Un nuevo chatbot/agente de IA busca destronar a los señores corporativos de Google, Microsoft y las startups Too Large To Fail como OpenAI y Anthropic, pero ser uno de los primeros en adoptarlo conlleva algunos riesgos reales.
Moltbot (anteriormente Clawdbot, pero sufrió un cambio de nombre después de algunos presión “educada” de los creadores del chatbot Claude) es un asistente de inteligencia synthetic de código abierto presentado por el desarrollador austriaco Peter Steinberger. Básicamente es un envoltorio que se conecta a los LLM de los grandes y hace cosas. Desde su lanzamiento inicial hace un par de semanas, ha acumulado casi 90.000 favoritos en GitHub y se ha convertido en el favorito de los rincones de Web obsesionados con la IA, obteniendo todo tipo de elogios como destacado en el campo de las opciones de chatbot disponibles. La cosa estaba recibiendo tanta atención que Las acciones de Cloudflare subieron un 14%aparentemente únicamente porque el chatbot utiliza la infraestructura de Cloudflare para conectarse con modelos comerciales. (Tonos del lanzamiento inicial de DeepSeek provoca una importante liquidación a corto plazo de acciones tecnológicas.)
Hay un par de puntos de venta principales para Moltbot que tienen a Web hablando. Primero está el hecho de que *es* está “hablando”. A diferencia de la mayoría de los chatbots, Moltbot enviará un mensaje al usuario primero en lugar de esperar a que le indique que interactúe. Esto permite que Moltbot aparezca con indicaciones como recordatorios de horarios y resúmenes diarios para comenzar el día.
La otra tarjeta de presentación es el eslogan del chatbot: “IA que realmente hace cosas”. Moltbot puede funcionar en una variedad de aplicaciones con las que otros modelos no necesariamente juegan. En lugar de una interfaz de chat independiente, Moltbot se puede vincular a plataformas como WhatsApp, Telegram, Slack, Discord, Google Chat, Sign, iMessage y otras. Los usuarios pueden chatear directamente con el chatbot a través de esas aplicaciones, y este puede funcionar en otras aplicaciones para completar tareas cuando una persona se lo indique.
Suena genial, pero Moltbot tiene una audiencia inherentemente limitada debido a su funcionamiento. La configuración requiere algunos conocimientos técnicos, ya que los usuarios tendrán que configurar un servidor y navegar por la línea de comandos, así como descubrir algunos procesos de autenticación complejos para conectar todo. Es possible que deba conectarse a un modelo comercial como Claude o GPT de OpenAI a través de API, ya que, según se informa, no funciona tan bien con los LLM locales. A diferencia de otros chatbots, que se iluminan cuando se les solicita, Moltbot también está siempre activo. Eso hace que responda rápidamente, pero también significa que mantiene una conexión constante con sus aplicaciones y servicios a los que los usuarios han otorgado acceso.
Ese aspecto siempre activo ha generado más que unos pocos problemas de seguridad. Debido a que Moltbot siempre está extrayendo aplicaciones a las que está conectado, los expertos en seguridad advierten que corre un riesgo explicit de ser víctima de ataques de inyección; esencialmente, un jailbreak malicioso de un LLM puede engañar al modelo para que ignore las pautas de seguridad y realice acciones no autorizadas.
El inversor tecnológico Rahul Sood señalado en X que para que Moltbot funcione, necesita un acceso significativo a su máquina: acceso completo al shell, la capacidad de leer y escribir archivos en su sistema, acceso a sus aplicaciones conectadas, incluido el correo electrónico, el calendario, las aplicaciones de mensajería y el navegador net. “’Realmente hacer cosas’ significa ‘puede ejecutar comandos arbitrarios en su computadora’”, advirtió.
Los riesgos aquí ya se han materializado de alguna forma. Ruslan Mikhalov, jefe de investigación de amenazas de la plataforma de ciberseguridad SOC Prime, publicó un informe indicando que su equipo encontró “cientos de instancias de Moltbot que exponían puertos de administración no autenticados y configuraciones de proxy inseguras”.
Jamie O’Reilly, un hacker y fundador de la firma de seguridad ofensiva Dvuln, demostró cuán rápido las cosas pueden ir mal con estas vulnerabilidades abiertas. en un publicar en XO’Reilly detalló cómo desarrolló una habilidad que está disponible para descargar para Moltbot a través de MoltHub, una plataforma donde los desarrolladores pueden poner a disposición diferentes capacidades para que las ejecute el chatbot. Esa habilidad acumuló más de 4000 descargas y rápidamente se convirtió en la habilidad más descargada en la plataforma. La cuestión es que O’Reilly construyó una puerta trasera simulada en la descarga.
No hubo un ataque actual, pero O’Reilly explicó que si lo estuviera operando de manera maliciosa, en teoría podría haber tomado el contenido del archivo, las credenciales de usuario y casi cualquier otra cosa a la que Moltbot tenga acceso. “Esta fue una prueba de concepto, una demostración de lo que es posible. En manos de alguien menos escrupuloso, a esos desarrolladores se les habrían filtrado sus claves SSH, sus credenciales de AWS y sus bases de código completas antes de darse cuenta de que algo andaba mal”. el escribio.
Sin duda, Moltbot es un objetivo para este tipo de comportamiento malicioso. En un momento, Los estafadores criptográficos lograron secuestrar el nombre del proyecto. Se asoció con el chatbot en GitHub y lanzó una serie de tokens falsos, tratando de capitalizar la popularidad del proyecto.
Moltbot es un experimento interesante, y el hecho de que sea de código abierto significa que sus problemas están a la vista y pueden abordarse a la luz del día. Pero no es necesario ser un probador beta para ello, ya que se prueban sus fallos de seguridad. Heather Adkins, miembro fundadora del equipo de seguridad de Google (por lo tanto, un grano de sal aquí porque tiene un interés private en un producto de la competencia), no se anduvo con rodeos en su evaluación del chatbot. “Mi modelo de amenaza no es su modelo de amenaza, pero debería serlo. No ejecute Clawdbot”, dijo. escribió en X.
