10 cách "hack" vào Moltbot (ex-Clawdbot) & lấy toàn bộ identity của bạn

hello anh em

Mình vừa đọc được bài post này trên X, share lại cho anh em để có cái nhìn tổng quát và có cách sử dụng Moltbot hợp lý hơn.

Bài này thực chất là một cảnh báo cực kỳ chi tiết về việc Moltbot (trước là Clawdbot) có thể trở thành "kho báu" cho attacker nếu config sai. Tác giả liệt kê ~10 vector tấn công phổ biến mà bất kỳ ai chạy tool này cũng nên biết để tự bảo vệ.

Mình tổng hợp lại các điểm chính (không spoil chi tiết exploit, chỉ nói level rủi ro & cách fix) để anh em đang dùng hoặc định dùng Moltbot/Clawdbot biết mà phòng thủ. Đây là educational only, mục đích là giúp cộng đồng secure hơn, chứ không phải hướng dẫn hack nhé!

Tại sao Moltbot/Clawdbot dễ bị "ăn cắp identity" đến vậy?

Nó là một AI agent siêu mạnh: đọc mail, chat Telegram/Slack, quản lý file, code, nhớ context dài hạn... Nhưng tất cả dữ liệu đều lưu plaintext ở vài thư mục cố định:

• ~/.moltbot/ (config.yaml chứa API keys Anthropic/OpenAI/GitHub/Telegram, channel credentials, sessions logs)
• ~/molt/ (long-term memory, daily logs, transcript, preferences, routines, secrets bạn từng share)

Khi máy bạn bị compromise (malware, infostealer, supply-chain attack, exposed port...), attacker chỉ cần dump 2 folder này là có gần như toàn bộ "digital soul" của bạn.

Top rủi ro lớn nhất (từ bài @mrnacknack & cộng đồng):

1. Expose gateway port ra internet (port 443/80 hoặc default) → Shodan quét ra hàng trăm instance public, zero auth → attacker đọc config, execute command trực tiếp.
2. Không isolate environment → Chạy trên máy chính → malware thông thường (RedLine, Lumma, v.v.) tự động scrape ~/.moltbot & ~/molt.
3. Skill/dependency malicious → Download skill từ nguồn không tin cậy → arbitrary code execution (đã có case fake skill backdoored trên ClawdHub).
4. Prompt injection qua channel → Attacker gửi message độc qua Telegram/Slack → lừa bot leak memory hoặc execute lệnh nguy hiểm.
5. Backup/sync không encrypt → Dropbox/iCloud/Time Machine sync plaintext memory → leak khi account bị hack.
6. Shared machine/VPS → Người khác truy cập được folder home → đọc config + memory.
7. API keys leak qua logs → Conversation logs lưu cả key nếu bạn debug/share screenshot.
8. Heartbeat/automation expose secrets → Bot tự động đọc/write file nhạy cảm → attacker hijack flow.
9. Không rotate keys khi nghi ngờ → Một lần leak → attacker dùng key cũ impersonate mãi mãi.
10. Crypto scam liên quan → Fake token $CLAWD/$MOLT → phishing site lừa install version backdoored.

Cách bảo vệ ngay (best practices 2026):

• Chạy trong VM/container riêng (Docker + isolated user, hoặc Tailscale/ZeroTier only).
• Không expose port ra public – dùng Tailscale/SSH tunnel để access.
• Encrypt sensitive folders (e.g., gocryptfs, VeraCrypt).
• Tạo API keys riêng cho Moltbot, scope hạn chế, rotate thường xuyên.
• Dùng channel test (Telegram acc burner) trước khi connect email thật.
• Review & chỉ install skill từ repo chính thức GitHub moltbot/moltbot.
• Monitor network: firewall chặn outbound lạ, check process tree.
• Nếu nghi ngờ compromise → rotate ALL keys + wipe memory folders.

Tóm lại: Moltbot là tool cực mạnh cho automation cá nhân, nhưng nó cũng biến máy bạn thành "attack surface" lớn. Treat nó như một nhân viên siêu thông minh nhưng không đáng tin 100% – give least privilege possible.