Eksperci ostrzegają przed niebezpieczeństwami związanymi z korzystaniem z asystenta AI Clawdbot. Może on nieumyślnie ujawnić dane osobowe i klucze API.
🚨Alert SlowMist TI🚨
Zidentyfikowano narażenie na atak bramy Clawdbot: setki kluczy API i prywatnych logów czatów są zagrożone. Wiele nieuwierzytelnionych instancji jest publicznie dostępnych, a kilka luk w kodzie może prowadzić do kradzieży danych uwierzytelniających, a nawet zdalnego wykonania kodu (RCE).
Zdecydowanie… https://t.co/j2ERoWPFnh
— SlowMist (@SlowMist_Team) 27 stycznia 2026
„Odkryto lukę w zabezpieczeniach bramy Clawdbot: setki kluczy API i prywatnych czatów są zagrożone. Kilka niezidentyfikowanych przypadków jest publicznie dostępnych. Luki w kodzie mogą prowadzić do kradzieży danych, a nawet zdalnego wykonania kodu (RCE)” – poinformował SlowMist w oświadczeniu.
Firma zaapelowała o stosowanie ścisłej białej listy adresów IP dla otwartych portów.
Badacz ds. bezpieczeństwa Jamison O'Reilly stwierdził, że „setki osób utworzyło własne serwery sterujące Clawdbotem, do których dostęp jest publiczny”.
Clawdbot to oparty na otwartym kodzie źródłowym asystent AI autorstwa dewelopera i przedsiębiorcy Petera Steinbergera, który działa lokalnie na urządzeniu użytkownika i stał się viralem w weekend 24-25 stycznia.
Istota podatności
Brama agenta łączy duże modele językowe z platformami komunikacyjnymi i wykonuje polecenia w imieniu użytkownika za pośrednictwem interfejsu internetowego o nazwie Clawdbot Control.
Jak wyjaśnił O'Reilly, luka w zabezpieczeniach umożliwiająca ominięcie uwierzytelniania występuje, gdy brama jest umieszczona za nieskonfigurowanym odwrotnym serwerem proxy.
Badacz z łatwością znalazł otwarte serwery za pomocą narzędzi do skanowania sieci, takich jak Shodan. Szukał charakterystycznych „odcisków palców” w kodzie HTML.
„Zebranie informacji z zapytania Clawdbot Control zajęło kilka sekund. Otrzymałem setki wyników w oparciu o wiele narzędzi” – wyjaśnił.
O'Reilly uzyskał dostęp do pełnych danych uwierzytelniających: kluczy API, tokenów botów, tajnych kluczy OAuth, kluczy podpisu, pełnej historii czatów na wszystkich platformach, możliwości wysyłania wiadomości w imieniu użytkownika i wykonywania poleceń.
„Jeśli korzystasz z infrastruktury agentów AI, sprawdź swoją konfigurację już dziś. Zobacz, co faktycznie jest udostępniane internetowi” – radzi ekspert.
Kradzież kluczy prywatnych
Asystent AI może zostać wykorzystany do bardziej złośliwych celów — na przykład do kradzieży aktywów kryptograficznych.
Dyrektor generalny Archestra AI, Matviy Kukuy, zdołał uzyskać klucz prywatny „w pięć minut”. Wysłał e-mail do Clawdbota z atakiem „prompt injection” i poprosił bota o sprawdzenie wiadomości.
Dramat na jednym zrzucie ekranu:
1) Wysyłanie wiadomości e-mail do Clawdbota z natychmiastowym wstrzyknięciem
2) Poproszenie Clawdbota o sprawdzenie poczty e-mail
3) Odebranie klucza prywatnego z zhakowanej maszyny
…zajęło to 5 minut
Dlatego w Archestra tworzymy nieprobabilistyczne zabezpieczenia agentowe: https://t.co/ukhV6Z7tl1 pic.twitter.com/2d6OP7mNnv— Matvey Kukuy (@Mkukkk) 27 stycznia 2026 r
Clawdbot różni się od innych agentów AI tym, że ma pełny dostęp do systemu komputera użytkownika. Może odczytywać i zapisywać pliki, uruchamiać polecenia, wykonywać skrypty i kontrolować przeglądarki.
Przypomnijmy, że w styczniu SlowMist odkrył „atak przyszłości” w sklepie Linux.