Cointelegraph 27日报道,近期走红的开源AI助理Clawdbot被曝存在安全漏洞,可能导致用户聊天记录及API密钥等敏感信息泄露。
区块链安全公司SlowMist表示,Clawdbot的网关暴露在公网,增加了数百个API密钥和私人聊天记录泄露的风险。安全研究员Jamison O'Reilly指出,由于前置代理配置错误,Clawdbot服务器存在可被绕过认证的漏洞。攻击者只需借助互联网扫描工具,检索HTML中的特定指纹,便可较为容易地定位暴露在外的服务器。
据其介绍,攻击者一旦利用该漏洞,可能访问API密钥、机器人令牌、OAuth机密、签名密钥以及完整对话记录,并获得发送用户消息和执行命令的权限。
报道介绍,Clawdbot是一款可在用户设备上运行的开源AI助理,能够将大语言模型(LLM)接入消息平台,并通过名为Clawdbot Control的Web管理界面为用户执行命令。
Orchestra AI CEO Matvey Kukuy在演示中表示,攻击者可滥用Clawdbot,对加密资产安全构成威胁,并展示了提取私钥的方法。报道还称,Clawdbot对用户系统拥有完全访问权限,可执行文件读写、命令执行、脚本运行以及浏览器控制等操作。
SlowMist提醒,应对暴露端口实施严格的IP白名单控制,并警惕AI代理相关安全漏洞带来的风险。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr