Trong những tuần gần đây, cộng đồng công nghệ liên tục nhắc đến cái tên Moltbot – một tác nhân AI (AI agent) được mô tả là có thể “thực sự làm việc” thay con người. Không chỉ dừng lại ở việc trò chuyện hay trả lời câu hỏi, Moltbot có thể quản lý lịch, ghi chú, gửi email và thậm chí thao tác trực tiếp trên máy tính của người dùng. Chính khả năng hành động này khiến công cụ nhanh chóng trở thành tâm điểm chú ý, đồng thời làm dấy lên nhiều lo ngại.

Moltbot là dự án mã nguồn mở, chạy trực tiếp trên máy cá nhân thay vì phụ thuộc hoàn toàn vào đám mây. Người dùng có thể ra lệnh cho Moltbot thông qua các ứng dụng nhắn tin quen thuộc như WhatsApp, Telegram, Signal, Discord hay iMessage. Thay vì tự phát triển mô hình AI riêng, Moltbot đóng vai trò điều phối, chuyển yêu cầu đến các nhà cung cấp AI lớn như OpenAI, Anthropic hoặc Google, sau đó sử dụng kết quả để thực hiện hành động cụ thể trên máy.

Sức hút của Moltbot đến từ những tình huống sử dụng rất thực tế. Khi cài đặt trên máy cá nhân, công cụ có thể trở thành trợ lý số, xử lý công việc dựa trên dữ liệu từ lịch làm việc, ứng dụng ghi chú và danh sách việc cần làm. Một số người dùng còn để Moltbot tự động thực hiện các tác vụ hành chính, gửi email, điền biểu mẫu trên trình duyệt hoặc giao tiếp với khách hàng. Với nhiều người, đây là hình ảnh rõ nét của một trợ lý ảo đúng nghĩa – không chỉ trả lời mà còn trực tiếp xử lý công việc.

Tuy nhiên, sức mạnh này đi kèm với cái giá không nhỏ. Để hoạt động hiệu quả, Moltbot yêu cầu quyền truy cập cấp quản trị vào hệ thống máy tính, cho phép đọc và ghi file, chạy lệnh shell và thực thi các script. Khi kết hợp với quyền truy cập vào các tài khoản và ứng dụng cá nhân, mức độ rủi ro bảo mật tăng lên đáng kể.

Rachel Tobac, CEO của SocialProof Security, cảnh báo rằng nếu một AI agent như Moltbot có quyền quản trị máy tính và có thể bị tương tác thông qua tin nhắn, kẻ xấu có thể tìm cách chiếm quyền điều khiển thiết bị chỉ bằng một thông điệp đơn giản. Theo bà, khi người dùng cấp quyền truy cập sâu cho AI agent, chúng có thể bị khai thác thông qua các cuộc tấn công prompt injection – một dạng lỗ hổng bảo mật đã được ghi nhận nhưng chưa có giải pháp triệt để.

Prompt injection xảy ra khi kẻ tấn công thao túng AI bằng các chỉ dẫn độc hại, có thể được gửi trực tiếp qua tin nhắn hoặc ẩn trong email, tài liệu hay trang web mà AI được phép truy cập. Đây không còn là nguy cơ trên lý thuyết mà đã xuất hiện trong thực tế.

Jamieson O’Reilly, chuyên gia bảo mật và nhà sáng lập công ty an ninh mạng Dvuln, cho biết ông từng phát hiện các tin nhắn riêng tư, thông tin đăng nhập tài khoản và khóa API liên quan đến Moltbot bị lộ trên internet. Những dữ liệu này có thể bị tin tặc lợi dụng cho các cuộc tấn công khác. Sau khi nhận được báo cáo, nhóm phát triển Moltbot đã phát hành bản vá để khắc phục lỗ hổng.

Ngay cả các nhà phát triển Moltbot cũng thừa nhận rủi ro. Một thành viên trong nhóm từng mô tả đây là “phần mềm mạnh mẽ với rất nhiều góc cạnh sắc nhọn”, đồng thời khuyến cáo người dùng đọc kỹ tài liệu bảo mật trước khi triển khai, đặc biệt trong môi trường có kết nối internet công cộng.

Ngoài rủi ro kỹ thuật, sự nổi tiếng của Moltbot còn kéo theo các hệ lụy khác. Sau khi dự án đổi tên từ Clawdbot sang Moltbot, một số đối tượng lừa đảo đã lợi dụng tên cũ để phát hành token tiền số giả mạo, nhằm trục lợi từ sự tò mò của cộng đồng. Điều này cho thấy Moltbot không chỉ là một công cụ công nghệ mới, mà đã trở thành hiện tượng đủ lớn để bị lợi dụng cho các mục đích xấu.