Специалисты по кибербезопасности выразили обеспокоенность по поводу нового искусственного интеллекта, персонального ассистента под названием Clawdbot, предупреждая, что он может непреднамеренно раскрыть личные данные и API-ключи общественности.
Во вторник компания Blockchain security SlowMist заявила об обнаружении “уязвимости шлюза Clawdbot”, которая ставит под угрозу “сотни API-ключей и личных журналов чатов”.
“Несколько неаутентифицированных экземпляров общедоступны, и несколько ошибок в коде могут привести к краже учетных данных и даже удаленному выполнению кода”, – добавили они.
Исследователь в области безопасности Jamieson O'Reilly первоначально описал эти выводы в воскресенье, заявив, что “сотни людей настроили свои контрольные серверы Clawdbot с доступом извне” за последние несколько дней.
Clawdbot – это AI-ассистент с открытым исходным кодом, разработанный разработчиком и предпринимателем Peter Steinberger, который работает локально на устройстве пользователя. На выходных обсуждение этого инструмента “достигло вирусного статуса”, сообщило издание Mashable во вторник.
Сканирование на предмет “Clawdbot Control” раскрывает учетные данные
Шлюз AI-агента соединяет большие языковые модели (LLM) с платформами обмена сообщениями и выполняет команды от имени пользователей с помощью веб-интерфейса администрирования под названием “Clawdbot Control”.
Обход аутентификации в Clawdbot происходит, когда его шлюз размещается за некорректно настроенным обратным прокси, объяснил O'Reilly.
Используя инструменты интернет-сканирования, такие как Shodan, исследователь мог легко найти эти открытые серверы, выполнив поиск по характерным отпечаткам в HTML.
“Поиск ‘Clawdbot Control’ занял секунды. Я получил сотни результатов, используя разные инструменты”, – сказал он.
Исследователь заявил, что смог получить доступ к полным учетным данным, таким как API-ключи, токены ботов, OAuth-секреты, ключи подписи, полная история бесед на всех платформах чата, возможность отправлять сообщения от имени пользователя и возможности выполнения команд.
“Если вы запускаете инфраструктуру агентов, проверьте свою конфигурацию сегодня. Проверьте, что фактически открыто для интернета. Поймите, кому вы доверяете при этой настройке и чем жертвуете”, – посоветовал O'Reilly.
“Дворецкий великолепен. Просто убедитесь, что он не забывает закрывать дверь.”
Извлечение приватного ключа заняло пять минут
AI-ассистент также может быть использован в более злонамеренных целях, касающихся безопасности криптоактивов.
Matvey Kukuy, генеральный директор Archestra AI, пошел еще дальше, пытаясь извлечь приватный ключ.
Он опубликовал скриншот отправки Clawdbot электронного письма с использованием инъекции запросов, прося Clawdbot проверить электронную почту и получить приватный ключ с скомпрометированной машины, заявив, что “на это ушло 5 минут”.
Источник: Matvey Kukuy
Clawdbot немного отличается от других ботов AI с агентами тем, что он имеет полный доступ к системам пользователей, что означает, что он может читать и писать файлы, запускать команды, выполнять сценарии и контролировать браузеры.
“Запуск AI-агента с правами shell на вашей машине – это… рискованно,” – говорится в FAQ Clawdbot. “Не существует ‘идеально безопасной’ настройки.”
В FAQ также подчеркивается модель угроз, в которой злоумышленники могут “попытаться обмануть ваш AI, заставить его делать плохие вещи, использовать социальную инженерию для доступа к вашим данным и исследовать детали инфраструктуры”.
“Мы настоятельно рекомендуем применять строгую фильтрацию IP-адресов на открытых портах”, – посоветовали в SlowMist.
