Clawdbot revelou uma vulnerabilidade de segurança! Centenas de chaves API vazadas, roubo de chaves privadas em 5 minutos

O SlowMist descobriu que o gateway Clawdbot estava exposto, com centenas de chaves API e transcrições de chat acessíveis publicamente. O investigador de segurança Jamieson O’Reilly usou o Shodan para encontrar centenas de servidores expostos em segundos com acesso a credenciais completas. O CEO da Archestra AI testou até 5 minutos para extrair chaves privadas. O responsável admite que “não existe segurança absoluta” e recomenda uma lista branca rigorosa de IP.

O SlowMist descobriu que o gateway Clawdbot expunha centenas de credenciais

Investigadores de cibersegurança emitiram um aviso sobre um novo assistente pessoal alimentado por IA chamado Clawdbot, que pode expor inadvertidamente dados pessoais e chaves de API ao público. Na terça-feira, a empresa de segurança blockchain SlowMist afirmou ter descoberto a “exposição ao gateway” da Clawdbot, deixando “centenas de chaves API e registos privados de chat em risco.” “Múltiplas instâncias não autenticadas são acessíveis publicamente, e algumas falhas de código podem levar ao roubo de credenciais ou até à execução remota de código”, acrescentou.

O investigador de segurança Jamieson O’Reilly detalhou inicialmente as conclusões no domingo, dizendo que, nos últimos dias, “centenas de pessoas expuseram os seus servidores de controlo Clawdbot ao público.” O Clawdbot é um assistente de IA open-source desenvolvido pelo programador e empreendedor Peter Steinberger que corre localmente no dispositivo do utilizador. As discussões online sobre a ferramenta “tornaram-se virais” durante o fim de semana, noticiou a Mashable na terça-feira. Esta popularidade coincide com vulnerabilidades de segurança, levando um grande número de utilizadores novatos a expor informações sensíveis sem compreender os riscos.

Gateways de agentes de IA ligam grandes modelos de linguagem (LLMs) a plataformas de mensagens e executam comandos em nome dos utilizadores através de uma interface de gestão web chamada “Clawdbot Control”. O’Reilly explicou que a vulnerabilidade de bypass de autenticação do Clawdbot foi causada pelo facto de o seu gateway estar atrás de um proxy inverso não configurado. Esta má configuração transforma uma interface de gestão que deveria estar protegida por palavra-passe numa página pública acessível a qualquer pessoa.

Os investigadores utilizaram ferramentas de digitalização web como a Shodan para localizar facilmente estes servidores expostos, procurando impressões digitais únicas em HTML. Ele disse: “À procura de ‘Clawdbot Control’ – demorou apenas alguns segundos a fazer a consulta. Procurei com várias ferramentas e obtive centenas de resultados.” O Shodan é um motor de busca especializado em digitalizar dispositivos de internet e é frequentemente utilizado por investigadores de segurança para encontrar servidores mal configurados. Quando centenas de instâncias do Clawdbot usam as mesmas etiquetas HTML e títulos de página, pesquisar estas características através do Shodan facilita a localização de todos os servidores expostos.

O investigador disse que tem acesso a credenciais completas, como chaves API, tokens de bots, chaves OAuth, chaves de assinatura, histórico completo de conversas em todas as plataformas de chat, a capacidade de enviar mensagens como utilizador e a capacidade de executar comandos. Este nível de acesso é extremamente perigoso. As chaves API podem ser usadas para se fazer passar pelos utilizadores e aceder a vários serviços, os tokens de bots podem ser usados para controlar os bots do Telegram ou WhatsApp dos utilizadores, e as chaves OAuth podem aceder às contas dos utilizadores no Google, GitHub e outras.

Injeção rápida de 5 minutos para testar o roubo de chaves privadas

Os assistentes de IA também podem ser usados para fins mais obscuros relacionados com a segurança dos criptoativos. Matvey Kukuy, CEO da Archestra AI, foi mais longe e tentou extrair chaves privadas. Partilhou uma captura de ecrã a mostrar o envio de um email para Clawdbot com uma injeção rápida, pedindo-lhe para verificar o email e receber a chave privada da máquina atacada, afirmando: “Isto demorou 5 minutos.”

