Открытый ИИ-ассистент Clawdbot собрал 60 тысяч звезд на GitHub за три дня. Но стремительная популярность обернулась проблемой безопасности. Исследователь Джеймисон О’Рейли нашел сотни публично доступных серверов без защиты.

На серверах лежали API-ключи, токены мессенджеров и история переписок. Все это было доступно без какой-либо аутентификации. Любой мог подключиться и взять данные.

Корень проблемы — в архитектуре. Gateway Clawdbot по умолчанию доверяет всем подключениям с localhost. Когда пользователи ставят его за reverse proxy типа nginx, Caddy или Traefik, трафик выглядит локальным. Аутентификация просто не включается.

Разработчики уже выпустили патч. Теперь gateway проверяет заголовки X-Forwarded-For и отклоняет подключения от недоверенных адресов. Но сколько серверов еще работает на старой версии — неизвестно.

О’Рейли нашел уязвимые серверы через Shodan за секунды. Он искал характерные отпечатки в HTML, которые выдают Clawdbot. В двух случаях WebSocket-подключение сразу выдало критические данные. API-ключи Anthropic, токены Telegram-ботов, OAuth-данные Slack и месяцы переписок.

Clawdbot — не обычный чат-бот. Он работает локально с полным доступом к системе. Читает и пишет файлы, выполняет команды в терминале, управляет браузером. Это мощный инструмент, но и опасный при утечке доступа.

CEO Archestra AI Матвей Кукуй показал атаку через вредоносный промпт. Он отправил письмо с инструкциями внутри и попросил Clawdbot проверить почту. Через 5 минут получил приватный ключ со скомпрометированной машины.

Еще одна угроза — инфостилеры. Clawdbot хранит состояние в директориях ~/.clawdbot/ и ~/clawd/ без шифрования. Там лежат API-ключи, токены, gateway-токен для удаленного выполнения кода и история чатов.

В отличие от браузерных хранилищ или системных keychain, эти файлы доступны любому процессу. По данным Hudson Rock, малвари RedLine, Lumma и Vidar уже адаптируются под эти пути. Они будут красть данные Clawdbot наравне с браузерными паролями.

Риск не только в краже. Если атакующий получит доступ на запись, он может отравить память агента. Изменить его поведение незаметно для пользователя. Агент будет выполнять команды злоумышленника, думая, что это легитимные задачи.