🚨 Pilne ostrzeżenie: Clawdbot AI asystent ujawnia poważną lukę — Twoje klucze API i klucze prywatne są w niebezpieczeństwie!
Ostatnio popularny open-source'owy asystent AI Clawdbot został ujawniony jako posiadający poważne luki bezpieczeństwa. Eksperci z SlowMist (慢雾) i Archestra AI wydali ostrzeżenie: z powodu niewłaściwej konfiguracji, wrażliwe dane setek użytkowników zostały wystawione na publiczny dostęp.
Główne punkty ryzyka:
Wycieki kluczy API: napastnicy mogą łatwo skanować publiczne panele sterowania Clawdbot przy użyciu narzędzi takich jak Shodan, aby uzyskać Twoje klucze API, Tokeny Botów i dane uwierzytelniające OAuth. Kradzież kluczy prywatnych: CEO Archestra AI potwierdził, że przy użyciu ataku „wstrzykiwania podpowiedzi” (Prompt Injection) można uzyskać klucz prywatny portfela użytkownika w zaledwie 5 minut. Zdalne wykonywanie kodu (RCE): luka pozwala hakerom na przejęcie Twojego serwera i wysyłanie wiadomości w Twoim imieniu.
Przyczyny luki:
Clawdbot Gateway działa bez konfiguracji w odwrotnej proxy, co omija uwierzytelnianie. Napastnicy mogą przejąć całą Twoją infrastrukturę AI za pomocą prostego wyszukiwania odcisków HTML.
Podejmij działania natychmiast:
Sprawdź konfigurację serwera: upewnij się, że Twoje panele sterowania Clawdbot nie są bezpośrednio wystawione w Internecie. Ustaw białą listę IP: wprowadź surową kontrolę dostępu dla otwartych portów. Zmień klucze: jeśli korzystałeś z tego narzędzia, natychmiast zmień wszystkie klucze API i przenieś zasoby kryptograficzne do nowego, bezpiecznego portfela.
Ciesz się wygodą, jaką przynosi AI, ale pamiętaj, że bezpieczeństwo jest najważniejsze! Szczególnie w przypadku tego nowego „eksperymentalnego” oprogramowania lokalnego.🛡