Вирусный ИИ‑ассистент Clawdbot может раскрывать личные сообщения и ключи доступа
Исследователи в области кибербезопасности предупредили о рисках, связанных с новым ИИ‑ассистентом Clawdbot: из-за ошибок в настройках и уязвимостей он может непреднамеренно открывать доступ к персональным данным и API‑ключам.
Во вторник блокчейн‑компания по безопасности SlowMist сообщила, что выявила «экспонирование шлюза» Clawdbot, из-за которого под угрозой оказались «сотни API‑ключей и приватных логов переписки».
По данным SlowMist, в интернете обнаружены несколько публично доступных экземпляров без аутентификации, а отдельные недочеты в коде могут привести к краже учетных данных и даже удаленному выполнению кода.
Ранее, в воскресенье, исследователь безопасности Джеймисон О’Райли описал проблему и отметил, что за последние дни «сотни людей» развернули управляющие серверы Clawdbot, которые оказались открыты для всех.
Clawdbot — это open‑source ассистент, созданный разработчиком и предпринимателем Питером Штайнбергером и работающий локально на устройстве пользователя. По данным Mashable, за выходные обсуждение инструмента стало вирусным.
Поиск “Clawdbot Control” позволяет находить доступ к учетным данным
Шлюз ИИ‑агента подключает большие языковые модели к мессенджерам и выполняет команды от имени пользователя через веб‑панель администрирования под названием “Clawdbot Control”.
О’Райли объяснил, что обход аутентификации возникает, когда шлюз размещают за неправильно настроенным reverse proxy.
С помощью инструментов интернет‑сканирования вроде Shodan такие открытые серверы можно быстро находить по характерным «отпечаткам» в HTML.
По его словам, поиск по запросу “Clawdbot Control” занимает секунды и возвращает сотни результатов сразу в нескольких инструментах.
Исследователь утверждает, что при доступе к таким экземплярам можно получить полный набор чувствительных данных: API‑ключи, токены ботов, OAuth‑секреты, ключи подписи, полные истории диалогов во всех чат‑платформах, возможность отправлять сообщения от имени пользователя и выполнять команды.
Он посоветовал тем, кто запускает подобную агентную инфраструктуру, срочно проверить конфигурацию, убедиться, что именно выставлено в интернет, и оценить риски доверия к такому развертыванию.
«Дворецкий великолепен. Просто убедитесь, что он не забывает запирать дверь».
На извлечение приватного ключа ушло пять минут
По словам исследователей, ассистент может представлять риск и для безопасности криптоактивов.
Глава Archestra AI Матвей Кукуй попытался извлечь приватный ключ, используя prompt‑injection через письмо: он попросил Clawdbot проверить email и, как утверждается, получил приватный ключ с взломанной машины — «за 5 минут».
Отмечается, что Clawdbot отличается от многих других «агентных» ботов тем, что получает полный доступ к системе пользователя: может читать и записывать файлы, запускать команды и скрипты, а также управлять браузером.
В FAQ проекта говорится, что запуск ИИ‑агента с доступом к оболочке на машине пользователя — рискованная идея, и «идеально безопасной» конфигурации не существует.
Там же описывается модель угроз: злоумышленники могут пытаться обманом заставить ИИ выполнять вредоносные действия, выманивать доступ к данным с помощью социальной инженерии и прощупывать детали инфраструктуры.
SlowMist рекомендует применять строгий IP‑вайтлистинг для открытых портов.
Источник: SlowMist, Jamieson O’Reilly, Mashable, Matvey Kukuy.