- Исследователь безопасности Джеймисон О’Рейли выявил сотни открытых серверов ИИ-ассистента Clawdbot без аутентификации.
- Основная уязвимость связана с некорректной обработкой проксированного трафика, из-за чего gateway доверяет всем подключениям с localhost.
- Clawdbot хранит чувствительные данные в незашифрованных файлах, что привлекает внимание вредоносного ПО и ставит под угрозу безопасность пользователей.
Открытый ИИ-ассистент Clawdbot, получивший широкую известность и высокую оценку сообщества с более чем 60 000 звёзд на GitHub за несколько дней, оказался в центре скандала, связанного с уязвимостями в системе безопасности. Исследователь Джеймисон О’Рейли обнаружил сотни публично доступных серверов Clawdbot, которые не требуют аутентификации и содержат конфиденциальные данные, включая API-ключи, токены мессенджеров и историю переписок.
Проблема носит архитектурный характер: gateway Clawdbot по умолчанию доверяет всем подключениям с localhost. Если сервис разворачивается за обратным прокси (такими как nginx, Caddy или Traefik), проксированный трафик воспринимается системой как локальный, что приводит к отключению проверки аутентификации. В связи с этим злоумышленники могут без труда получить полный доступ к системе.
Разработчики оперативно отреагировали на выявленную уязвимость, выпустив патч, который теперь проверяет заголовки X-Forwarded-For и блокирует подключения с недоверенных IP-адресов. Тем не менее, исследователь за считанные секунды с помощью сервиса Shodan нашёл множество серверов с открытым доступом, среди которых были выявлены ключи Anthropic API, токены Telegram-ботов, OAuth-учётные данные Slack и сохранённая история переписок.
Важно отметить, что Clawdbot — это не просто чат-бот. Он работает локально и обладает расширенными возможностями: может читать и записывать файлы, выполнять команды в терминале и управлять браузером. Это открывает дополнительные векторы риска, как продемонстрировал CEO Archestra AI Матвей Кукуй, показав, как можно с помощью вредоносной команды получить приватные ключи с уязвимой машины всего за пять минут.
Отдельной угрозой являются «инфостилеры», поскольку Clawdbot хранит своё состояние в каталогах ~/.clawdbot/ и ~/clawd/, где содержатся ключи API, токены, gateway-токены (обеспечивающие удалённое выполнение кода) и история чатов. Эти файлы не зашифрованы и доступны для чтения другим процессам, что уже привлекло внимание разработчиков вредоносных программ таких как RedLine, Lumma и Vidar, адаптирующих своё ПО под эти пути. Помимо кражи данных, существует риск «отравления памяти» агента — злоумышленник может изменить поведение ИИ, записав в эти файлы вредоносные данные.
В самой команде Clawdbot признают, что запускать ИИ-агента с доступом к оболочке системы всегда сопряжено с рисками, и полностью безопасной конфигурации не существует. В рекомендациях по безопасности указан строгий IP-фильтр для открытых портов и регулярное обновление ПО. Также Clawdbot содержит встроенный аудит безопасности, однако судя по объёму открытых серверов, используют этот инструмент далеко не все пользователи.
Таким образом, ситуация с Clawdbot подчёркивает важность взвешенного подхода к безопасности при работе с локальными ИИ-ассистентами, которым предоставлен широкий доступ к системным ресурсам. Пользователям рекомендуется внимательно относиться к настройкам доступа и своевременно обновлять программное обеспечение.
