Исследователи по кибербезопасности обнаружили критические уязвимости в набирающем популярность локальном ИИ-ассистенте Clawdbot, которые позволяют злоумышленникам получать полный доступ к конфиденциальным данным пользователей. Как сообщает компания SlowMist, из-за ошибок в настройке и коде сотни экземпляров управляющего шлюза Clawdbot Control оказались открыты для публичного доступа в интернете, что привело к угрозе утечки API-ключей, токенов, истории приватных переписок и других чувствительных сведений. Исследователь Джеймисон О’Рейли продемонстрировал, что с помощью простых инструментов сканирования можно за секунды находить такие незащищенные серверы и получать возможность отправлять сообщения от лица жертвы или выполнять команды.

Особую опасность Clawdbot представляет из-за своих расширенных системных полномочий: в отличие от многих других помощников, этот агент имеет полный доступ к компьютеру пользователя, может читать и записывать файлы, запускать скрипты и управлять браузерами. Это открывает путь для целевых атак на криптоактивы, как показал эксперимент CEO Archestra AI Матвея Кукуя: с помощью инъекции в промпт он смог заставить бота извлечь и передать приватный ключ от криптокошелька всего за пять минут. Уязвимость возникает, когда шлюз разворачивается за неправильно сконфигурированным обратным прокси, что обходит встроенную аутентификацию.

Эксперты настоятельно рекомендуют всем, кто использует Clawdbot или подобные ИИ-агенты с высоким уровнем доступа, немедленно проверить конфигурацию своих серверов. Ключевой мерой безопасности является настройка строгого белого списка IP-адресов для всех открытых портов и тщательная проверка того, что именно выставлено в публичный доступ.