Clawdbot виявив вразливість безпеки! Сотні API-ключів витекли, 5 хвилин для крадіжки приватних ключів

SlowMist виявив, що шлюз Clawdbot був відкритий, і сотні ключів API та транскриптів чату стали публічно доступними. Дослідник безпеки Джеймісон О’Рейлі використав Shodan, щоб за секунди знайти сотні відкритих серверів із доступом до повних облікових даних. Генеральний директор Archestra AI фактично протестував 5 хвилин для отримання приватних ключів. Посадовець визнає, що «абсолютної безпеки немає» і рекомендує суворо внести IP-у до білого списку.

SlowMist виявив, що шлюз Clawdbot розкриває сотні облікових даних

Дослідники кібербезпеки попередили про нового персонального помічника на базі ШІ під назвою Clawdbot, який потенційно ненавмисно розкриває персональні дані та ключі API для громадськості. У вівторок компанія з безпеки блокчейну SlowMist повідомила, що виявила «шлюзовий ризик» Clawdbot, що поставило під загрозу «сотні ключів API та приватних записів чату». «Декілька неавтентифікованих екземплярів є публічно доступними, а деякі вразливості коду можуть призвести до крадіжки облікових даних або навіть віддаленого виконання коду», — додано в собі.

Дослідник безпеки Джеймісон О’Рейлі вперше детально описав результати в неділю, зазначивши, що за останні кілька днів «сотні людей розкрили свої сервери керування Clawdbot для публіки». Clawdbot — це відкритий AI-асистент, розроблений розробником і підприємцем Пітером Стайнбергером, який працює локально на пристрої користувача. Онлайн-обговорення інструменту «стали вірусними» протягом вихідних, повідомив Mashable у вівторок. Ця популярність збігається з вразливостями безпеки, через що багато початківців розкривають чутливу інформацію, не розуміючи ризиків.

Шлюзи агентів ШІ з’єднують великі мовні моделі (LLM) з платформами обміну повідомленнями та виконують команди від імені користувачів через веб-інтерфейс управління під назвою «Clawdbot Control». О’Рейлі пояснив, що вразливість обходу автентифікації Clawdbot була спричинена тим, що його шлюз розташований за неналаштованим зворотним проксі. Ця неправильна конфігурація перетворює інтерфейс управління, який мав би бути захищений паролем, на публічну сторінку, до якої може отримати доступ будь-хто.

Дослідники використовували інструменти веб-сканування, такі як Shodan, щоб легко знаходити ці відкриті сервери, шукаючи унікальні відбитки пальців у HTML. Він сказав: «Пошук ‘Clawdbot Control’ — запит зайняв лише кілька секунд. Я шукав за допомогою різних інструментів і отримав сотні результатів.» Shodan — це пошукова система, яка спеціалізується на скануванні інтернет-пристроїв і часто використовується дослідниками безпеки для пошуку неправильно налаштованих серверів. Коли сотні екземплярів Clawdbot використовують однакові HTML-теги та назви сторінок, пошук цих характеристик через Shodan полегшує пошук усіх відкритих серверів.

Дослідник зазначив, що має доступ до повних облікових даних, таких як API-ключі, токени ботів, ключі OAuth, ключі підпису, повна історія розмов на всіх чат-платформах, можливість надсилати повідомлення як користувач і виконувати команди. Такий рівень доступу надзвичайно небезпечний. API-ключі можна використовувати для видачі себе за користувачів з метою доступу до різних сервісів, токени ботів — для керування ботами Telegram або WhatsApp, а ключі OAuth — для доступу до Google, GitHub та інших облікових записів користувачів.

5-хвилинна ін’єкція підказок для тестування крадіжки приватних ключів

Асистенти ШІ також можуть використовуватися для більш підступних цілей, пов’язаних із безпекою криптоактивів. Матвей Кукуй, генеральний директор Archestra AI, пішов далі і спробував отримати приватні ключі. Він поділився скріншотом, на якому він надсилає листа Clawdbot з швидким ін’єкціям, просячи Clawdbot перевірити лист і отримати приватний ключ з атакованого пристрою, заявивши: «Це зайняло 5 хвилин.»

