Clawdbot (Moltbot): Ukryte Ryzyka Osobistego Agenta AI i Jak Chronić Firmę

Dawid Bakaj
Utworzone przez Dawid Bakaj • sobota, 31.01.2026, 12:56 • AI w cyberbezpieczeństwie


Clawdbot Detection and Blocking Strategies: A Comprehensive Guide for Enterprise Security Teams

Podsumowanie najważniejszych informacji:

  • Clawdbot, obecnie znany jako Moltbot, stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
  • Jego głęboka integracja z narzędziami korporacyjnymi zwiększa ryzyko eksfiltracji danych.
  • Funkcjonuje jako autonomiczny agent AI, co powoduje brak widoczności i kontroli dla zespołów IT.
  • Uchwytuje kluczowe dane, takie jak wiadomości i pliki, poza firmowym perymetrem bezpieczeństwa.
  • Agent często działa na prywatnych, niezabezpieczonych urządzeniach użytkowników.
  • Problemy obejmują przechowywanie poświadczeń w zwykłym tekście i publicznie dostępne panele administracyjne.
  • Ewentualne zagrożenia obejmują ataki typu prompt injection, brak domyślnego sandboxingu i potencjał kompromitacji.
  • Zalecane są wielowarstwowe podejścia do wykrywania i blokowania agenta w sieci firmowej.
  • Należy korzystać z narzędzi do monitorowania punktów końcowych oraz analizować logi i wzorce zachowań sieciowych.
  • Zastosowanie zaawansowanych rozwiązań, jak CASB i zarządzanie Shadow AI, jest kluczowe dla ochrony danych.

Clawdbot (Moltbot): Ukryte Ryzyka Osobistego Agenta AI i Jak Chronić Firmę

Współczesne organizacje nieustannie poszukują sposobów na zwiększenie produktywności i automatyzację powtarzalnych zadań. W odpowiedzi na te potrzeby, na rynku pojawiają się coraz bardziej zaawansowane narzędzia oparte na sztucznej inteligencji. Jednym z nich jest Clawdbot (niedawno przemianowany na Moltbot) – osobisty agent AI, który obiecuje zrewolucjonizować sposób, w jaki pracownicy wchodzą w interakcję z firmowymi systemami. Jednak za fasadą wygody kryją się poważne zagrożenia dla bezpieczeństwa. Czym jest Clawdbot, jakie stwarza ryzyka dla Twojej firmy i jak można się przed nimi bronić?

Clawdbot to narzędzie open-source, które działa lokalnie na urządzeniach z systemem Mac lub Linux. Jego siła leży w głębokiej integracji z kluczowymi narzędziami korporacyjnymi, takimi jak Slack, Microsoft Teams, poczta e-mail, kalendarze czy systemy plików. Dzięki temu może autonomicznie wykonywać zadania w imieniu użytkownika. Niestety, ta autonomia i szeroki dostęp do danych tworzą nowe, niebezpieczne wektory ataku, które mogą prowadzić do eksfiltracji danych korporacyjnych i obejścia istniejących zabezpieczeń (źródło). W tym artykule przeprowadzimy dogłębną analizę zagrożeń związanych z Clawdbotem i przedstawimy konkretne, praktyczne strategie wykrywania i mitygacji, które pomogą zespołom bezpieczeństwa chronić swoje organizacje.

Czym dokładnie jest Clawdbot? – Agent AI w cieniu Twojej infrastruktury

Aby zrozumieć ryzyko, musimy najpierw pojąć, jak działa Clawdbot. Nie jest to typowy chatbot, z którym prowadzimy rozmowę w oknie przeglądarki. Clawdbot funkcjonuje jako tzw. agencyjna AI (agentic AI), co oznacza, że jest to autonomiczny program działający nieprzerwanie (24/7) na urządzeniu użytkownika, takim jak osobisty laptop czy dedykowany Mac Mini (źródło). Posiada on trwałą pamięć, co pozwala mu monitorować skrzynkę odbiorczą, przetwarzać dane przez noc i dostarczać gotowe podsumowania rano. W przeciwieństwie do pasywnych asystentów, Clawdbot proaktywnie kontaktuje się z użytkownikiem i utrzymuje kontekst sesji, co czyni go niezwykle potężnym narzędziem.

