Исследователи кибербезопасности подняли тревогу по поводу нового личного помощника с искусственным интеллектом под названием Clawdbot, предупреждая, что он может непреднамеренно раскрывать личные данные и ключи API для общественности.
Компания SlowMist, занимающаяся безопасностью блокчейн, сообщила во вторник, что была обнаружена «защищенность шлюза» Clawdbot, подвергающая риску «сотни ключей API и журналы частных чатов».
«Множество неаутентифицированных экземпляров общедоступны, а некоторые ошибки в коде могут привести к краже учетных данных и даже удаленному выполнению кода», — добавили в компании.
Исследователь безопасности Джеймисон О’Рейли первоначально подробно изложил результаты в воскресенье, заявив, что «сотни людей выставили свои серверы управления Clawdbot открытыми для общественности» за последние пару дней.
Clawdbot — это ИИ-помощник с открытым исходным кодом, созданный разработчиком и предпринимателем Питером Стейнбергером и работающий локально на устройстве пользователя. На выходных онлайн-разговоры об этом инструменте «достигли вирусного статуса», сообщает Mashable во вторник.
Сканирование «Clawdbot Control» для доступа к учетным данным
Шлюз агента ИИ подключает большие языковые модели (LLM) к платформам обмена сообщениями и выполняет команды от имени пользователей с помощью интерфейса веб-администратора под названием «Clawdbot Control».
Уязвимость обхода аутентификации в Clawdbot возникает, когда его шлюз находится за ненастроенным обратным прокси-сервером, объяснил О’Рейли.
Используя инструменты интернет-сканирования, такие как Shodan, исследователь мог легко найти эти открытые серверы, выполнив поиск по отличительным отпечаткам пальцев в HTML.
“Поиск “Clawdbot Control” – запрос занял несколько секунд. Я получил сотни результатов на основе нескольких инструментов”, – сказал он.
Исследователь сказал, что он может получить доступ к полным учетным данным, таким как ключи API, токены ботов, секреты OAuth, ключи подписи, полная история разговоров на всех платформах чата, возможность отправлять сообщения от имени пользователя и возможности выполнения команд.
“Если вы используете агентскую инфраструктуру, проведите аудит своей конфигурации сегодня. Проверьте, что на самом деле доступно в Интернете. Поймите, чему вы доверяете при этом развертывании, а что вы продаете”, – посоветовал О’Рейли.
“Дворецкий великолепен. Просто убедитесь, что он не забывает запереть дверь”.
Извлечение закрытого ключа заняло пять минут
Помощник ИИ также может быть использован для более гнусных целей, касающихся безопасности криптовалютных активов.
Генеральный директор Archestra AI Матвей Кукуй пошел еще дальше в попытке извлечь закрытый ключ.
Он поделился снимком экрана с отправкой Clawdbot электронного письма с быстрой инъекцией, просьбой Clawdbot проверить электронное письмо и получением закрытого ключа от взломанной машины, что «заняло 5 минут».
Clawdbot немного отличается от других агентных ботов с искусственным интеллектом, поскольку он имеет полный системный доступ к машинам пользователей, что означает, что он может читать и записывать файлы, запускать команды, выполнять сценарии и управлять браузерами.
«Запуск ИИ-агента с доступом к оболочке на вашем компьютере… это сложно», — говорится в часто задаваемых вопросах Clawdbot, в котором добавляется: «Не существует «абсолютно безопасной» установки».
В FAQ также подчеркивается модель угроз, в которой говорится, что злоумышленники могут «попытаться обманом заставить ваш ИИ совершать плохие поступки, получить доступ к вашим данным с помощью социальной инженерии и исследовать детали инфраструктуры».
«Мы настоятельно рекомендуем применять строгий белый список IP-адресов для открытых портов», — посоветовал SlowMist.