Це вимірювання є дуже тривожним. Ін’єкція підказок — це метод атаки, спрямований на системи ШІ, коли зловмисники впроваджують шкідливі інструкції у вхідний сигнал, щоб змусити ШІ виконувати несподівані дії. У цьому випадку зловмисник просто надсилає спеціально створений лист користувачу Clawdbot, і коли Clawdbot автоматично перевіряє повідомлення, він виконує шкідливу команду, приховану в повідомленні. Якщо комп’ютер користувача має приватні ключі криптовалютного гаманця, Clawdbot може бути обманутий і змусив прочитати ці файли і надіслати їх зловмиснику.

П’ятихвилинний таймінтервал свідчить про те, що ця атака є дуже життєздатною. Зловмисникам не потрібні складні технічні методи чи тривала підготовка, їм достатньо ретельно спроектувати електронну пошту, щоб викрасти приватний ключ. Для користувачів, які володіють великими обсягами криптоактивів, цей ризик є фатальним. Після викрадення приватного ключа зловмисник може повністю контролювати гаманець і передати всі активи, а транзакція в блокчейні стає незворотною, що робить викрадені активи майже неможливими для повернення.

Ця справа також підкреслює небезпеку надання ШІ надмірних повноважень. Щоб реалізувати своє бачення «повністю автоматизованого асистента», Clawdbot вимагає від користувачів надання надзвичайно широкого доступу до системи. Але цей дизайн надто агресивний у компромісі між безпекою та зручністю, піддаючи користувачів значним ризикам. Витік даних Matcha Meta та вразливість SwapNet, які спричинили збитки на $16,8 мільйона, згадані у відповідних звітах, є кривавими уроками з подібних проблем надмірних привілеїв.

Визнаються кореневі привілеї та ризик «відсутності абсолютної безпеки»

Clawdbot дещо відрізняється від інших інтелектуальних ботів ШІ тим, що має повний системний доступ до машини користувача, тобто може читати та записувати файли, виконувати команди, виконувати скрипти та керувати браузером. Цей рівень root-доступу є надзвичайно чутливим у традиційній програмній безпеці. Зазвичай лише основні компоненти операційної системи та ретельно перевірені інструменти системного адміністрування отримують такі високі привілеї.

У FAQ про Clawdbot зазначено: «Запустіть агента ШІ з доступом до оболонки на вашому комп’ютері… Це небезпечно. Немає жодного режиму «абсолютної безпеки».» Це відкрите визнання ризику, хоч і заслуговує на похвалу, також проливає світло на притаманні цьому інструменту ризики. Багато користувачів можуть поспішати встановити його, не уважно прочитавши FAQ після перегляду класної демо-версії Clawdbot на платформі X, повністю не усвідомлюючи ризиків, на які вони йдуть.

FAQ також висвітлює моделі загроз, зазначаючи, що зловмисники можуть «намагатися обдурити ваш ШІ, змусивши його робити погані речі, отримувати доступ до ваших даних за допомогою соціальної інженерії та досліджувати деталі інфраструктури». Усі три загрози реальні та підтверджені. Ін’єкція підказок може змусити ШІ здійснювати шкідливі дії, соціальна інженерія — змусити користувачів дозволити ШІ доступ до конфіденційних даних, а перевірка інфраструктури може надати інтелект для подальших атак.

О’Рейлі радить: «Якщо ви використовуєте інфраструктуру агента, негайно перевірте свою конфігурацію. Перевірте, який контент насправді доступний в інтернеті. Зрозумійте, чому ви довіряли, а від чого відмовилися під час розгортання. Домогосподарка чудова, тільки переконайся, що він не забуде замкнути двері." Ця метафора точно підсумовує суть проблеми: Clawdbot потужний як «цифровий дворецький», але якщо заходи безпеки налаштовані неправильно, це еквівалентно тому, що дворецький забуде зачинити двері, дозволяючи будь-кому зайти у ваш дім.

SlowMist радить: «Ми настійно рекомендуємо застосувати суворий механізм білого списку IP для відкритих портів.» Білий список IP-адрес означає дозвіл доступу до сервісу лише певним IP-адресами, а весь інший доступ забороняється. Цей захід ефективно запобігає доступу незнайомців до інтерфейсу керування Clawdbot, забезпечуючи додатковий рівень захисту навіть у разі неправильної конфігурації шлюзу.