的聊天记录、联系人列表、文件传输记录——如果你的对话里有密码、银行卡信息、内部工作资料，都会被一览无余。

更可怕的是，它集成Signal等加密通讯软件时，会在本地存储账号私钥和Session数据，黑客下载这些文件后，就能直接“克隆”你的Signal账号，接收所有加密消息，相当于Signal辛苦搭建的端到端加密，瞬间变成摆设。

风险2：API密钥被窃取，钱包、账号双受损

使用Moltbot时，很多人会绑定Claude、OpenAI、Telegram等平台的API密钥，而这些密钥会以明文形式显示在控制台的配置页面里。

黑客拿到这些密钥后，一方面可以随意调用你的API配额——疯狂消耗你的费用，有人一夜之间就被耗光了上千美元的额度；另一方面，还能冒充你的Bot发送钓鱼消息，甚至操作关联服务，比如用你的GitHub密钥篡改代码、删除项目。

风险3：远程操控设备，沦为黑客“肉鸡”

Moltbot的“bash工具”允许执行Shell命令，黑客进入控制台后，只需发送一条指令，就能远程操控你的电脑：比如注入恶意代码、设置反向Shell，让你的电脑变成“肉鸡”，随时被黑客调用；甚至可以执行“rm -rf”这类高危命令，删除你电脑里的所有文件、格式化磁盘，造成不可逆的损失。

有用户反馈，自己部署Moltbot后没做好防护，第二天醒来发现电脑里的工作文件全部消失，API账号被恶意调用，损失惨重。

风险4：插件恶意攻击，雪上加霜

Moltbot的开源插件生态很丰富，但缺乏严格的审核机制。很多用户为了增加功能，随意从论坛、社群下载小众插件，而这些插件可能隐藏恶意代码，过度申请权限。

比如有些插件看似是“邮件整理工具”，实则会偷偷读取你的本地文件，向第三方服务器发送敏感信息；还有的插件会突破权限限制，操控你的聊天软件，向你的联系人发送钓鱼链接。

深挖根源：为什么Moltbot会沦为“安全陷阱”？

Moltbot的安全灾难，不是单一原因造成的，而是“产品设计+用户操作+文档误导”三方叠加的结果。总结下来，核心根源有4点：

根源1：配置设计不合理，默认安全但易被误改

Moltbot的控制台默认监听“localhost:18789”，也就是仅限本地访问，本身是安全的。但很多用户想通过手机、笔记本远程控制，就需要修改配置，将“bind”参数改为“0.0.0.0”。

很多人不知道，这个参数的差异意味着什么：在局域网（比如家里的电脑），它只监听内网IP；但在云服务器上，它会直接监听公网IP——相当于把你的控制台直接暴露给全世界，而用户往往误以为“云服务器有自带防火墙，很安全”，殊不知默认情况下防火墙是全开的。

根源2：文档误导，新手易踩坑

Moltbot的官方README文档里，“快速开始”部分直接给出了“clawdbot gateway --port 18789”的示例代码，新手往往会直接复制使用，却忽略了文档中隐藏的警告：“生产环境必须启用认证”。

更关键的是，即使不启用认证，启动时也不会报错，用户根本不知道自己的配置已经存在致命漏洞，相当于“官方手把手教你开漏洞”。

根源3：高权限设计，缺乏默认防护

Moltbot的核心功能依赖高权限，但官方只提供了基础安全框架，没有任何主动拦截机制。比如它默认允许执行高危命令、默认开放全量文件访问权限，所有防护措施都需要用户手动配置——这对普通用户来说门槛极高，大多数人根本不知道该如何修改配置、关闭冗余权限。

就像给一个刚入职的实习生，直接开放了公司的最高权限，风险可想而知。

根源4：用户安全意识薄弱，盲目跟风

这是最关键的一点。很多用户看到Moltbot爆红，就盲目跟风部署，根本不了解它的权限特性和安全隐患。包括：为了图方便，直接复制文档里的危险配置，把控制台暴露在公网；随意下载来源不明的插件，不审核代码、不限制权限；用管理员账户运行Moltbot，一旦被攻击，黑客就能获取电脑的最高控制权；