Jego architektura pozwala na integrację z szeroką gamą platform komunikacyjnych, które służą jako interfejs użytkownika. Należą do nich Slack, WhatsApp, Telegram, Discord, Microsoft Teams, Signal, a nawet iMessage. Równocześnie agent ma dostęp do lokalnego systemu operacyjnego, co umożliwia mu wykonywanie poleceń w terminalu, odczyt i zapis plików, kontrolowanie przeglądarki internetowej oraz przeglądanie stron WWW (źródło). Trafnie opisuje się go jako „Claude (lub inny LLM) z rękami”, co podkreśla jego zdolność do aktywnego działania w cyfrowym środowisku użytkownika.

Kluczowe możliwości Clawdbota obejmują:

  • Zarządzanie komunikacją i dokumentami: Agent może czytać i odpowiadać na e-maile, zarządzać wpisami w kalendarzu oraz tworzyć podsumowania dokumentów lub całych kanałów komunikacyjnych. Użytkownik może na przykład za pomocą wiadomości na WhatsApp zapytać Clawdbota o dane dotyczące przychodów z konkretnego kanału na Slacku.
  • Wykonywanie poleceń systemowych: Clawdbot jest w stanie uruchamiać polecenia w terminalu i skrypty, co daje mu niemal nieograniczone możliwości interakcji z lokalnym środowiskiem komputera.
  • Integracja z API korporacyjnymi: Dzięki wykorzystaniu tokenów OAuth, agent może integrować się bezpośrednio z firmowymi aplikacjami i usługami, uzyskując dostęp do chronionych zasobów.

Największym wyzwaniem z perspektywy bezpieczeństwa jest fakt, że Clawdbot najczęściej działa na prywatnych, niezarządzanych przez firmę urządzeniach. Oznacza to, że jego aktywność odbywa się poza firmowym perymetrem bezpieczeństwa, bez jakiegokolwiek centralnego logowania czy nadzoru. Co ciekawe, jedno ze źródeł opisuje go jako bota do moderacji na Discordzie, jednak jest to opis niezgodny z dominującą analizą, która jednoznacznie identyfikuje go jako osobistego agenta AI (źródło).

Główne Ryzyka Bezpieczeństwa – Cicha Infiltracja Danych Firmowych

Wdrożenie Clawdbota przez pracowników prowadzi do powstania zjawiska znanego jako Shadow AI – nieautoryzowanego i niewidocznego dla działów IT wykorzystania sztucznej inteligencji. Ponieważ pracownicy sami udzielają agentowi szerokich uprawnień do wrażliwych systemów, Clawdbot z łatwością omija tradycyjne mechanizmy obronne, takie jak systemy zapobiegania utracie danych (DLP), bramki e-mail czy ścieżki audytu (źródło).

Analiza ekspertów ds. bezpieczeństwa wskazuje na kilka fundamentalnych zagrożeń:

