SlowMist entdeckte, dass das Clawdbot-Gateway offengelegt war, mit Hunderten von API-Schlüsseln und Chat-Transkripten, die öffentlich zugänglich waren. Sicherheitsforscher Jamieson O’Reilly nutzte Shodan, um innerhalb von Sekunden hunderte offene Server mit Zugriff auf vollständige Zugangsdaten zu finden. Der CEO von Archestra AI hat tatsächlich 5 Minuten getestet, um private Schlüssel zu extrahieren. Der Beamte gibt zu, dass “es keine absolute Sicherheit gibt” und empfiehlt eine strikte IP-Whitelisting.
SlowMist entdeckte, dass das Clawdbot-Gateway Hunderte von Zugangsdaten offenlegte
Cybersicherheitsforscher haben eine Warnung vor einem neuen, KI-gestützten persönlichen Assistenten namens Clawdbot herausgegeben, der möglicherweise unbeabsichtigt persönliche Daten und API-Schlüssel der Öffentlichkeit zugänglich macht. Am Dienstag teilte das Blockchain-Sicherheitsunternehmen SlowMist mit, dass es die “Gateway-Exposition” von Clawdbot entdeckt habe, wodurch “Hunderte von API-Schlüsseln und privaten Chat-Datensätzen gefährdet sind.” “Mehrere nicht authentifizierte Instanzen sind öffentlich zugänglich, und einige Codefehler können zu Diebstahl von Zugangsdaten oder sogar zur Fernausführung führen”, fügte es hinzu.
Sicherheitsforscher Jamieson O’Reilly schilderte die Ergebnisse zunächst am Sonntag und sagte, dass in den letzten Tagen “Hunderte von Menschen ihre Clawdbot-Kontrollserver der Öffentlichkeit zugänglich gemacht haben.” Clawdbot ist ein Open-Source-KI-Assistent, entwickelt vom Entwickler und Unternehmer Peter Steinberger, der lokal auf dem Gerät des Nutzers läuft. Online-Diskussionen über das Tool “gingen am Wochenende viral”, berichtete Mashable am Dienstag. Diese Beliebtheit fällt mit Sicherheitslücken zusammen, sodass viele unerfahrene Nutzer sensible Informationen offenlegen, ohne die Risiken zu verstehen.
KI-Agenten-Gateways verbinden große Sprachmodelle (LLMs) mit Messaging-Plattformen und führen im Namen der Nutzer Befehle über eine Web-Management-Oberfläche namens “Clawdbot Control” aus. O’Reilly erklärte, dass die Authentifizierungsumgehungslücke von Clawdbot dadurch verursacht wurde, dass das Gateway hinter einem nicht konfigurierten Reverse-Proxy war. Diese Fehlkonfiguration verwandelt eine Verwaltungsoberfläche, die passwortgeschützt sein sollte, in eine öffentliche Seite, auf die jeder zugreifen kann.
Forscher nutzten Web-Scaning-Tools wie Shodan, um diese exponierten Server leicht zu lokalisieren, indem sie nach einzigartigen Fingerabdrücken in HTML suchten. Er sagte: “Suche nach ‘Clawdbot Control’ – es hat nur wenige Sekunden gedauert, um die Abfrage zu stellen. Ich habe mit mehreren Tools gesucht und hunderte Ergebnisse erhalten.” Shodan ist eine Suchmaschine, die sich auf das Scannen von Internetgeräten spezialisiert hat und häufig von Sicherheitsforschern genutzt wird, um falsch konfigurierte Server zu finden. Wenn Hunderte von Clawdbot-Instanzen alle dieselben HTML-Tags und Seitentitel verwenden, macht die Suche nach diesen Eigenschaften über Shodan es einfach, alle offenen Server zu finden.