很多用户甚至觉得“我就是普通用户，没人会攻击我”，但在黑客眼里，这些暴露的控制台就是“无主的宝藏”，无论你是谁，只要有漏洞，就会被攻击。

实用指南：如果一定要用Moltbot，这5条“保命规则”必须焊死

必须明确一点：我们不是否定Moltbot的价值，它的便捷性确实无可替代，但安全永远是前提。如果你已经部署了Moltbot，或者打算尝试，建议严格遵守以下5条建议（网络暴露面、身份验证、权限控制、供应链风险、环境隔离），守住安全底线；如果只是普通用户，暂时不建议盲目跟风。

规则1：严禁绑定0.0.0.0，锁死本地访问

这是最核心、最关键的一条！无论你多需要远程控制，都不要直接将“bind”参数改为0.0.0.0。

正确做法：默认绑定127.0.0.1（仅限本地访问）；如果确实需要远程访问，用SSH隧道或Tailscale等安全隧道，比如执行“ssh -L 18789:localhost:18789 user@server”，绝对不要直接开放端口到公网。

规则2：启用强认证，给控制台加“密码锁”

如果实在需要绑定到0.0.0.0（允许远程访问），必须同时启用认证机制，并配合加密传输与访问控制形成双重防护。

基础防护：在配置文件中启用密码保护，设置复杂密码（字母+数字+特殊符号），避免简单密码被破解；
进阶防护：使用官方支持的JWT Token认证（如有），配置合理的Token有效期（例如 24小时），并定期轮换凭证，降低泄露后的长期风险。

规则3：实施“最小权限原则”，不给多余权限（非常关键）

采用allowlist（白名单）模式：默认全部拒绝，仅按需开放能力，避免Moltbot获得不必要的系统权限与执行范围。

禁用高危命令：在配置文件中设置禁用或不启用任何具备 Shell 执行能力的技能/插件，在宿主机侧使用AppArmor/SELinux、rbash、容器权限收敛等方式限制高危命令执行，仅允许明确批准的命令集合（命令 allowlist），而不是依赖黑名单封禁。
限制文件访问：仅开放指定目录的读写权限，禁止Moltbot访问系统根目录、用户主目录等敏感路径；
限制指令来源：如在官方支持的访问控制机制中配置允许的来源账号/会话范围，仅允许已认证的用户或指定渠道触发指令执行，拒绝未知来源的消息或未授权账号访问控制接口。

规则4：谨慎使用插件，拒绝“来路不明”的功能

插件是安全重灾区，一定要做好“筛选-审核-监控”三步：

筛选：只下载官方推荐插件，或GitHub上高下载量、高评分（4.5分以上）的开源插件，拒绝论坛、社群分享的“破解插件”“小众插件”；
审核：下载插件后，手动查看代码，排查是否有恶意数据传输、高危命令执行的逻辑，若插件功能简单却申请高权限，直接弃用；
监控：启用插件后，定期查看Moltbot运行日志，发现异常访问、数据传输行为，立即禁用并删除插件。

规则5：隔离部署，避免连累主力机（非常重要）

不要在存放重要文件、绑定核心账号的主力机上部署Moltbot，建议：

用旧电脑、虚拟机或Docker容器部署，实现权限隔离，即使被攻击，也不会影响主力机的数据安全；
部署时使用普通用户账户，不要用管理员账户，进一步降低权限泄露的风险；
定期运行官方安全检测命令“Moltbot doctor”，检查绑定地址、认证状态，及时修复高危提示。

写在最后：AI再便捷，也别忘记“锁门”

Moltbot的爆红与暴雷，其实是当前AI代理工具的一个缩影——当技术在追求“更便捷、更强大”时，安全往往会被忽视。我们追捧Moltbot，本质上是追求效率、向往更便捷的生活，但这绝不意味着要以牺牲隐私和安全为代价。就像安全专家说的：“裸跑Moltbot，就像是给第一天入职的实习生，直接开了公司的最高Root权限。”对于普通用户来说，与其盲目跟风部署一款自己不懂的高风险工具，不如先做好安全防护；对于已经部署的用户，一定要对照上面的建议，立即检查自己的配置，堵住漏洞。AI的未来，必然是“便捷与安全并存”。在拥抱新技术的同时，守住安全底线，才是最理性的选择。

最后，建议大家把这篇文章转发给身边正在使用Moltbot的朋友，提醒他们做好防护，避免踩坑～