文章总结： 本文分析了Moltbot网关因反向代理导致Localhost误判而引发的未授权访问漏洞，攻击者可窃取凭据或执行系统命令。文章建议使用云安全中心进行资产梳理、漏洞扫描及运行时防御，并强调需建立统一AI安全治理框架以应对智能体权限失控风险。 综合评分： 88 文章分类： AI安全,漏洞分析,解决方案,漏洞预警,安全建设

AI安全“无人区”：Moltbot安全事件技术分析与防护指南

阿里云安全

2026年1月29日 17:36 浙江

当AI获得“系统权限”

安全边界在哪里？

2026年1月Clawdbot（已更名Moltbot）爆火，1月23日安全研究人员于互联网上披露Clawdbot Gateways未授权访问漏洞。目前已发现的包括1000+网关暴露、数百个实例存在未授权访问，API密钥泄露风险等。主要原因是开发者对“易用性”的追求和安全基线缺失之间的矛盾没有做好平衡。

事件全景

Moltbot为何成2026开年安全焦点？

近期在GitHub上爆火的开源项目：星标数一周破9万+！它不是一个简单的聊天机器人，而是一个运行在你本地设备、拥有“手脚”和“记忆”的AI智能体，其所有的记忆和配置以Markdown格式存在本地，保证了数据隐私的同时可以随着本地数据的积累获得更多的能力。

业务便利与安全性在很多时候都是福祸相依的关系，在经历病毒式的火爆传播后，安全问题随之扩散开来。2026年1月23日，大规模暴露确认——安全研究员发现上千个Moltbot（Clawdbot）Gateway实例暴露在公网，其中数百个实例存在未授权访问。

技术剖析

AI获得root权限

由于Moltbot的网关服务（Gateway）在设计上默认信任本地连接（Localhost），当用户通过反向代理（如Nginx）将其部署时，所有外部请求经代理转发后，源IP均显示为127.0.0.1，导致Moltbot Gateway将互联网流量误判为本地连接，从而攻击者可构造恶意请求绕过身份验证，直接调用Moltbot的相关功能。

Moltbot官方于2026年1月25日发布相关补丁，修复此漏洞。补丁链接可参考 https://github.com/moltbot/moltbot/pull/1795

风险量化

你的数据正在被谁“看见”？

AI时代，Agent智能体不仅是生产力工具，更是企业内网的新威胁暴露面。

一旦Agent框架/工具（如Moltbot）存在未授权访问漏洞，其风险将从传统的“数据泄露”升级为“系统接管”。攻击者所面对的不只是一个静态数据库或者工具，而是一个拥有高权限、高上下文关联、且具备执行能力的“虚拟雇员”。在此背景下，一旦被攻破，将面临如下的风险：

凭据窃取与信息泄漏

由于Moltbot往往集成有OpenAI、Claude等主流大模型的API Key，以及内网各类数据库、云服务等访问凭据。攻击者获取这些凭据后，可进一步作为跳板进入云端基础设施，实施更大规模的横向移动与资源窃取。

智能体功能劫持与恶意滥用

攻击者可直接接管Moltbot Agent智能体身份，利用其已建立的信任关系向他人发送带有欺骗性的指令或钓鱼链接。由于Agent通常被视为“官方/自动化助手”，此类攻击的成功率极高。

任意命令执行

诸如Moltbot等此类高级Agent框架通常具有执行代码的高级权限以解决复杂问题。攻击者可直接操控Agent在服务器上执行任意系统命令，控制承载Agent的服务器。

防护实战

从检测到加固的完整方案

如果您已在阿里云服务器上部署Moltbot（Clawdbot），我们建议您使用云安全中心从资产梳理、风险发现、安全加固和相应处置四个阶段对您的AI服务进行防护。

资产梳理：清点环境中有哪些已部署的Moltbot

方式一：资产中心 → 主机资产 → 进程，输入进程名Moltbot（Clawdbot）筛选所已部署服务器

方式二：资产中心 → 主机资产 → AI组件 → AI工具，输入Moltbot（Clawdbot）筛选所已部署的服务器。

漏洞扫描：发现当前所部署的Moltbot是否存在未授权访问漏洞

方式一：风险治理 → 漏洞管理 → 一键扫描（应用漏洞），扫描后在应用漏洞分类下关注查看漏洞：Moltbot（Clawdbot）Gateways 未授权访问漏洞

运行时防御：监控“AI服务及资产的异常行为”