  1. Przechowywanie poświadczeń w postaci zwykłego tekstu (Plaintext): Jest to jedno z najbardziej krytycznych uchybień. Pliki konfiguracyjne oraz tokeny dostępowe są zapisywane w czytelnych plikach tekstowych w katalogach takich jak ~/.clawdbot/ lub ~/clawd/. Oznacza to, że każdy proces działający na poziomie uprawnień użytkownika – w tym złośliwe oprogramowanie – może uzyskać do nich dostęp, a tym samym przejąć kontrolę nad wszystkimi zintegrowanymi kontami firmowymi.
  2. Publicznie dostępne panele administracyjne: Badania wykazały, że setki nieautoryzowanych paneli administracyjnych Clawdbota były wystawione publicznie w internecie. Te panele ujawniały klucze API, tokeny OAuth oraz historię operacji agenta. W niektórych przypadkach pozwalały nawet na zdalne wykonanie kodu (RCE), co stanowi bezpośrednią drogę do przejęcia kontroli nad urządzeniem i danymi.
  3. Narażenie danych korporacyjnych: Clawdbot staje się mostem, przez który poufne dane firmowe – wiadomości ze Slacka i Teams, e-maile, pliki – przepływają z chronionych systemów korporacyjnych na prywatne urządzenia, a stamtąd do aplikacji konsumenckich, takich jak WhatsApp czy Telegram. Taki transfer odbywa się z pominięciem wszelkich firmowych kontroli bezpieczeństwa. Co więcej, agent jest podatny na ataki typu prompt injection przeprowadzane za pośrednictwem e-maili, wiadomości na czacie czy specjalnie spreparowanych stron internetowych. Zmanipulowany agent może nieświadomie wykonać polecenia atakującego.
  4. Brak domyślnego sandoboxingu: Domyślnie Clawdbot nie działa w izolowanym środowisku (sandbox). Posiada pełny dostęp do powłoki systemowej, plików i przeglądarki na poziomie uprawnień użytkownika, który go uruchomił. Sama dokumentacja projektu przyznaje, że „nie istnieje idealnie bezpieczna konfiguracja” bez niestandardowych, zaawansowanych ustawień wprowadzonych przez samego użytkownika.
  5. Potencjał kompromitacji: Jeśli urządzenie, na którym działa Clawdbot, zostanie zainfekowane złośliwym oprogramowaniem, skutki mogą być katastrofalne. Malware może wykorzystać uprawnienia agenta do usuwania e-maili, wysyłania szkodliwych lub kompromitujących wiadomości w imieniu pracownika, a przede wszystkim do masowej eksfiltracji danych z systemów, do których agent ma autoryzowany dostęp.
  6. Całkowity brak nadzoru: Ponieważ agent działa na prywatnym sprzęcie, zespoły ds. bezpieczeństwa IT nie mają żadnej widoczności ani kontroli nad tym, jakie dane są przetwarzane, ani dokąd są wysyłane (źródło). To tworzy ogromną, czarną dziurę w systemie monitorowania bezpieczeństwa organizacji.

Badacz bezpieczeństwa Jamieson O’Reilly udokumentował powszechność tych zagrożeń, podkreślając, że Clawdbot stanowi wysoce niebezpieczny punkt kontrolny, który może być nadużywany do kradzieży danych i automatyzacji złośliwych działań.

Strategie Wykrywania – Jak Zidentyfikować Clawdbota w Sieci Firmowej

Skala problemu jest znacząca. Szacuje się, że jedna na pięć organizacji ma zainstalowanego Clawdbota, często na dedykowanym sprzęcie, który ma rzekomo izolować zagrożenie. Identyfikacja tego typu nieautoryzowanego oprogramowania wymaga wielowarstwowego podejścia, łączącego monitorowanie punktów końcowych i analizę ruchu sieciowego.

Oto kluczowe metody wykrywania Clawdbota w środowisku korporacyjnym:

Metoda WykrywaniaOpisNarzędzia i Wskaźniki
Skanowanie punktów końcowychAktywne monitorowanie procesów, katalogów i plików charakterystycznych dla instalacji Clawdbota.Należy skonfigurować narzędzia EDR (Endpoint Detection and Response), takie jak CrowdStrike czy Microsoft Defender, do wyszukiwania procesów o nazwach Clawdbot lub Moltbot oraz katalogów ~/.clawdbot/ i ~/clawd/. Dodatkowo, narzędzia takie jak ai-bom CLI mogą pomóc w skanowaniu zależności Pythona związanych z agentami AI.
Analiza wzorców dostępuŚledzenie nietypowych aktywności związanych z autoryzacją i dostępem do zasobów firmowych.Zespoły bezpieczeństwa powinny analizować logi w systemach SIEM pod kątem nietypowych autoryzacji OAuth, zwłaszcza tych przyznających szerokie uprawnienia (np. odczyt/zapis do wszystkich kanałów, wiadomości prywatnych i plików w Slacku czy Teams). Alarmujący powinien być również dostęp do kluczowych usług (Google Workspace, Microsoft 365) z prywatnych adresów IP.
Analiza zachowań sieciowychWykrywanie charakterystycznego ruchu sieciowego generowanego przez agenta.Należy monitorować logi proxy w poszukiwaniu połączeń z niezarządzanych urządzeń do API dużych modeli językowych (LLM), takich jak Claude. Równie podejrzany jest przepływ danych, który wygląda jak podsumowania informacji firmowych, do konsumenckich aplikacji komunikacyjnych, np. WhatsApp czy Telegram.
Mapowanie Shadow AIWykorzystanie specjalistycznych narzędzi do odkrywania nieautoryzowanych wdrożeń AI w organizacji.Narzędzia takie jak Snyk AI-SPM (AI Security Posture Management) pozwalają na automatyczne odkrywanie modeli AI, serwerów sterujących (MCP) i ich zależności w całym środowisku. Pomaga to oflagować nieautoryzowanych agentów, którzy omijają standardowe kontrole bezpieczeństwa.

