MoltBot AI 助理爆重大安全危機：230 個惡意套件竊取密碼，社群平台同步外洩 API 金鑰

開源 AI 助理工具 MoltBot 近日接連爆發兩起重大安全事件。資安研究人員發現，短短一週內有超過 230 個惡意套件被上傳至官方套件庫，偽裝成合法工具散布竊資惡意程式。與此同時，基於 MoltBot 技術的 AI 社群平台 Moltbook 也被揭露存在嚴重資料庫配置錯誤，導致用戶電子郵件、登入權杖與 API 金鑰全數曝光。

一週內逾 230 個惡意套件入侵官方套件庫

根據社群資安入口網站 OpenSourceMalware 的報告，1 月 27 日至 2 月 1 日期間，兩批總計超過 230 個惡意套件被上傳至 ClawHub（MoltBot 官方套件庫）及 GitHub。這些套件偽裝成加密貨幣交易自動化、金融工具及社群媒體服務等實用功能，實際上卻在背景植入竊資惡意程式。

MoltBot 是一款近期快速竄紅的開源 AI 助理，設計為本地端運行，具備持久記憶功能，並可整合聊天、電子郵件及本地檔案系統等多種資源。其擴充功能稱為 skills（技能套件），用戶可透過安裝 skills 擴展助理功能。然而，資安研究員 Jamieson O'Reilly 指出，目前有數百個配置不當的 MoltBot 管理介面暴露於公開網路上，形成潛在攻擊面。

資安業者 Koi Security 進一步掃描 ClawHub 全部 2,857 個套件後，發現高達 341 個惡意套件，並確認這些套件皆源自同一攻擊行動。此外，研究人員還發現 29 個針對 ClawHub 名稱的域名仿冒（typosquatting）網站，鎖定用戶常見的拼字錯誤進行攻擊。多數惡意套件為名稱隨機化的近似複製品，部分甚至已累積數千次下載量。

攻擊手法：偽裝文件誘導執行惡意指令

這些惡意套件的攻擊手法類似 ClickFix 類型攻擊。每個惡意套件都附有詳盡的說明文件以偽裝合法性，文件中多次強調需要安裝名為「AuthTool」的輔助工具才能正常運作。

實際上，AuthTool 是惡意程式的傳遞機制。在 macOS 系統上，它以 Base64 編碼的 shell 指令形式呈現，執行後會從外部位址下載惡意負載。在 Windows 系統上，則會下載並執行受密碼保護的 ZIP 壓縮檔。

macOS 系統上植入的惡意程式被識別為 NovaStealer 變種，能透過「xattr -c」指令移除檔案隔離屬性以繞過 Gatekeeper 安全機制。該竊資程式的目標包括：加密貨幣交易所 API 金鑰、錢包檔案與助記詞、瀏覽器錢包擴充套件、macOS 鑰匙圈資料、瀏覽器密碼、SSH 金鑰、雲端服務憑證、Git 憑證及環境變數檔案（.env）。

Moltbook 社群平台同步爆發資料外洩

另一起事件發生在 Moltbook 平台。這是 Octane AI 創辦人 Matt Schlicht 於 2026 年 1 月底推出的 AI 代理人社群網路，採用 OpenClaw（前身為 MoltBot、ClawdBot）技術，讓 AI 代理人可在平台上發文、留言並組成稱為「submolts」的社群。該平台目前已累積超過 28,000 篇貼文與 233,000 則留言，並有 100 萬名人類用戶在旁觀察驗證。

資安研究人員發現，Moltbook 存在嚴重的資料庫配置錯誤，允許未經授權的外部存取。攻擊者只需透過簡單的 API 查詢（如 GET /api/agents/{id}），無需任何身分驗證即可取得代理人資料。外洩資料包括：擁有者電子郵件地址、JWT 登入權杖、OpenClaw 或 Anthropic API 金鑰，以及可供列舉攻擊的連續代理人 ID。

由於平台未設置帳號建立頻率限制，單一 OpenClaw 代理人帳號（@openclaw）竟註冊了 50 萬個假冒 AI 用戶，使媒體報導的「150 萬用戶」數據遭到質疑。

專家警告：形成「致命三角」威脅

資安專家警告，這兩起事件共同形成「致命三角」威脅：AI 代理人擁有私人資料存取權限、Moltbook 接受不受信任的輸入（可能遭受提示注入攻擊），加上外部通訊能力，可能導致憑證竊取甚至檔案刪除等破壞性行為。

知名 AI 研究員 Andrej Karpathy 稱此為「充斥垃圾訊息的規模里程碑」，同時也是「電腦安全的噩夢」。投資人 Bill Ackman 則直言「令人恐懼」。專家指出，Moltbook 社群中的提示注入攻擊可能操縱 AI 代理人洩露主機資料，而 OpenClaw 未採用沙箱隔離執行更加劇了風險。

官方回應與防護建議

MoltBot 創建者 Peter Steinberger 在社群媒體平台 X 上回應 OpenSourceMalware 的報告，坦承目前無力審核大量湧入的套件提交，用戶需自行負責確認套件安全性後再行部署。Moltbook 官方帳號（@moltbook）則尚未回應資安揭露。

Koi Security 已發布免費線上掃描工具，用戶可貼上套件網址取得安全報告。資安專家建議 MoltBot 用戶採取多層防護策略：將 AI 助理隔離於虛擬機器中運行、給予最小必要權限、確保遠端存取安全（如限制連接埠、封鎖異常流量）。對於 Moltbook 用戶與代理人擁有者，專家建議立即撤銷 API 金鑰、將代理人置於沙箱環境，並稽核潛在曝險範圍。