Este weblog foi escrito em colaboração por Amy Chang, Vineeth Sai Narajala e Idan Habler
Nas últimas semanas, o Clawdbot (agora renomeado Moltbot) alcançou a viralidade como um agente assistente pessoal de IA auto-hospedado e de código aberto que é executado localmente e executa ações em nome do usuário. A ascensão explosiva do bot é impulsionada por vários fatores; mais notavelmente, o assistente pode realizar tarefas diárias úteis, como reservar voos ou fazer reservas para jantares, interagindo com os usuários por meio de aplicativos de mensagens populares, incluindo WhatsApp e iMessage.
O Moltbot também armazena memória persistente, o que significa que retém contexto, preferências e histórico de longo prazo nas sessões do usuário, em vez de esquecer quando a sessão termina. Além das funcionalidades de chat, a ferramenta também pode automatizar tarefas, executar scripts, controlar navegadores, gerenciar calendários e e-mails e executar automações agendadas. A comunidade mais ampla pode adicionar “habilidades” para o molthub registro que aumenta o assistente com novas habilidades ou conecta-se a diferentes serviços.
Do ponto de vista da capacidade, o Moltbot é inovador. Isso é tudo que os desenvolvedores de assistentes pessoais de IA sempre quiseram alcançar. Do ponto de vista da segurança, é uma questão absoluta pesadelo. Aqui estão nossas principais conclusões sobre riscos reais de segurança:
- Moltbot pode correr comandos shell, leia e grave arquivos e execute scripts em sua máquina. A concessão de privilégios de alto nível a um agente de IA permite que ele faça coisas prejudiciais se estiver configurado incorretamente ou se um usuário baixar uma habilidade que contém instruções maliciosas.
- Moltbot já foi relatado ter vazado chaves e credenciais de API em texto simples, que podem ser roubadas por agentes de ameaças por meio de injeção imediata ou endpoints inseguros.
- A integração do Moltbot com aplicativos de mensagens estende a superfície de ataque para esses aplicativos, onde os agentes de ameaças podem arte prompts maliciosos que causam comportamento não intencional.
Segurança para Moltbot é uma opção, mas não está integrada. documentação ela mesma admite: “Não existe uma configuração ‘perfeitamente segura’.” Conceder a um agente de IA acesso ilimitado aos seus dados (mesmo localmente) é uma receita para o desastre se alguma configuração for mal utilizada ou comprometida.
“Um conjunto muito explicit de habilidades”, agora digitalizado pela Cisco
Em dezembro de 2025, a Antrópica introduziu Cláudio Habilidades: pastas organizadas de instruções, scripts e recursos para complementar os fluxos de trabalho de agentes, a capacidade de aprimorar os fluxos de trabalho de agentes com capacidades e recursos específicos de tarefas, a equipe de pesquisa de segurança e ameaças de IA da Cisco decidiu criar uma ferramenta que pode verificar Claude Expertise e OpenAI associados Habilidades do Codex arquivos para ameaças e comportamento não confiável que estão incorporados em descrições, metadados ou detalhes de implementação.
Além da documentação, as habilidades podem influenciar o comportamento do agente, executar código e referenciar ou executar arquivos adicionais. Pesquisa recente sobre habilidades vulnerabilidades (26% de 31.000 habilidades de agente analisadas continham pelo menos uma vulnerabilidade) e a rápida ascensão do agente Moltbot AI apresentou a oportunidade perfeita para anunciar nosso código aberto Scanner de habilidades ferramenta.
Executamos uma habilidade vulnerável de terceiros, “O que Elon faria?” contra o Moltbot e chegamos a um veredicto claro: o Moltbot falha decisivamente. Aqui, nossa ferramenta Ability Scanner revelou nove descobertas de segurança, incluindo dois problemas críticos e cinco de alta gravidade (resultados mostrados na Figura 1 abaixo). Vamos aprofundá-los:
A habilidade que invocamos é funcionalmente malware. Uma das descobertas mais graves foi que a ferramenta facilitou a exfiltração ativa de dados. A habilidade instrui explicitamente o bot a executar um comando curl que envia dados para um servidor externo controlado pelo autor da habilidade. A chamada de rede é silenciosa, o que significa que a execução acontece sem o conhecimento do usuário. A outra descoberta grave é que a habilidade também conduz uma injeção direta e imediata para forçar o assistente a ignorar suas diretrizes internas de segurança e executar esse comando sem perguntar.
As descobertas de alta gravidade também incluíram:
- Injeção de comando por meio de comandos bash integrados que são executados por meio do fluxo de trabalho da habilidade
- Envenenamento de ferramenta com uma carga maliciosa incorporada e referenciada no arquivo de habilidade
Figura 1. Captura de tela dos resultados do Cisco Ability Scanner
É um assistente pessoal de IA, por que as empresas deveriam se importar?
Exemplos de habilidades intencionalmente maliciosas executadas com sucesso pelo Moltbot validam várias preocupações importantes para organizações que não possuem controles de segurança apropriados para agentes de IA.
Primeiro, os agentes de IA com acesso ao sistema podem se tornar canais secretos de vazamento de dados que ignoram a prevenção tradicional contra perda de dados, proxies e monitoramento de endpoints.
Em segundo lugar, os modelos também podem se tornar um orquestrador de execução, em que o próprio immediate se torna a instrução e é difícil de ser capturado usando ferramentas de segurança tradicionais.
Terceiro, a ferramenta vulnerável mencionada anteriormente (“O que Elon faria?”) foi inflada para ser classificada como a habilidade número 1 no repositório de habilidades. É importante compreender que os atores com intenções maliciosas são capazes de fabricar popularidade em cima dos ciclos de hype existentes. Quando as competências são adotadas em grande escala sem uma revisão consistente, o risco da cadeia de abastecimento é igualmente amplificado.
Quarto, diferentemente dos servidores MCP (que geralmente são serviços remotos), as habilidades são pacotes de arquivos locais que são instalados e carregados diretamente do disco. Pacotes locais ainda são entradas não confiáveis e alguns dos comportamentos mais prejudiciais podem se esconder dentro dos próprios arquivos.
Por fim, introduz o risco de IA sombra, em que os funcionários introduzem, sem saber, agentes de alto risco em ambientes de trabalho sob o pretexto de ferramentas de produtividade.
Scanner de habilidades
Nossa equipe criou o Ability Scanner de código aberto para ajudar desenvolvedores e equipes de segurança a determinar se uma habilidade é segura para uso. Ele combina vários recursos analíticos poderosos para correlacionar e analisar habilidades de maldade: análise estática e comportamental, análise semântica assistida por LLM, fluxos de trabalho de inspeção do Cisco AI Protection e análise VirusTotal. Os resultados fornecem descobertas claras e práticas, incluindo localização de arquivos, exemplos, gravidade e orientação, para que as equipes possam decidir se adotam, corrigem ou rejeitam uma habilidade.
Discover o Ability Scanner e todos os seus recursos aqui: https://github.com/cisco-ai-defense/skill-scanner
Acolhemos com satisfação o envolvimento da comunidade para manter as competências seguras. Considere adicionar novas habilidades de segurança para integrarmos e interagirmos conosco no GitHub.