Blokowanie i Mitygacja – Praktyczne Kroki Ochrony

Po wykryciu Clawdbota kluczowe jest podjęcie natychmiastowych działań w celu zablokowania jego działania i ograniczenia potencjalnych szkód. Skuteczna strategia obronna powinna opierać się na wdrożeniu wielowarstwowych kontroli.

  • Cofanie uprawnień: Pierwszym i najważniejszym krokiem jest przeprowadzenie audytu tokenów OAuth i uprawnień przyznanych aplikacjom w kluczowych systemach, takich jak Slack, Microsoft Teams czy Google Workspace. Należy natychmiast cofnąć wszelkie nadmierne lub podejrzane uprawnienia, zwłaszcza te, które pozwalają na szeroki dostęp do danych.
  • Polityki na punktach końcowych: Na zarządzanych urządzeniach firmowych należy wdrożyć polityki blokujące Clawdbota. Można to osiągnąć poprzez mechanizmy app whitelisting (listy dozwolonych aplikacji) lub blokowanie konkretnych procesów i katalogów związanych z agentem. Wymuszanie uruchamiania aplikacji w trybie sandboxingu również znacząco ogranicza potencjalne szkody.
  • Ochrona w czasie rzeczywistym (Runtime Protection): Zaawansowane rozwiązania bezpieczeństwa oferują ochronę w czasie rzeczywistym przed zagrożeniami związanymi z AI. Wdrożenie tzw. “agent guards” może zapobiegać eksfiltracji danych, automatycznie usuwać poufne dane (secrets stripping) z przetwarzanych zapytań, filtrować niebezpieczne narzędzia oraz mapować i blokować tzw. “toksyczne przepływy” (np. próby podsumowania wrażliwych danych z kanału HR i wysłania ich na zewnątrz).
  • Rozwiązania typu CASB (Cloud Access Security Broker): Narzędzia takie jak Netskope oferują specjalistyczne mechanizmy ochrony przed ryzykiem związanym z przepływem danych w środowiskach SaaS, w tym dedykowane zabezpieczenia przed zagrożeniami stwarzanymi przez Moltbot/Clawdbot.

Warto również wykorzystać wbudowane w Clawdbota mechanizmy kontroli, choćby po to, by zrozumieć jego logikę. Narzędzie oferuje takie funkcje jak listy dozwolonych i zablokowanych narzędzi czy reguły dotyczące komunikacji (DM pairing, grupowe listy dozwolonych). Z perspektywy firmy, polityki te powinny być centralnie narzucane i regularnie audytowane. Co więcej, Clawdbot posiada wbudowane narzędzie CLI (clawdbot audit --fix), które pomaga zidentyfikować błędne konfiguracje. Jego regularne uruchamianie powinno być częścią wewnętrznych procedur zgodności, jeśli firma zdecyduje się na kontrolowane użycie podobnych narzędzi.

Wbudowane Zabezpieczenia Clawdbota – Czy Są Wystarczające?

