Moltbot（前 Clawdbot）資安爭議：開源就一定安全嗎？個資到底能不能放？

Clawdbot 改名 Moltbot 後爆紅，也把「把電腦與帳號交給 AI」的資安焦慮拉到最高。開源真的更安全嗎？個人資料能不能放？AI 會不會失控？這篇用威脅模型拆解風險，最後給你一份能立刻照做的安全清單。

目錄

• Clawdbot／Moltbot 到底在做什麼
  • 為什麼它的「方便」同時也是風險
• 開源不等於安全：風險通常從哪裡來
  • 權限與工具鏈：它能做太多事
  • 部署與設定：一個疏忽就變外洩點
  • 供應鏈與假冒：你裝到的可能不是你以為的
• 個人資料能不能放進 AI 記憶
  • 用資料分級做決定
  • 哪些人適合用，哪些人先不要
• AI 會不會失控：更務實的看法
  • 所謂「失控」多半長什麼樣子
  • 你可以設下哪些邊界
• 降低風險的安全清單
  • 安裝前：先把風險關在門外
  • 使用中：把授權做小、把動作做慢
  • 異常時：三步驟止血
• 結論：可以用，但別用錯方式
  • 兩種推薦情境與兩種不建議情境
• 參考連結

Clawdbot／Moltbot 到底在做什麼

Moltbot 這類「個人 AI 助理」跟一般聊天機器人最大差別在於：它不只回答問題，還會連到你常用的通訊軟體、信箱、行事曆、檔案系統，甚至能執行自動化工作。
也因為它能「代替你去做事」，所以只要你給的權限夠大，它就可能碰到非常多敏感資料與關鍵操作。

為什麼它的「方便」同時也是風險

你用它整理信箱、回覆訊息、開會排程、找檔案——每一件都很日常；但在資安眼裡，這等於把「身分、資料、操作權」集中到同一個軟體流程裡。
方便是真的，風險也是真的，而且風險的本質通常不是「AI 變壞」，而是「你給它的門太多、鎖太少」。

開源不等於安全：風險通常從哪裡來

「開源」最大的好處是透明：任何人都能檢查程式碼、提出修補、快速揭露問題。
但它同時也有現實面：能看程式碼，不代表有人真的完整審過；就算審過，也未必涵蓋部署方式、外掛技能、依賴套件、以及你自己怎麼設定。

權限與工具鏈：它能做太多事

這類助理通常會同時擁有：

• 讀資料的能力：訊息、郵件、檔案、行事曆、雲端文件
• 做動作的能力：發訊息、寄信、建立/刪除事件、操作瀏覽器、跑自動化
• 長期記憶：為了「越用越懂你」，會保存偏好、摘要、任務脈絡

權限越集中，一旦出現漏洞、被入侵、或被誘導做錯事（例如把敏感內容貼回對話），後果就不是「漏一段聊天」而已，而是可能一路蔓延到多個帳號與服務。

部署與設定：一個疏忽就變外洩點

自架工具最常見的事故不是寫錯程式，而是：

• 控制介面被公開在網路上（或反向代理設定失誤）
• 認證/密碼太弱、Token 長期有效
• 日誌與記憶檔沒保護，備份也把敏感資料一起打包
• 跑在同一台工作主機上，與你的日常帳號、瀏覽器、SSH 金鑰共用環境

換句話說，就算程式碼本身很乾淨，你的「部署姿勢」仍可能把它變成外洩入口。

供應鏈與假冒：你裝到的可能不是你以為的

爆紅專案最容易遇到兩件事：

• 同名/相似名的假網站、假程式庫、假教學（看起來超像、SEO 做得超好）
• 「看起來正常」的鏡像倉庫：今天是原封不動的程式碼，明天才塞進惡意更新

如果你是用搜尋引擎一路點「Download」裝起來的，風險往往比你想像更高：你信任的不是開源，而是你剛好點到的那個連結。

個人資料能不能放進 AI 記憶

答案不是二選一，而是看你放的是哪一種資料、以及你有沒有把「可撤銷」與「可隔離」做起來。

用資料分級做決定

可以用這個方式快速判斷：

A 級（不建議放）
身分證件、護照號碼、銀行/證券資料、完整住址、私密照片、醫療細節、公司機密、任何能用來做身分冒用或勒索的內容。

B 級（慎放，需保護）
工作往來摘要、合約條款重點、客戶聯絡資訊、行程規劃、家庭成員資訊。
如果一定要用，務必做到：最小權限、分帳號、可撤銷 Token、必要時才喂資料。

C 級（相對適合）
代辦清單、公開資訊整理、生活瑣事、格式化需求、低敏感度的知識筆記與流程模板。

你會發現：真正適合「長期記憶」的，往往是 C 級資料；而大家最想偷懶丟進去的，常常是 A、B 級。

哪些人適合用，哪些人先不要

比較適合：

• 願意花時間做基本防護（至少懂得分帳號、更新、備份加密）
• 把它當「助理」而不是「保險箱」，不塞最敏感的資料

先不要：

• 想直接拿來管理所有密碼、金鑰、雙因子備援碼的人
• 需要把公司核心資料、客戶名單、合約原文長期放進記憶的人
• 沒空管更新與權限、但又想讓它「全自動幫我搞定一切」的人

