Investigadores en ciberseguridad han levantado alertas sobre un nuevo asistente personal de inteligencia artificial llamado Clawdbot, advirtiendo sobre el riesgo de que, sin querer, exponga datos personales y claves API al público.
El martes, la firma de seguridad blockchain SlowMist comunicó que se había identificado una «exposición de puerta de enlace» de Clawdbot, poniendo «en riesgo cientos de claves API y registros de chat privados».
“Múltiples instancias no autenticadas son accesibles públicamente, y varios fallos de código pueden llevar al robo de credenciales e incluso a la ejecución remota de código,” añadieron desde la firma.
El investigador de seguridad Jamieson O’Reilly había detallado inicialmente los hallazgos el domingo, indicando que “cientos de personas han configurado sus servidores de control de Clawdbot expuestos al público” en los últimos días.
Clawdbot es un asistente de IA de código abierto creado por el desarrollador y empresario Peter Steinberger, que se ejecuta localmente en el dispositivo del usuario. Durante el fin de semana, el revuelo en línea sobre la herramienta alcanzó un estatus viral, según un informe de Mashable del martes.
Escanear para «Clawdbot Control» expone credenciales
La puerta de enlace del agente de IA conecta modelos de lenguaje de gran tamaño (LLMs) a plataformas de mensajería y ejecuta comandos en nombre de los usuarios mediante una interfaz de administración web llamada “Clawdbot Control.”
La vulnerabilidad de bypass de autenticación en Clawdbot ocurre cuando su puerta de enlace se coloca detrás de un proxy inverso no configurado, explicó O’Reilly.
Mediante herramientas de escaneo en Internet como Shodan, el investigador pudo encontrar fácilmente estos servidores expuestos buscando huellas digitales específicas en el HTML.
“Buscar ‘Clawdbot Control’ – la consulta tomó segundos. Recibí cientos de resultados basados en múltiples herramientas,” comentó.
Relacionado: Incidente de Matcha Meta vinculado al exploit de SwapNet drena hasta $16.8M
El investigador afirmó que pudo acceder a credenciales completas como claves API, tokens de bots, secretos de OAuth, claves de firma, y todo el historial de conversaciones en todas las plataformas de chat, así como la capacidad de enviar mensajes como el usuario y ejecutar comandos.
“Si estás ejecutando infraestructura de agentes, audita tu configuración hoy. Verifica qué está expuesto realmente en Internet. Entiende en qué confías con esa implementación y lo que estás sacrificando,” aconsejó O’Reilly.
“El mayordomo es brillante. Solo asegúrate de que recuerde cerrar la puerta.”
Extraer una clave privada tomó cinco minutos
El asistente de IA también podría ser explotado para fines más siniestros respecto a la seguridad de activos criptográficos.
Matvey Kukuy, CEO de Archestra AI, llevó las cosas un paso más allá al intentar extraer una clave privada.
Compartió una captura de pantalla en la que envió a Clawdbot un correo electrónico con inyección de prompt, pidiéndole que revisara el correo y recibiera la clave privada de la máquina explotada, mencionando que “tomó 5 minutos”.
Clawdbot es ligeramente diferente a otros bots de IA porque tiene acceso completo al sistema de las máquinas de los usuarios, lo que significa que puede leer y escribir archivos, ejecutar comandos, ejecutar scripts y controlar navegadores.
“Ejecutar un agente de IA con acceso a la terminal en tu máquina es… picante,” señala la sección de preguntas frecuentes de Clawdbot. “No existe una configuración ‘perfectamente segura’.”
Las preguntas frecuentes también destacan el modelo de amenaza, afirmando que actores maliciosos pueden “intentar engañar a tu IA para que realice acciones indebidas, realizar ingeniería social para acceder a tus datos, y explorar detalles de infraestructura.”
“Recomendamos encarecidamente aplicar una estricta lista blanca de IP en los puertos expuestos,” aconsejó SlowMist.
Revista: La razón crítica por la que nunca debes pedirle consejo legal a ChatGPT
Fuente: cointelegraph.com