В ИИ-агенте Clawdbot обнаружили критические уязвимости для кражи криптовалют

Эксперты по безопасности предупредили об опасности использования ИИ-помощника Clawdbot. Он может непреднамеренно раскрывать личные данные и API-ключи.

🚨SlowMist TI Alert🚨
Clawdbot gateway exposure identified: hundreds of API keys and private chat logs are at risk. Multiple unauthenticated instances are publicly accessible, and several code flaws may lead to credential theft and even remote code execution (RCE).
We strongly… https://t.co/j2ERoWPFnh

«Обнаружена уязвимость шлюза Clawdbot: сотни API-ключей и приватных чатов находятся под угрозой. Несколько неидентифицированных экземпляров расположены в общем доступе. Недостатки в коде способны привести к краже данных и даже удаленному выполнению кода (RCE)», — говорится в сообщении SlowMist.

В компании призвали применять строгий белый список IP-адресов для открытых портов.

Исследователь по безопасности Джеймисон О’Рейли заявил, что «сотни людей настроили свои серверы управления Clawdbot, открытые для публичного доступа.

Clawdbot — открытый ИИ-ассистент от разработчика и предпринимателя Питера Штайнбергера. Он работает локально на устройстве пользователя и стал вирусно популярным на прошедших выходных 24-25 января.

Шлюз агента подключает большие языковые модели к платформам для обмена сообщениями и выполняет команды от имени пользователя с помощью веб-интерфейса под названием Clawdbot Control.

Уязвимость обхода аутентификации возникает, когда шлюз размещают за ненастроенным обратным прокси, объяснил О’Рейли.

Исследователь смог легко находить открытые серверы, используя инструменты интернет-сканирования вроде Shodan. Он выполнял поиск по характерным «отпечаткам» в HTML-коде.

«Сбор информации по запросу Clawdbot Contro занял несколько секунд. Я получил сотни результатов на базе нескольких инструментов», — объяснил он.

О’Рейли получил доступ к полным учетным данным: API-ключи, токены ботов, секретные OAuth, ключи подписи, полная история переписок на всех платформах, возможность отправлять сообщения от имени пользователя и выполнять команды.

«Если вы используете ИИ-инфраструктуру агента, проверьте конфигурацию сегодня же. Посмотрите, что на самом деле открыто для интернета», — посоветовал эксперт.

ИИ-помощник может быть использован в более злонамеренных целях — краже криптоактивов.

CEO Archestra AI Матвей Кукуй смог получить приватный ключ «за пять минут». Он отправил электронное письмо Clawdbot с атакой типа «инъекция промпта» и попросил бота проверить почту.

Drama in one screenshot:
1) Sending Clawdbot email with prompt injection
2) Asking Clawdbot to check e-mail
3) Receiving the private key from the hacked machine
… took 5 minutes
That's why we build non-probabilistic agentic security in Archestra: https://t.co/ukhV6Z7tl1 pic.twitter.com/2d6OP7mNnv

Clawdbot отличается от других ИИ-агентов тем, что имеет полный системный доступ к компьютеру пользователя. Он способен читать и записывать файлы, запускать команды, выполнять скрипты и управлять браузерами.

Напомним, в январе SlowMist обнаружили «атаку будущего» в магазине Linux.

Подписывайтесь на ForkLog в социальных сетях

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Источник