Дослідники кібербезпеки підняли тривогу щодо нового персонального помічника зі штучним інтелектом під назвою Clawdbot, попереджаючи, що він може ненавмисно оприлюднити особисті дані та ключі API.
У вівторок фірма безпеки блокчейну SlowMist заявила, що було виявлено «шлюзовий вплив» Clawdbot, що поставило під загрозу «сотні ключів API та журналів приватних чатів».
«Кілька неавтентифікованих екземплярів є загальнодоступними, а кілька недоліків коду можуть призвести до крадіжки облікових даних і навіть віддаленого виконання коду», — додали в ньому.
Дослідник безпеки Джеймісон О’Рейлі спочатку детально описав результати в неділю, заявивши, що «сотні людей налаштували свої контрольні сервери Clawdbot у відкритий доступ» за останні кілька днів.
Clawdbot — це помічник штучного інтелекту з відкритим кодом, створений розробником і підприємцем Пітером Штайнбергером, який працює локально на пристрої користувача. У вівторок Mashable повідомив, що на вихідних онлайн-балачки про інструмент «набули вірусного статусу».
Сканування «Clawdbot Control» відкриває облікові дані
Шлюз агента AI підключає великі мовні моделі (LLM) до платформ обміну повідомленнями та виконує команди від імені користувачів за допомогою інтерфейсу веб-адміністратора під назвою «Clawdbot Control».
Уразливість обходу автентифікації в Clawdbot виникає, коли його шлюз розміщується за неналаштованим зворотним проксі-сервером, пояснив О’Райлі.
Використовуючи інструменти інтернет-сканування, такі як Shodan, дослідник міг легко знайти ці відкриті сервери, шукаючи характерні відбитки пальців у HTML.
“Пошук “Clawdbot Control” – запит зайняв кілька секунд. Я отримав сотні звернень на основі багатьох інструментів”, – сказав він.
Дослідник сказав, що він міг отримати доступ до повних облікових даних, таких як ключі API, токени ботів, секрети OAuth, ключі підпису, повна історія розмов на всіх платформах чату, можливість надсилати повідомлення від імені користувача та можливості виконання команд.
“Якщо ви використовуєте агентську інфраструктуру, перевірте свою конфігурацію сьогодні. Перевірте, що насправді відкрито в Інтернеті. Зрозумійте, чому ви довіряєте це розгортання, а що ви обмінюєте”, – порадив О’Райлі
“Дворецький чудовий. Просто переконайтеся, що він не забуває замкнути двері”.
Вилучення закритого ключа зайняло п’ять хвилин
ШІ-помічник також може бути використаний для більш мерзенних цілей щодо безпеки активів криптовалюти.
Матвій Кукуй, генеральний директор Archestra AI, пішов далі, спробувавши видобути закритий ключ.
Він поділився скріншотом, на якому Clawdbot надсилає електронний лист із миттєвою ін’єкцією, попросивши Clawdbot перевірити електронну пошту та отримати приватний ключ від зловмисної машини, сказавши, що це «зайняло 5 хвилин».
Clawdbot дещо відрізняється від інших агентних ботів ШІ, оскільки він має повний системний доступ до комп’ютерів користувачів, що означає, що він може читати та писати файли, запускати команди, виконувати сценарії та керувати браузерами.
«Запуск агента штучного інтелекту з доступом до оболонки на вашому комп’ютері — це… пікантно», — йдеться у поширених запитаннях Clawdbot. «Немає «ідеально безпечної» установки».
У поширених запитаннях також висвітлювалася модель загроз, зазначаючи, що зловмисники можуть «спробувати обманом змусити ваш штучний інтелект робити погані речі, отримати доступ соціальних інженерів до ваших даних і перевірити деталі інфраструктури».
«Ми наполегливо рекомендуємо застосовувати строгий білий список IP-адрес для незахищених портів», — порадив SlowMist.