Twórcy Clawdbota są świadomi pewnych ryzyk i wbudowali w narzędzie kilka mechanizmów mających je ograniczyć. Dokumentacja promuje stosowanie takich funkcji jak “mention gating” (agent reaguje tylko wtedy, gdy zostanie bezpośrednio oznaczony w rozmowie grupowej), polityki dotyczące wiadomości prywatnych (np. zezwalanie na komunikację tylko z predefiniowaną listą użytkowników) oraz wspomniane narzędzie audytujące.

Niestety, skuteczność tych zabezpieczeń w środowisku korporacyjnym jest bardzo ograniczona. Po pierwsze, opierają się one na dyscyplinie i świadomości technicznej samego użytkownika, który może je łatwo wyłączyć lub błędnie skonfigurować. Po drugie, w żaden sposób nie rozwiązują one fundamentalnego problemu braku centralnego nadzoru i widoczności dla zespołów bezpieczeństwa. Nawet wdrożenie agenta na odizolowanym sprzęcie, jak Mac Mini, jedynie ogranicza ryzyko zainfekowania głównego komputera użytkownika, ale nie chroni poświadczeń zapisanych na tym urządzeniu, jeśli zostanie ono skompromitowane. Mimo tych wad, należy przyznać, że transparentny model zagrożeń przedstawiony przez twórców Clawdbota jest krokiem w dobrą stronę w porównaniu do wielu zamkniętych, komercyjnych narzędzi, których wewnętrzne mechanizmy bezpieczeństwa pozostają nieznane.

Rekomendacje dla Firm – Od Widoczności do Kontroli

Pojawienie się osobistych agentów AI, takich jak Clawdbot, stanowi nowe, poważne wyzwanie dla cyberbezpieczeństwa. Traktowanie go jako kolejnej nieautoryzowanej aplikacji jest błędem. Ze względu na jego autonomię i głęboką integrację, należy go postrzegać jako “ukrytego superużytkownika” lub “cyfrowego lokaja”, który cicho infiltruje firmowe procesy i uzyskuje dostęp do najcenniejszych danych.

Rekomendowana strategia działania powinna opierać się na dwóch filarach: najpierw widoczność, potem kontrola.

  1. Zapewnij widoczność: Skup się na proaktywnym odkrywaniu nieautoryzowanych agentów AI. W tym celu regularnie przeprowadzaj skanowanie punktów końcowych i audyty uprawnień OAuth. Wykorzystaj analizę logów sieciowych i SIEM do identyfikacji podejrzanych wzorców aktywności. Rozważ wdrożenie narzędzi do skanowania AI-BOM (AI Bill of Materials), aby uzyskać pełny obraz wykorzystywanych komponentów AI w organizacji.
  2. Wdróż kontrolę: Po zidentyfikowaniu zagrożenia, natychmiast cofaj nadmierne uprawnienia i blokuj działanie nieautoryzowanych agentów za pomocą polityk na punktach końcowych. Wprowadź zaawansowane mechanizmy ochrony w czasie rzeczywistym, aby zapobiegać eksfiltracji danych.

Analitycy z firmy Forrester ostrzegają, że zjawisko rozprzestrzeniania się osobistych agentów AI będzie narastać. Chociaż narzędzia te oferują ogromny potencjał, ich niezarządzana natura wymaga od firm proaktywnego podejścia do blokowania i kontroli, zanim wycieki danych staną się “głęboko osadzone” w codziennych operacjach. Należy pamiętać, że obecne analizy skupiają się na ryzykach, ale brakuje jeszcze publicznych statystyk dotyczących konkretnych incydentów. Rebranding na Moltbot może również oznaczać ewolucję zagrożeń, co wymaga ciągłego monitorowania tego zjawiska.

Jak możemy pomóc?

Identyfikacja i neutralizacja ukrytych zagrożeń, takich jak Clawdbot, wymaga specjalistycznej wiedzy i zaawansowanych narzędzi. W VIPentest rozumiemy, że nowoczesne środowiska IT są złożone, a zagrożenia ewoluują szybciej niż kiedykolwiek.

