Ist Moltbot der erste echte KI-Assistent? Warum das Tool für Wirbel sorgt

Der österreichische Softwareentwickler Peter Steinberger, der sich eigentlich zur Ruhe gesetzt hatte, sorgt seit geraumer Zeit mit einem neuen Projekt für Aufsehen. Er hat den KI-Assistenten Clawdbot erschaffen, den viele User als den ersten echten KI-Agenten bezeichnen. Doch wie immer sollte bei der Nutzung von solchen Tools auch eine gewisse Vorsicht eingehalten werden.

Von Clawdbot zu Moltbot: Was kann der KI-Assistent?

Den Namen Clawdbot hat der KI-Assistent mittlerweile nicht mehr inne. Anthropic, die Entwickler hinter dem namentlich sehr ähnlichen Claude-Modell, haben Steinberger darum gebeten, den Namen zu ändern. Statt lange zu fackeln oder den Namen vor Gericht zu verteidigen, hat Steinberger das Tool kurzerhand in Moltbot umbenannt und eine neue Domain dafür registriert. Wie Forbes berichtet, sorgte dieser spontane Namenswechsel für etliche Probleme. Auf X und GitHub wurde der alte Name von Bots aufgegriffen und für Krypto-Scams genutzt. Mittlerweile wurden diese aber gesperrt.

Die Funktionen von Moltbot bleiben nach dem Namenswechsel aber unberührt. Um das Tool zu nutzen, müssen User nur eine einzige Terminal-Zeile auf ihrem System eingeben, und schon installiert sich Moltbot komplett allein. Der Zugriff auf den KI-Assistenten erfolgt über Messenger wie Whatsapp, Telegram, Discord, Signal oder Slack, während das Tool lokal auf dem Endgerät läuft. Einige User haben sich gezielt für die Nutzung von Moltbot einen Mac Mini angeschafft und lassen den KI-Assistenten darauf 24/7 laufen. Laut Steinberger kann Moltbot aber auch auf älterer Hardware oder in günstigen Cloud-Abos gehostet werden.

Durch die Installation erlauben User Moltbot im Grunde kompletten Zugriff auf das Endgerät und alle darauf befindlichen Daten. So kann der KI-Assistent eine Vielzahl von Aufgaben erledigen. Diese reichen von Mail-Zusammenfassungen und dem Organisieren eines Kalenders über Vibe-Coding bis zum Bestellen von Produkten per Browser und dem eigenständigen Verfassen von Nachrichten in den angebundenen Messengern. Zudem erinnert sich das Tool an jede Konversation und soll so deutlich individueller auf Bedürfnisse reagieren.

Besonders spannend ist dabei, dass Moltbot auch proaktiv Aufgaben übernimmt, die Nutzer nicht direkt per Prompt angestoßen haben. Ein Youtuber berichtet etwa, dass Moltbot ihm jeden Morgen eigenständig Berichte über Konkurrenten auf der Videoplattform zusammenfasst, inklusive Performance-Berichte ihrer Videos. Den Prompt dazu hat er der KI nie gegeben. Moltbot nahm an, dass ihm die Zusammenfassungen helfen würden. Zudem ist Moltbot durch den Zugriff auf eine breite Palette von Tools in der Lage, Probleme eigenständig zu umgehen. So berichtete ein X-User, dass die KI nicht in der Lage war, über OpenTable einen Platz im Restaurant zu reservieren. Um das Problem zu lösen, nutzte Moltbot die Tools von Elevenlabs, um sich eine eigene Stimme zu geben, und rief einfach bei dem Restaurant an, um den Tisch zu reservieren.

Warum Moltbot auch Risiken birgt

Die Möglichkeiten von Moltbot werden aber nur dadurch realisiert, dass der KI-Assistent vollständigen Zugriff auf das System bekommt. Auf der Website des Tools steht etwa, dass Moltbot nicht nur in der Lage ist, bestehende Dateien zu bearbeiten oder neue Dateien zu erstellen, sondern auch Shell-Befehle und Skripts auf den Endgeräten auszuführen. Zudem kann das Tool auch auf Passwortmanager wie 1Password zugreifen, optional in einem zugewiesenen Tresor – und dadurch Logins, Kreditkartendaten und andere sensible Daten abrufen.

Hacker Jamieson O'Reilly vergleicht Moltbot dabei mit einem Butler: „Er ist brillant, managt euren Kalender, übernimmt eure Nachrichten, analysiert eure Anrufe. Er kennt eure Passwörter, weil er sie benötigt. Er liest eure privaten Nachrichten, weil das sein Job ist, und er hat den Schlüssel zu allem – wie könnte er euch sonst helfen?“ Der Hacker ergänzt: „Jetzt stell dir vor, du kommst nach Hause und die Eingangstür ist sperrangelweit offen. Dein Butler lässt jeden rein und serviert ihnen Tee, während ein Fremder in deinem Arbeitszimmer sitzt und dein Tagebuch liest.“

Laut O'Reilly könnte es in den kommenden Wochen zahlreiche solche Vorfälle im Kontext von Moltbot geben, weil User ihre Moltbot-Kontrollserver versehentlich öffentlich zugänglich machen. Über den Kontrollserver können Integrationen gemanagt und API-Schlüssel eingebunden werden. Wird der IPv4-Zugang nicht für Dritte blockiert, könnten sich Cyberangreifer Zugriff auf die Kontrollinstanz verschaffen. O’Reilly soll mit einigen Tools schon Hunderte Instanzen von Usern gefunden haben, für die keine Sicherheitsmaßnahmen ergriffen wurden. So riskieren sie über die KI Zugriff auf ihr komplettes System.

Auch Anbieter wie 1Password, deren Tools an Moltbot angebunden werden können, warnen vor den Risiken. Das Problem: Der KI-Assistent speichert seine "Erinnerungen" als unverschlüsselte Textdateien auf den Endgeräten. Bekommen Angreifer Zugriff auf das Gerät, müssen sie die Dateien nicht einmal knacken, um sie lesen zu können. Das könnte bei Passwörtern, aber auch bei Kreditkartendaten für enorme Schäden sorgen.

Dementsprechend empfehlen Sicherheitsexperten, Moltbot nur auf Zweitgeräten zu installieren. User sollten die KI nicht auf ihren Haupt-PC oder -Mac loslassen, auf dem alle wichtigen Daten gespeichert sind. Zudem lohnt es sich, die Security-Maßnahmen von Moltbot zu lesen und durchzuführen – auch wenn diese ein tieferes Wissen als das Einfügen von einer Kommandozeile erfordern. Dementsprechend ist es ebenfalls ratsam, Moltbot nur dann zu nutzen, wenn man genau weiß, wie das Tool zu handhaben ist. Ansonsten sollte man auf die KI-Unterstützung verzichten.

Dieser Beitrag ist zuerst auf t3n.de erschienen.

(jle)