Esta medição é muito alarmante. A injeção de prompt é um método de ataque que visa sistemas de IA, onde os atacantes incorporam instruções maliciosas na entrada para induzir a IA a realizar ações inesperadas. Neste cenário, o atacante simplesmente envia um email especialmente elaborado ao utilizador do Clawdbot e, quando o Clawdbot verifica automaticamente a mensagem, executa um comando malicioso escondido na mensagem. Se o computador do utilizador tiver as chaves privadas de uma carteira de criptomoedas, o Clawdbot pode ser enganado a ler esses ficheiros e enviá-los ao atacante.

O período de 5 minutos indica que este ataque é altamente viável. Os atacantes não precisam de meios técnicos complexos nem de longas preparações, apenas precisam de desenhar cuidadosamente um email para roubar a chave privada. Para utilizadores que detêm grandes quantidades de criptoativos, este risco é fatal. Uma vez roubada a chave privada, o atacante pode assumir o controlo total da carteira e transferir todos os ativos, tornando a transação na blockchain irreversível, tornando os ativos roubados quase impossíveis de recuperar.

Este caso também destaca os perigos de conceder autoridade excessiva à IA. Para concretizar a sua visão de um “assistente totalmente automatizado”, o Clawdbot exige que os utilizadores lhe concedam acesso extremamente extenso ao sistema. Mas este design é demasiado agressivo no compromisso entre segurança e conveniência, expondo os utilizadores a riscos significativos. A violação de metadados Matcha e a vulnerabilidade do SwapNet, que causaram perdas de 16,8 milhões de dólares mencionadas em relatórios relacionados, são lições sangrentas de questões semelhantes de privilégios excessivos.

São reconhecidos privilégios de root e o risco de “não ter segurança absoluta”

O Clawdbot é ligeiramente diferente de outros bots inteligentes de IA porque tem acesso total do sistema à máquina do utilizador, o que significa que pode ler e escrever ficheiros, executar comandos, executar scripts e controlar o navegador. Este nível de acesso root é extremamente sensível na segurança de software tradicional. Normalmente, apenas os componentes centrais do sistema operativo e as ferramentas de administração de sistemas altamente avaliadas recebem tais privilégios elevados.

O FAQ do Clawdbot diz: “Executa um agente de IA com acesso ao shell na tua máquina… É perigoso. Não existe uma opção de ‘segurança absoluta’.” Esta admissão franca de risco, embora louvável, também lança luz sobre os riscos inerentes à ferramenta. Muitos utilizadores podem apressar-se a instalá-lo sem ler atentamente as FAQ depois de verem a demonstração interessante do Clawdbot na plataforma X, completamente alheios aos riscos que estão a correr.

O FAQ também destaca modelos de ameaça, afirmando que atores maliciosos podem “tentar enganar a sua IA para fazer coisas más, aceder aos seus dados através de engenharia social e investigar detalhes da infraestrutura.” As três ameaças são reais e verificadas. A injeção de prompts pode enganar a IA para realizar ações maliciosas, a engenharia social pode enganar os utilizadores para autorizar a IA a aceder a dados sensíveis, e a sondagem de infraestrutura pode fornecer inteligência para ataques subsequentes.

O’Reilly aconselha: “Se estiver a gerir uma infraestrutura de agente, audite imediatamente a sua configuração. Verifique que conteúdos estão realmente expostos à internet. Compreende no que confiava e no que abdicou durante a missão. A governanta é ótima, só certifica-te de que ele se lembra de trancar a porta.” Esta metáfora resume bem a essência do problema: Clawdbot é poderoso como “mordomo digital”, mas se as medidas de segurança não estiverem devidamente configuradas, é equivalente a deixar o mordomo esquecer-se de trancar a porta, permitindo que qualquer pessoa entre em sua casa.

A SlowMist aconselha: “Recomendamos fortemente a aplicação de um mecanismo rigoroso de lista branca de IP às portas expostas.” A lista branca de IP refere-se a permitir apenas que endereços IP específicos acedam ao serviço, e todos os outros acessos são negados. Esta medida impede efetivamente que estranhos acedam à interface de gestão do Clawdbot, proporcionando uma camada adicional de proteção mesmo que o gateway esteja mal configurado.