当AI获得“系统权限”安全边界在哪里？

2026年1月Clawdbot（已更名Moltbot）爆火，1月23日安全研究人员于互联网上披露Clawdbot Gateways未授权访问漏洞。目前已发现的包括1000+网关暴露、数百个实例存在未授权访问，API密钥泄露风险等。主要原因是开发者对“易用性”的追求和安全基线缺失之间的矛盾没有做好平衡。

事件全景:Moltbot为何成2026开年安全焦点？

近期在GitHub上爆火的开源项目：星标数一周破9万+！它不是一个简单的聊天机器人，而是一个运行在你本地设备、拥有“手脚”和“记忆”的AI智能体，其所有的记忆和配置以Markdown格式存在本地，保证了数据隐私的同时可以随着本地数据的积累获得更多的能力。

业务便利与安全性在很多时候都是福祸相依的关系，在经历病毒式的火爆传播后，安全问题随之扩散开来。2026年1月23日，大规模暴露确认——安全研究员发现上千个Moltbot（Clawdbot）Gateway实例暴露在公网，其中数百个实例存在未授权访问。

技术剖析：AI获得root权限

由于Moltbot的网关服务（Gateway）在设计上默认信任本地连接（Localhost），当用户通过反向代理（如Nginx）将其部署时，所有外部请求经代理转发后，源IP均显示为127.0.0.1，导致Moltbot Gateway将互联网流量误判为本地连接，从而攻击者可构造恶意请求绕过身份验证，直接调用Moltbot的相关功能。

Moltbot官方于2026年1月25日发布相关补丁，修复此漏洞。补丁链接可参考 https://github.com/moltbot/moltbot/pull/1795

风险量化：你的数据正在被谁“看见”？

AI时代，Agent智能体不仅是生产力工具，更是企业内网的新威胁暴露面。

一旦Agent框架/工具（如Moltbot）存在未授权访问漏洞，其风险将从传统的“数据泄露”升级为“系统接管”。攻击者所面对的不只是一个静态数据库或者工具，而是一个拥有高权限、高上下文关联、且具备执行能力的“虚拟雇员”。在此背景下，一旦被攻破，将面临如下的风险：

凭据窃取与信息泄漏

由于Moltbot往往集成有OpenAI、Claude等主流大模型的API Key，以及内网各类数据库、云服务等访问凭据。攻击者获取这些凭据后，可进一步作为跳板进入云端基础设施，实施更大规模的横向移动与资源窃取。

智能体功能劫持与恶意滥用

攻击者可直接接管Moltbot Agent智能体身份，利用其已建立的信任关系向他人发送带有欺骗性的指令或钓鱼链接。由于Agent通常被视为“官方/自动化助手”，此类攻击的成功率极高。

任意命令执行

诸如Moltbot等此类高级Agent框架通常具有执行代码的高级权限以解决复杂问题。攻击者可直接操控Agent在服务器上执行任意系统命令，控制承载Agent的服务器。

防护实战：从检测到加固的完整方案

如果您已在阿里云服务器上部署Moltbot（Clawdbot），我们建议您使用云安全中心从资产梳理、风险发现、安全加固和响应处置四个阶段对您的AI服务进行防护。

资产梳理：清点环境中有哪些已部署的Moltbot

方式一：资产中心 → 主机资产→ 进程，输入进程名Moltbot（Clawdbot）筛选所已部署服务器

方式二：资产中心→ 主机资产→ AI组件→AI工具，输入Moltbot（Clawdbot）筛选所已部署的服务器。

漏洞扫描：发现当前所部署的Moltbot是否存在未授权访问漏洞

方式一：风险治理→ 漏洞管理→ 一键扫描（应用漏洞），扫描后在应用漏洞分类下关注查看漏洞：Moltbot（Clawdbot）Gateways 未授权访问漏洞

运行时防御：监控“AI服务及资产的异常行为”

• 开启防勒索对重要文件定期备份，以防止重要数据被破坏后无法恢复。

• 开启病毒查杀：周期性对主机文件做扫描，以防止被植入恶意病毒文件。

• 主机规则管理：开启所有网络防御和进程防御规则，对攻击者的恶意行为实施拦截防护。

• 核心文件监控：对重要文件配置监控规则，非白名单进程试图读取这些文件时，立即上报告警。
  

检测分析响应

安全告警：云安全中心支持对攻击者的恶意行为实时检测并上报告警，实时感知资产的安全状况。

AI Agent安全治理的“无人区”

AI Agent“自主性”与安全“可控性”的冲突源于安全模型的过时

进入2026年，AI Agent正从“助手”向“数字人”快速演进，Moltbot（Clawdbot）从“一夜爆红”到被揭示存在严重的安全隐患而引发广泛关注，核心冲突在于：Agent自主性被赋予解决复杂问题的能力，但这种“不受控”的行为模式却“天然”挑战着现有的安全体系。

AI Agent的自主性意味着，它能独立完成“规划-工具调用-执行”的闭环。然而，传统安全模型是为人类设计的单点防护的静态机制，无法适应Agent的“机器速度”，以及对于多个安全技术层面同时发起的全面挑战。

对于企业和个人来说，没有治理的“自主AI”是混乱

伴随AI应用的使用激增，已有66%的企业发现AI工具访问了超出其必要范围的企业数据，60%的企业使用开源生态系统（如Hugging Face）作为AI工具来源增加了潜在的供应链风险。尽管近6成企业认可存在AI治理和监督的担心，但拥有集中AI治理的企业少之又少。

随着企业采用更多AI Agent，风险和现状巨大的落差，会逐渐将企业推向一个“安全”的临界点：大量引入的开源AI软件形成供应链的黑箱效应，授权失控导致AI Agent的权限管理处于真空地带，企业数据安全正从被动流失转向“数字员工”的主动泄漏。

通过统一的AI安全治理构建“受控的自主”

针对AI Agent的安全风险，补丁式升级已不足以应对。企业真正需要的考虑的是将现有的安全体系转型到面向AI应用（包含Agent）的新的安全框架，从基础网络、供应链、授权、数据到应用以及业务各个层面的全面治理，实现统一的AI安全管理。