Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Moltbot expone credenciales por despliegues inseguros de IA
Noticias

Moltbot expone credenciales por despliegues inseguros de IA

por Dragora
Escrito por Dragora

El auge de los asistentes de inteligencia artificial de código abierto está transformando la forma en que usuarios y empresas interactúan con sus sistemas. Sin embargo, esta evolución también está introduciendo nuevas superficies de ataque que muchas organizaciones aún no están preparadas para gestionar. Investigadores de seguridad han emitido advertencias urgentes sobre despliegues inseguros de Moltbot, anteriormente conocido como Clawdbot, que pueden derivar en filtraciones de claves API, tokens OAuth, historiales de conversación, credenciales y ejecución de comandos.

Qué es Moltbot y por qué se ha vuelto tan popular

Moltbot es un asistente personal de IA de código abierto, desarrollado por Peter Steinberger, diseñado para ejecutarse localmente en los dispositivos del usuario. A diferencia de los chatbots basados en la nube, Moltbot puede funcionar 24/7, mantener memoria persistente, ejecutar tareas programadas, enviar alertas proactivas y integrarse profundamente con el sistema operativo.

El asistente puede conectarse directamente a:

  • Clientes de correo electrónico

  • Aplicaciones de mensajería cifrada

  • El sistema de archivos local

  • Scripts y flujos de trabajo del usuario

Esta capacidad de integración profunda, sumada a su facilidad de configuración, ha impulsado una adopción viral. De hecho, Moltbot ha sido tan popular que incluso incrementó las ventas de Mac Mini, ya que muchos usuarios comenzaron a adquirir equipos dedicados para alojar el asistente de forma permanente.

Interfaces de administración expuestas a Internet

El problema surge cuando Moltbot se despliega sin las medidas de seguridad adecuadas. El pentester Jamieson O’Reilly advirtió que cientos de interfaces de administración de Clawdbot Control estaban expuestas públicamente debido a configuraciones incorrectas de proxies inversos.

Moltbot aprueba automáticamente las conexiones consideradas “locales”. Sin embargo, cuando se coloca detrás de un proxy inverso mal configurado, todo el tráfico entrante desde Internet puede ser tratado como de confianza, lo que da lugar a:

  • Acceso no autenticado a la interfaz de administración

  • Robo de credenciales

  • Exposición del historial completo de conversaciones

  • Ejecución remota de comandos

  • Acceso al sistema a nivel raíz

En uno de los casos documentados, un tercero registró su propia cuenta de Signal dentro de un servidor público de Clawdbot Control, obteniendo acceso total a los mensajes y lecturas.

“Había un dispositivo Signal que conectaba mediante URI, incluso con códigos QR. Bastaba escanearlo desde un teléfono con Signal instalado para emparejarse con la cuenta y obtener acceso completo”, explicó O’Reilly.

Riesgos en la cadena de suministro de habilidades (Skills)

O’Reilly publicó una segunda fase de su investigación en la que demostró un ataque de cadena de suministro contra usuarios de Moltbot. El investigador creó una Skill (módulo de instrucciones empaquetado) con una carga útil mínima de tipo “ping” y la publicó en el registro oficial MoltHub (ClawdHub).

Al inflar artificialmente el número de descargas, la Skill se convirtió rápidamente en la más popular del repositorio. En menos de ocho horas, 16 desarrolladores de siete países distintos descargaron el módulo malicioso, demostrando lo sencillo que resulta introducir código potencialmente peligroso en el ecosistema.

O'Reilly interacting with an exposed instanceO’Reilly interacting with an exposed Moltbot instance
Source: linkedin.com

Un riesgo silencioso para las empresas

Aunque Moltbot parece orientado al usuario final, Token Security reveló que el 22% de sus clientes empresariales tienen empleados que utilizan activamente Moltbot, en muchos casos sin conocimiento ni aprobación del departamento de TI.

Entre los riesgos identificados se incluyen:

  • Exposición de gateways y tokens API/OAuth

  • Credenciales almacenadas en texto plano bajo

    1
    ~/.clawdbot/

  • Filtración de datos corporativos a través de accesos mediado por IA

  • Superficie ampliada para inyección de prompts

  • Falta total de sandboxing por defecto

La ausencia de aislamiento es especialmente crítica: el asistente de IA hereda exactamente los mismos privilegios del usuario, lo que le permite acceder a cualquier archivo, sesión o credencial disponible en el sistema.

Alertas de la industria de la seguridad

Las advertencias no se limitan a un solo investigador. Expertos y empresas como Kevin Gosschalk, 1Password, Intruder y Hudson Rock (Arkose Labs) han emitido alertas similares.

Según Intruder, ya se han observado ataques dirigidos contra endpoints expuestos de Moltbot, utilizados para robo de credenciales e inyección de prompts. Hudson Rock fue más allá, advirtiendo que malware infostealer como RedLine, Lumma y Vidar probablemente se adaptará pronto para robar datos directamente del almacenamiento local de Moltbot.

Malware camuflado como herramientas legítimas

En un incidente separado, investigadores de Aikido detectaron una extensión maliciosa de VSCode que se hacía pasar por Clawdbot. Al instalarla, la extensión desplegaba ScreenConnect RAT, otorgando a los atacantes control remoto completo sobre los sistemas de los desarrolladores afectados.

Este caso refuerza un patrón cada vez más común: los atacantes están utilizando la popularidad de herramientas de IA para distribuir malware, aprovechando la confianza del usuario en proyectos de código abierto.

Cómo desplegar Moltbot de forma segura

Los expertos coinciden en que Moltbot puede desplegarse de forma segura, pero requiere conocimiento técnico y disciplina operativa. Las recomendaciones clave incluyen:

  • Ejecutar Moltbot dentro de una máquina virtual o contenedor aislado

  • Aplicar reglas estrictas de cortafuegos y segmentación de red

  • Evitar la ejecución directa en el sistema anfitrión con privilegios root

  • Revisar y auditar Skills antes de instalarlas

  • Monitorizar accesos y actividad del asistente

Conclusión

Moltbot representa el futuro de los asistentes de IA autónomos y locales, pero también anticipa los desafíos de seguridad que acompañan a esta nueva generación de software. En entornos empresariales, donde la identidad y las credenciales son el activo más valioso, un asistente de IA mal desplegado puede convertirse en un punto único de fallo.

Fuente: BleepingComputer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!