AI 會不會失控：更務實的看法

所謂「失控」多半長什麼樣子

大多數人說的「AI 失控」，實務上更常見的是三種情境：

1. 誤動作：理解錯指令，做了你沒打算做的操作（尤其是可寫入/可刪除的行為）
2. 被誘導：在聊天、網頁內容或文件裡看到惡意指示，照做並把資料帶出
3. 被入侵後被利用：控制介面或主機被拿下，助理變成攻擊者的工具

它不像科幻片那樣「覺醒」，而是像一台被你授權很大的自動化機器：指令來源一旦不乾淨、邊界一旦沒設好，就會出事。

你可以設下哪些邊界

把焦點放回兩件事：權限與節點隔離。

• 權限：能不用就不用、能短效就短效、能分開就分開
• 隔離：把它和你的主力工作環境切開，降低被一鍋端的機率

一句話：與其擔心「AI 失控」，不如先避免「授權過度 + 防護不足」。

降低風險的安全清單

安裝前：先把風險關在門外

• 只從官方原始碼倉庫或官方文件導引的路徑安裝，不要從陌生下載站拿一鍵包
• 核對網址、倉庫名稱、發行版本頁，避免裝到同名假貨
• 先用一台「乾淨、專用」的機器測試（舊筆電、小主機、獨立使用者帳號都行）
• 先決定你的資料分級：A 級資料一律不進記憶

使用中：把授權做小、把動作做慢

• 分帳號：幫助理用獨立信箱/通訊帳號與行事曆，不要直接用主帳號全權
• 最小權限：只開需要的服務、只給需要的資料夾；能唯讀就不要可寫入
• 關掉不必要的長期記憶/詳細日誌（或至少把保存範圍縮小）
• 高風險動作加人工確認：寄信、轉帳、刪檔、改權限、發群組訊息這些，別讓它無條件自動做
• 不要把控制介面公開在網路上：需要遠端就走 VPN/零信任通道，並確保強認證

異常時：三步驟止血

1. 立刻撤銷所有 Token / OAuth 授權（信箱、通訊、雲端、第三方 API）
2. 停掉服務並保全日誌（先留證據再清理）
3. 輪替密碼與雙因子，並檢查是否有異常規則（郵件轉寄、行事曆自動建立、Webhook、API Key）

結論：可以用，但別用錯方式

兩種推薦情境與兩種不建議情境

推薦情境：

• 把它當「低敏感度的自動化助理」：整理待辦、摘要公開資料、排一般行程、做格式化工作
• 用專用環境 + 分帳號 + 最小權限：把爆炸半徑控制在可接受範圍內

不建議情境：

• 把它當「個資與機密的集中保險箱」：尤其是密碼、金鑰、身分證件類
• 追求全自動、又同時給它全權限：這是最容易出事的組合

開源能帶來透明與修補速度，但「安全」最後仍取決於你怎麼部署、怎麼授權、以及你有沒有把最敏感的東西留在該留的地方。

參考連結

• https://github.com/openclaw/openclaw/security
• https://github.com/openclaw/openclaw
• https://www.bleepingcomputer.com/news/security/viral-moltbot-ai-assistant-raises-concerns-over-data-security/
• https://www.malwarebytes.com/blog/threat-intel/2026/01/clawdbots-rename-to-moltbot-sparks-impersonation-campaign
• https://www.techradar.com/pro/security/fake-moltbot-ai-assistant-just-spreads-malware-so-ai-fans-watch-out-for-scams
• https://1password.com/blog/its-openclaw
• https://blog.cloudflare.com/moltworker-self-hosted-ai-agent/

常見問題（FAQ）

Moltbot（前 Clawdbot）到底是什麼？適合拿來做什麼？

Moltbot 是一種可自架的個人 AI 助理，能連到通訊軟體、信箱、行事曆與檔案來「代你做事」。它更適合處理低敏感度的自動化與整理工作，例如待辦、公開資料摘要、一般排程與格式化任務。

開源的 Moltbot 為什麼還會有資安風險？

開源代表程式碼可被檢查與修補，但不等於有人完整審計，也不涵蓋你的部署方式與權限設定。這類 AI 助理常見風險來自控制介面暴露、Token 長期有效、日誌與記憶檔保護不足，以及依賴套件與外掛技能的供應鏈風險。

我該怎麼確認自己下載的是官方 Moltbot，而不是假冒版本？

優先從官方文件導引的安裝流程與官方原始碼倉庫安裝，不要從搜尋引擎的「Download」隨便點。核對網址、倉庫名稱、發行版本頁與提交紀錄，並避免安裝來路不明的瀏覽器外掛或編輯器擴充套件。

個人資料怎樣放進 Moltbot 才算相對安全？

先做資料分級：證件號碼、金融資料、密碼與金鑰等高敏感資料不要放進記憶。若要放工作摘要或聯絡資訊，請用分帳號、最小權限、可撤銷的短效 Token，並把助理跑在隔離環境或專用機器上。

想把 Moltbot 放在 NAS 或 VPS 上跑，怎麼做比較安全？

不要把控制介面直接暴露在公網，改用 VPN 或零信任通道，並啟用強認證與限制來源 IP。再搭配防火牆、最小權限的服務帳號、加密備份與定期更新，降低控制面板被掃到或被接管的風險。

AI 會不會失控自己亂做事？怎樣降低誤動作？

多數「失控」其實是誤解指令、被惡意內容誘導或在權限過大的情況下做出不該做的操作。你可以用高風險動作人工確認、限制可寫入範圍、關閉不必要的長期記憶與詳細日誌、以及把助理與主力工作環境隔離來降低風險。