Moltbot: Hype mit Risiken

Ein österreichischer Entwickler sorgt mit einem KI-Assistenten, der eigenständig handelt und sich Gespräche merkt, für Aufsehen. Sicherheitsexperten warnen vor den Gefahren des Tools.

Der Butler auf dem Rechner

Was wäre, wenn ein digitaler Assistent nicht nur auf Befehle reagiert, sondern vorausschauend arbeitet? Peter Steinberger, ein eigentlich im Ruhestand befindlicher österreichischer Softwareentwickler, hat mit Moltbot ein Werkzeug geschaffen, das genau diesen Anspruch erhebt. Ursprünglich trug das Projekt den Namen Clawdbot, doch Anthropic, die Macher des Sprachmodells Claude, baten um eine Umbenennung. Steinberger folgte der Bitte ohne Umschweife und registrierte kurzerhand eine neue Domain. Der spontane Wechsel hatte allerdings Nebenwirkungen: Betrüger nutzten den alten Namen auf X und GitHub für Krypto-Scams, bis die Konten gesperrt wurden.

Vollzugriff als Geschäftsmodell

Die Installation erfolgt über eine einzige Terminalzeile. Danach läuft Moltbot lokal auf dem Rechner und lässt sich über Messenger wie Whatsapp, Telegram, Discord, Signal oder Slack steuern. Manche Nutzer haben sich eigens einen Mac Mini angeschafft, um den Assistenten rund um die Uhr laufen zu lassen. Der Funktionsumfang ist beeindruckend: Das Tool fasst E-Mails zusammen, organisiert Kalender, programmiert Code, bestellt Produkte über den Browser und verfasst eigenständig Nachrichten. Entscheidend dabei: Moltbot erinnert sich an jede Konversation und reagiert entsprechend individuell.

Wenn die KI mitdenkt

Besonders für Aufsehen sorgt die proaktive Komponente. Ein Youtuber berichtete, dass Moltbot ihm jeden Morgen unaufgefordert Analysen über Konkurrenten liefert, inklusive Performance-Daten ihrer Videos. Den Auftrag dazu hatte er nie erteilt. Die KI nahm an, dass ihm diese Informationen nützen würden. In einem anderen Fall scheiterte das Tool daran, über OpenTable einen Tisch zu reservieren. Die Lösung: Moltbot nutzte Elevenlabs, um sich eine eigene Stimme zu generieren, und rief das Restaurant kurzerhand selbst an.

Offene Türen für Angreifer

Die Kehrseite dieser Fähigkeiten liegt auf der Hand. Moltbot erhält vollständigen Zugriff auf das System, kann Dateien bearbeiten, Shell-Befehle ausführen und auf Passwortmanager wie 1Password zugreifen. Sicherheitsexperte Jamieson O'Reilly vergleicht das Tool mit einem Butler, der jeden Schlüssel besitzt und jede private Nachricht liest. Das Problem verschärft sich dadurch, dass Moltbot seine Erinnerungen als unverschlüsselte Textdateien speichert. O'Reilly fand bereits Hunderte ungeschützter Instanzen im Netz. Experten empfehlen daher, das Tool nur auf Zweitgeräten einzusetzen und die Sicherheitsdokumentation gründlich zu studieren.