Nasze usługi testów penetracyjnych aplikacji webowych i infrastruktury, a także audyty bezpieczeństwa, pomagają organizacjom zidentyfikować takie “ślepe punkty” w ich systemach obronnych. Analizujemy konfiguracje systemów, polityki dostępu oraz świadomość pracowników, aby dostarczyć kompleksowy obraz ryzyk i praktyczne rekomendacje ich eliminacji. Jeśli chcesz upewnić się, że Twoja firma jest przygotowana na wyzwania związane z Shadow AI i innymi nowoczesnymi zagrożeniami, skontaktuj się z nami.

Chętnie omówimy, jak możemy wesprzeć Twój zespół w budowaniu bezpieczniejszego środowiska cyfrowego. Zapraszamy do rozmowy. Kontakt.

Checklista: Kluczowe kroki


  • Skonfiguruj narzędzia EDR do wykrywania procesów Clawdbota na urządzeniach firmowych

  • Przeprowadź audyt OAuth w celu cofnięcia nadmiernych uprawnień

  • Monitoruj logi SIEM pod kątem nietypowych autoryzacji i aktywności

  • Wdroż polityki punktów końcowych blokujące procesy Clawdbota

  • Zainstaluj i skonfiguruj CASB dla monitorowania przepływu danych w SaaS

  • Wykorzystaj narzędzia do odkrywania Shadow AI dla identyfikacji nieautoryzowanych agentów

  • Audytuj reguły komunikacji Clawdbota i wprowadź zewnętrzne polityki nadzoru

FAQ

Czym jest Clawdbot i dlaczego jest niebezpieczny?

Clawdbot, znany również jako Moltbot, to osobisty agent AI działający lokalnie na urządzeniach Mac lub Linux, umożliwiający autonomiczne wykonywanie zadań dzięki integracji z narzędziami korporacyjnymi. Jest niebezpieczny, ponieważ działa poza firmowym perymetrem bezpieczeństwa, a jego autonomia i szeroki dostęp do danych tworzą nowe wektory ataku.

Jakie są główne ryzyka związane z używaniem Clawdbota?

Clawdbot stwarza ryzyko takie jak przechowywanie poświadczeń w postaci zwykłego tekstu, publicznie dostępne panele administracyjne, narażenie danych korporacyjnych, brak domyślnego sandoboxingu, potencjał kompromitacji oraz całkowity brak nadzoru nad jego aktywnością.

Jak zidentyfikować Clawdbota w sieci firmowej?

Identyfikacja Clawdbota wymaga monitorowania punktów końcowych, analizy wzorców dostępu, analizy zachowań sieciowych oraz mapowania Shadow AI. Narzędzia takie jak EDR, SIEM oraz specjalistyczne oprogramowanie do zarządzania bezpieczeństwem AI mogą być pomocne w tym procesie.

Jakie kroki podjąć, aby zabezpieczyć firmę przed Clawdbotem?

Aby zabezpieczyć firmę przed Clawdbotem, należy cofnąć nadmierne uprawnienia, wdrożyć polityki blokujące na punktach końcowych, zapewnić ochronę w czasie rzeczywistym, oraz rozważyć implementację rozwiązań typu CASB. Dodatkowo, warto stosować wbudowane w Clawdbota mechanizmy kontroli.

Jakie rekomendacje są kluczowe dla firm w kontekście zarządzania Clawdbotem?

Firmy powinny skupić się na zapewnieniu widoczności poprzez aktywne odkrywanie nieautoryzowanych agentów AI oraz wdrożeniu kontroli poprzez cofanie nadmiernych uprawnień i blokowanie nieautoryzowanego działania agentów za pomocą zaawansowanych mechanizmów ochrony.

Gotowy zabezpieczyć swoją infrastrukturę?

Skontaktuj się z nami i otrzymaj bezpłatną konsultację. Nasi certyfikowani eksperci pomogą dobrać optymalny zakres testów penetracyjnych dla Twojej organizacji.

    *Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę VIPentest Sp. z o.o. Więcej informacji o tym, jak chronimy powierzone nam dane osobowe i na jakiej podstawie je przetwarzamy znajduje się w Polityce Prywatności oraz RODO

    Tagi

    analiza ryzyka bezpieczeństwo AI Clawdbot cyberzagrożenia dane osobowe mitygacja Shadow AI