В ИИ-агенте Clawdbot обнаружили критические уязвимости

Эксперты по безопасности предупредили об опасности использования ИИ-помощника Clawdbot. Он может непреднамеренно раскрывать личные данные и API-ключи.

В компании призвали применять строгий белый список IP-адресов для открытых портов.

Исследователь по безопасности Джеймисон О’Рейли заявил, что «сотни людей настроили свои серверы управления Clawdbot, открытые для публичного доступа».

Clawdbot — открытый ИИ-ассистент от разработчика и предпринимателя Питера Штайнбергера. Он работает локально на устройстве пользователя и стал вирусно популярным на прошедших выходных 24-25 января.

Суть уязвимости

Шлюз агента подключает большие языковые модели к платформам для обмена сообщениями и выполняет команды от имени пользователя с помощью веб-интерфейса под названием Clawdbot Control.

Уязвимость обхода аутентификации возникает, когда шлюз размещают за ненастроенным обратным прокси, объяснил О’Рейли.

Исследователь смог легко находить открытые серверы, используя инструменты интернет-сканирования вроде Shodan. Он выполнял поиск по характерным «отпечаткам» в HTML-коде.

О’Рейли получил доступ к полным учетным данным: API-ключи, токены ботов, секретные OAuth, ключи подписи, полная история переписок на всех платформах, возможность отправлять сообщения от имени пользователя и выполнять команды.

Кража приватных ключей

CEO Archestra AI Матвей Кукуй смог получить ключ OpenSSH «за пять минут». Он отправил электронное письмо Clawdbot с атакой типа «инъекция промпта» и попросил бота проверить почту.

Clawdbot отличается от других ИИ-агентов тем, что имеет полный системный доступ к компьютеру пользователя. Он способен читать и записывать файлы, запускать команды, выполнять скрипты и управлять браузерами.

Напомним, в январе SlowMist обнаружили «атаку будущего» в магазине Linux.