Le phénomène Moltbot inquiète les experts en cybersécurité

Face à l'engouement de l'agent IA Moltbot auprès des développeurs, la communauté en cybersécurité s'inquiète sur la sécurité des données.

En quelques semaines, les développeurs ont adopté un agent IA du nom de Moltbot. Il était auparavant connu sous le nom Clawdbot, mais sous la pression d’Anthropic, fournisseur de Claude, l’agent a changé de nom. Il vient même encore de changer d'appellation pour devenir Openclaw. Concrètement, il s’agit d’un projet open source créé par Peter Steinberger sous licence MIT et installable en local sur un PC. Il sert de tampon entre les applications (messagerie, navigateurs,…) et les modèles IA (Claude, ChatGPT, Ollama, Qwen,…). Disponible sur GitHub, il est capable d’automatiser plusieurs tâches (codage, navigation, gestion du calendrier, rédaction de courriels,…), de lancer des alertes et bien plus encore.

Face à l’engouement pour cet agent, les experts en cybersécurité ont tiré le signal d’alarme sur les risques sur la sécurité des données. Ainsi, Jamieson O'Reilly, fondateur de la société de pentest Dvuln, a indiqué dans un post Linkedin, avoir observé la présence d’une centaine d’instances de Moltbot exposées sur le web, susceptibles de divulguer des données confidentielles. Dans un second post, le dirigeant a également démontré une attaque de type supply chain contre les utilisateurs de Moltbot via une skill (un ensemble d’instructions) dotée d’une petite charge utile. Après une mise en avant trompeuse sur le dépôt GitHub de Moltbot, il a constaté qu’en moins de 8h, 16 développeurs avaient téléchargé le module piégé.

Une aubaine pour les cybercriminels

D’autres spécialistes pointent du doigt les menaces en entreprise avec le shadow IA où des développeurs se servent de Moltbot sans l’aval de la DSI. Et les risques sont nombreux allant de l’injection de prompt à l’exposition à l’exposition de token d’authentification. Sur ce dernier point, Token Security constate que l’agent IA stocke des fichiers mémoire en clair (Markdown et JSON) dans les répertoires ~/.clawdbot/ et ~/clawd/. Les configurations VPN, les identifiants d'entreprise, les jetons d'API et des mois d'historique de conversations y sont stockés sans chiffrement. Un cadeau pour les infostealers comme RedLine, Lumma et Vidar, avertit Hudson Rock.

Les pirates sont même déjà peut-être en action. Les chercheurs d’Aikido ont découvert une extension VSCode malveillante usurpant l’identité de Moltbot. Elle installe le RAT ScreenConnect sur les machines des développeurs. Les experts en cybersécurité appellent donc à la vigilance et à installer Moltbot avec rigueur en appliquant les règles de sécurité de base comme l’isolation de l’instance dans une VM, la configuration des règles du pare-feu.