• 开启防勒索对重要文件定期备份，以防止重要数据被破坏后无法恢复。
• 开启病毒查杀：周期性对主机文件做扫描，以防止被植入恶意病毒文件。

• 主机规则管理：开启所有网络防御和进程防御规则，对攻击者的恶意行为实施拦截防护。
• 核心文件监控：对重要文件配置监控规则，非白名单进程试图读取这些文件时，立即上报告警。

检测分析响应

安全告警：云安全中心支持对攻击者的恶意行为实时检测并上报告警，实时感知资产的安全状况。

AI Agent安全治理的“无人区”

AI Agent“自主性”与安全“可控性”的冲突源于安全模型的过时

进入2026年，AI Agent正从“助手”向“数字人”快速演进，Moltbot（Clawdbot）从“一夜爆红”到被揭示存在严重的安全隐患而引发广泛关注，核心冲突在于：Agent自主性被赋予解决复杂问题的能力，但这种“不受控”的行为模式却“天然”挑战着现有的安全体系。

AI Agent的自主性意味着，它能独立完成“规划-工具调用-执行”的闭环。然而，传统安全模型是为人类设计的单点防护的静态机制，无法适应Agent的“机器速度”，以及对于多个安全技术层面同时发起的全面挑战。

对于企业和个人来说，没有治理的“自主AI”是混乱

伴随AI应用的使用激增，已有66%的企业发现AI工具访问了超出其必要范围的企业数据，60%的企业使用开源生态系统（如Hugging Face）作为AI工具来源增加了潜在的供应链风险。尽管近6成企业认可存在AI治理和监督的担心，但拥有集中AI治理的企业少之又少。

随着企业采用更多AI Agent，风险和现状巨大的落差，会逐渐将企业推向一个“安全”的临界点：大量引入的开源AI软件形成供应链的黑箱效应，授权失控导致AI Agent的权限管理处于真空地带，企业数据安全正从被动流失转向“数字员工”的主动泄漏。

通过统一的AI安全治理构建“受控的自主”

针对AI Agent的安全风险，补丁式升级已不足以应对。企业真正需要的考虑的是将现有的安全体系转型到面向AI应用（包含Agent）的新的安全框架，从基础网络、供应链、授权、数据到应用以及业务各个层面的全面治理，实现统一的AI安全管理。

阿里云安全

国际领先的云安全解决方案提供方，零信任SASE、数据安全、流量安全等8大安全域百余项核心能力，助力百行百业在云上构建生于云架构，具备高度一体化、智能化、自我进化特征的原生安全保护体系。

阿里云安全能力获权威机构认可：在IDC发布的《 中国AI赋能的公有云云工作负载安全市场份额，2024》和《中国AI赋能的云Web应用防火墙市场份额2024》 报告中，阿里云均以绝对优势连续4年位列第一；在IDC 《中国安全运营智能体实测，2025》 报告中，阿里云获总分和纬度得分最高数量双第一；在Gartner®最新发布的应用身份管理魔力象限 《Magic Quadrant™ for Access Management》 报告中，阿里云以应用身份服务 IDaaS入选该魔力象限， 成为近5年唯一入选的中国厂商产品，也是亚太唯一入选厂商。

云原生安全技术的引领探索和实践者，通过安全能力与云紧耦合，实现双向技术的变革式突破，安全能效数倍提升，高弹高可用、稳定与协同；云服务内置天然免疫基因，与用户一起共同守护云上数字原生世界安全。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：阿里云安全 《AI安全“无人区”：Moltbot安全事件技术分析与防护指南》