Кибербезопасность в эпоху агентных ИИ получила новый вызов: популярный локальный ИИ-ассистент Clawdbot оказался уязвим к массовой утечке конфиденциальных данных из-за неправильной настройки пользовательских серверов. Исследователи обнаружили сотни публично доступных экземпляров Clawdbot Control — веб-интерфейса управления, — через которые злоумышленники могут получить полный доступ к чатам, API-ключам, OAuth-токенам и даже выполнять команды от имени пользователя.
⚠️ Эксперимент показал: извлечение приватного ключа через Clawdbot заняло всего 5 минут при использовании prompt injection по электронной почте.
Clawdbot — это open-source ИИ-агент, разработанный предпринимателем Питером Штайнбергером. В отличие от облачных ассистентов, он работает локально и обладает полным доступом к операционной системе: может читать и записывать файлы, запускать скрипты, управлять браузером и взаимодействовать с мессенджерами. Его девиз: «Умный помощник, который делает всё за вас».
Однако, как предупреждает FAQ проекта: «Запуск ИИ-агента с shell-доступом — это… остро. Нет абсолютно безопасной настройки».
«Доверяя ИИ полный контроль над вашей машиной, вы не просто открываете дверь — вы даёте ему ключи от всего дома», — Брюс Шнайер, эксперт по кибербезопасности.
Проблема не в самом коде Clawdbot, а в его развёртывании. Многие пользователи размещают интерфейс Clawdbot Control за обратным прокси (например, Nginx), но забывают настроить аутентификацию. В результате панель управления становится публично доступной в интернете.
Исследователь безопасности Джеймисон О’Рейли продемонстрировал, что поиск по фразе «Clawdbot Control» в Shodan (поисковике для открытых устройств) возвращает сотни уязвимых серверов за считанные секунды.
При доступе к панели злоумышленник получает:
Это делает Clawdbot не просто помощником, а потенциальным вектором для кражи криптоактивов, корпоративных данных и цифровой идентичности.
Матвей Кукуй, CEO Archestra AI, провёл эксперимент: он отправил на уязвимый сервер Clawdbot письмо с инъекцией — запросом проверить входящую почту и «найти приватный ключ». ИИ-агент, имея доступ к файловой системе и почтовому клиенту, нашёл и вернул ключ менее чем за 5 минут.
Этот сценарий демонстрирует, что даже без прямого взлома, достаточно одной ошибки в настройке — и ИИ станет инструментом для автоматизированного хищения.
SlowMist и другие исследователи рекомендуют:
Clawdbot — лишь первый пример новой категории угроз: автономных ИИ-агентов с системными привилегиями. По мере роста популярности таких инструментов (AutoGPT, Cline, Aider и др.), количество подобных инцидентов будет расти.
Главная проблема — иллюзия контроля. Пользователи думают, что «локальный ИИ = безопасный ИИ». Но если агент может читать ваши файлы, он может и отправить их наружу — особенно если его попросить «проверить» что-то через социальную инженерию.
Clawdbot — мощный инструмент для автоматизации, но его сила прямо пропорциональна риску. Как сказал сам О’Рейли: «Дворецкий гениален. Просто убедитесь, что он помнит закрыть дверь».
В мире, где ИИ получает всё больше прав, главная защита — не технология, а осознанность. Потому что никакая модель не заменит простое правило: не доверяй — проверяй.
