Что такое Moltbot и почему он опасен?

Moltbot - локальный AI-ассистент на Python с интеграцией в мессенджеры. Опасен из-за хранения API ключей в открытом виде, доступа плагинов к shell и отсутствия аутентификации в веб-интерфейсе.

Как безопасно запустить Moltbot?

Используйте отдельный API ключ с лимитом, запускайте в Docker, отключите плагин system_shell, не пробрасывайте порты в интернет и регулярно мониторьте расходы OpenAI.

Какие есть альтернативы Moltbot в 2026 году?

ClawdBot (безопасная архитектура), Open Cowork (на Rust), самописные решения на vLLM с осторожностью к trust_remote_code.

Какие версии моделей OpenAI поддерживает Moltbot?

GPT-4o Mini, GPT-4 Turbo (январская версия 2026), экспериментальный o3-mini через API.

Moltbot установка: локальный AI ассистент на Python - риски и безопасность

Когда 69 тысяч звезд на GitHub превращаются в 69 тысяч бомб замедленного действия

Moltbot выглядит как мечта: локальный AI-ассистент на Python, который интегрируется с Telegram, использует GPT-4o Mini (самая новая компактная версия на февраль 2026) и обещает приватность. Проект собрал почти 70 тысяч звезд за несколько месяцев. Но если копнуть глубже - этот "Jarvis для бедных" оказался одной из самых опасных игрушек 2025-2026 годов.

Внимание: Moltbot версии 2.4.1 (последняя на февраль 2026) содержит критическую уязвимость в обработке API ключей. Разработчики знают о проблеме, но патч обещают только к марту.

Что умеет Moltbot и почему все его качают

На бумаге функционал впечатляет:

Локальный запуск - никаких облаков, все на вашем компьютере. В теории приватность должна быть идеальной
Поддержка последних моделей OpenAI - GPT-4o Mini, GPT-4 Turbo (январская версия 2026), даже экспериментальный o3-mini через API
Интеграция с мессенджерами - Telegram, Discord, Slack (через вебхуки)
Мультиагентность - можно запускать несколько ботов с разными personality
Плагины - система расширений для работы с файлами, веб-поиска, управления умным домом

Звучит как ваш личный AI-ассистент, который не шпионит и не просит денег. Пока не начинаешь читать код.

Три смертельных греха Moltbot (которые разработчики называют фичами)

1 API ключи хранятся в plain text с доступом из плагинов

Вот как выглядит конфигурация в последней версии:

# config.yaml (версия 2.4.1)
openai:
  api_key: "sk-proj-...ваш ключ..."  # лежит открытым текстом
  model: "gpt-4o-mini-2025-12-15"

plugins:
  enabled: true
  # плагины имеют полный доступ к конфигу
  - name: "file_manager"
  - name: "web_search"
  - name: "system_shell"  # да, это плагин для доступа к shell

Любой плагин может прочитать ваш API ключ. Любой. Даже тот, который вы скачали с GitHub от "trusted developer". А теперь вспомните историю с Moltbook, который сдал 1.5 млн ключей. Та же архитектура, те же ошибки.

2 Плагин system_shell дает AI доступ к вашей системе

Это не шутка. В стандартной поставке есть плагин, который позволяет AI выполнять команды в вашем терминале. Настройка выглядит так:

system_shell:
  enabled: true
  allowed_commands:
    - "ls"
    - "cat"
    - "python"
    - "pip"
    - "curl"  # потому что curl никогда не использовался для скачивания майнеров, правда?
  sandbox: false  # по умолчанию отключено!

Разработчики пишут в документации: "Будьте осторожны, включайте только доверенным ботам". Но кто определяет "доверенность"? AI, который может быть скомпрометирован через prompt injection? Если хотите безопасный доступ к shell, лучше изучите сравнение Docker, gVisor и Firecracker для песочниц.

3 Веб-сервер без аутентификации

Moltbot запускает веб-интерфейс на localhost:8080. Но если вы решите пробросить порт для удаленного доступа (или забудете закрыть firewall), любой в вашей сети сможет управлять ботом. Никакого пароля, никакой аутентификации. Просто HTTP-запрос - и ваш AI выполняет команды.

💡

Если вам нужен локальный AI с веб-интерфейсом, посмотрите на Oobabooga, Jan AI или LM Studio. У них хотя бы есть базовая аутентификация.

Как запустить Moltbot (если вы все еще хотите рискнуть)

Установка выглядит просто. Слишком просто:

# Клонируем репозиторий
git clone https://github.com/moltdotai/moltbot
cd moltbot

# Ставим зависимости (Python 3.11+)
pip install -r requirements.txt

# Копируем конфиг и вставляем API ключ
cp config.example.yaml config.yaml
# редактируем config.yaml, вставляем ключ от OpenAI

# Запускаем
python main.py --telegram --token "ВАШ_TELEGRAM_BOT_TOKEN"

Через 30 секунд у вас в Telegram появляется AI-ассистент. Он отвечает на вопросы, ищет в интернете, управляет файлами. Все работает. Пока не сломается.

Что может пойти не так? Реальные кейсы

Сценарий	Вероятность	Последствия
Плагин с GitHub содержит malware	Высокая	Кража API ключа, расходы до $1000+ в месяц
Prompt injection через Telegram	Средняя	AI выполняет shell-команды злоумышленника
Уязвимость в веб-сервере	Низкая	Удаленный доступ к вашей системе

В декабре 2025 был случай: пользователь установил плагин "weather_forecast" из непроверенного источника. Плагин тихо отправлял API ключ на сторонний сервер. Через неделю на счету OpenAI было $1200 неизвестных запросов.

Альтернативы, которые не пытаются вас убить

ClawdBot - локальный, но с мозгами

ClawdBot использует ту же идею (локальный AI + мессенджеры), но делает это правильно:

API ключи шифруются при хранении
Песочница для плагинов через Docker
Обязательная аутентификация для веб-интерфейса
Поддержка локальных моделей через RTX 5090 или Groq

Open Cowork - Rust вместо Python

Если вам нужна скорость и безопасность, Open Cowork написан на Rust. Это значит:

Нет проблем с GIL (Global Interpreter Lock)
Память управляется компилятором, а не надеждой
Меньше уязвимостей типа buffer overflow
Нативная поддержка многопоточности

Самописное решение на vLLM

Если вы готовы потратить время, можно собрать своего Jarvis на базе vLLM. Но помните про опасность флага trust_remote_code. Один неправильный параметр - и ваша GPU майнит крипту для хакеров.

Кому вообще стоит трогать Moltbot?

Есть три типа людей, которым Moltbot может быть полезен:

Исследователи безопасности - изучают уязвимости в AI-системах
Разработчики - хотят понять, как НЕ делать AI-агентов (ценой своего API ключа)
Студенты - запускают в изолированной VM для учебных проектов

Если вы не попадаете в эти категории - бегите. Бегите быстро.

Если все-таки запускаете: минимальный чеклист безопасности

Не говорите, что вас не предупреждали:

Используйте отдельный API ключ с лимитом $5 в месяц
Запускайте в Docker или виртуальной машине
Отключите плагин system_shell (или включите sandbox)
Никогда не пробрасывайте порт 8080 в интернет
Проверяйте хэши плагинов перед установкой
Регулярно мониторьте расходы в аккаунте OpenAI

И да, обновите Python до версии 3.12.4 (последняя стабильная на февраль 2026). В 3.11 была уязвимость в asyncio, которую активно эксплуатируют.

Важное обновление: С 15 января 2026 OpenAI ввела систему "API ключи второго фактора". Новые ключи требуют подтверждения через мобильное приложение для запросов свыше $50. Используйте именно такие ключи для Moltbot.

Будущее локальных AI-агентов: между удобством и паранойей

Moltbot показал главную проблему 2025-2026 годов: каждый хочет своего Jarvis, но никто не хочет разбираться в безопасности. Проекты-клоны появляются каждую неделю. Некоторые еще опаснее - как OpenClaw, который хочет все ваши пароли.

Мой прогноз на 2026-2027: появятся "безопасные по умолчанию" фреймворки для AI-агентов. С sandboxing на уровне ядра, hardware security modules для ключей и обязательным аудитом кода. А пока - выбирайте инструменты с умом. И помните: если что-то бесплатно и просто, вы платите своей безопасностью.

P.S. Если вам лень возиться с терминалом, есть One-Click установщик для локальных LLM. Он хотя бы не просит ваш API ключ.

Moltbot: как запустить локального Jarvis на Python и почему это опасно