Исследователи обнаружили риск утечки данных при использовании ИИ-агента Clawdbot
- Исследователи обнаружили публично доступные серверы управления Clawdbot без аутентификации.
- Под угрозой оказались личные чаты, токены, ключи API и учетные данные пользователей.
- Эксперты предупреждают о рисках запуска ИИ-агентов с доступом к системе.
Персональный ИИ-помощник Clawdbot оказался в центре внимания специалистов по кибербезопасности. Дело касается уязвимостей конфигурации, которые могут привести к утечке чувствительных данных пользователей, заявили представители SlowMist.
Эксперты сообщили об обнаружении проблемы в шлюзе Clawdbot, связанной с публично доступными экземплярами серверов управления без корректной аутентификации. По их оценке, под угрозой оказались сотни ключей API и журналы личных чатов.
Как отметил исследователь безопасности Джеймисон О’Рейли, многие пользователи развернули серверы управления Clawdbot таким образом, что они стали доступны из интернета. Речь идет об ИИ-помощнике с открытым исходным кодом, который работает локально и способен выполнять команды от имени пользователя.
Уязвимость возникает в случаях, когда шлюз Clawdbot размещается за неправильно настроенным обратным прокси. По словам О’Рейли, такие серверы легко обнаруживаются с помощью стандартных инструментов интернет-сканирования по характерным HTML-отпечаткам панели «Clawdbot Control».
В ряде случаев исследователям удалось получить доступ к ключам API, токенам ботов, истории переписки. Кроме того, были взяты под контроль функции выполнения команд и отправка сообщений от имени владельцев аккаунтов.
Это создает риск компрометации не только данных, но и подключенных сервисов, уверены аналитики.
Мечта о «Джарвисе» сбылась? Как Clawdbot делает то, что ChatGPT не под силу 27.01.2026 ЧитатьГенеральный директор Archestra AI Матвей
Читать на incrypted.com