Der Forscher sagte, er habe Zugriff auf vollständige Zugangsdaten wie API-Schlüssel, Bot-Tokens, OAuth-Schlüssel, Signierschlüssel, vollständige Konversationshistorie auf allen Chatplattformen, die Möglichkeit, Nachrichten als Nutzer zu senden, und die Möglichkeit, Befehle auszuführen. Dieses Zugangsniveau ist äußerst gefährlich. API-Schlüssel können verwendet werden, um Nutzer zu imitieren, um verschiedene Dienste zu nutzen, Bot-Tokens können zur Steuerung von Telegram- oder WhatsApp-Bots verwendet werden, und OAuth-Schlüssel können auf Google-, GitHub- und andere Konten der Nutzer zugreifen.
5-minütige prompte Injektion zum Test des Diebstahls privater Schlüssel
KI-Assistenten können auch für finstere Zwecke im Zusammenhang mit der Sicherheit von Krypto-Vermögenswerten eingesetzt werden. Matvey Kukuy, CEO von Archestra AI, ging noch einen Schritt weiter und versuchte, private Schlüssel zu extrahieren. Er teilte einen Screenshot, auf dem er eine E-Mail an Clawdbot mit einer prompten Injektion schickt, in dem er ihn bittet, die E-Mail zu überprüfen und den privaten Schlüssel vom angegriffenen Gerät zu erhalten, mit der Begründung: “Das hat 5 Minuten gedauert.”
Diese Messung ist sehr alarmierend. Prompt-Injektion ist eine Angriffsmethode, die KI-Systeme ins Visier nimmt, bei der Angreifer bösartige Anweisungen in die Eingabe einbetten, um die KI zu unerwarteten Handlungen zu veranlassen. In diesem Szenario sendet der Angreifer einfach eine speziell erstellte E-Mail an den Clawdbot-Nutzer, und wenn Clawdbot die Nachricht automatisch prüft, führt er einen bösartigen Befehl aus, der in der Nachricht verborgen ist. Wenn der Computer des Nutzers die privaten Schlüssel einer Kryptowährungs-Wallet besitzt, kann Clawdbot dazu verleitet werden, diese Dateien zu lesen und an den Angreifer zu senden.
Der Zeitraum von 5 Minuten zeigt, dass dieser Angriff sehr tragfähig ist. Angreifer benötigen keine komplexen technischen Methoden oder lange Vorbereitungen, sie müssen lediglich eine E-Mail sorgfältig entwerfen, um den privaten Schlüssel zu stehlen. Für Nutzer, die große Mengen an Krypto-Vermögenswerten besitzen, ist dieses Risiko tödlich. Sobald der private Schlüssel gestohlen wurde, kann der Angreifer die vollständige Kontrolle über die Wallet übernehmen und alle Vermögenswerte übertragen, und die Blockchain-Transaktion ist unumkehrbar, sodass die gestohlenen Vermögenswerte nahezu unmöglich wiederhergestellt werden können.
Dieser Fall verdeutlicht auch die Gefahren, KI übermäßige Autorität zu geben. Um seine Vision eines “vollautomatischen Assistenten” zu verwirklichen, erfordert Clawdbot, dass Nutzer ihm extrem umfangreichen Systemzugriff gewähren. Doch dieses Design ist im Kompromiss zwischen Sicherheit und Bequemlichkeit zu aggressiv und setzt die Nutzer erheblichen Risiken aus. Die Matcha-Meta-Datenpanne und die SwapNet-Schwachstelle, die in verwandten Berichten erwähnte Verluste in Höhe von 16,8 Millionen Dollar verursachten, sind blutige Lehren aus ähnlichen Problemen mit übermäßigen Privilegien.
Root-Privilegien und das Risiko von “keiner absoluten Sicherheit” werden anerkannt
Clawdbot unterscheidet sich leicht von anderen intelligenten KI-Bots, da er vollen Systemzugriff auf die Maschine des Nutzers hat, was bedeutet, dass er Dateien lesen und schreiben, Befehle ausführen, Skripte ausführen und den Browser steuern kann. Dieses Maß an Root-Zugriff ist in der traditionellen Softwaresicherheit äußerst sensibel. In der Regel erhalten nur Betriebssystemkernkomponenten und streng geprüfte Systemadministrationstools solche hohen Privilegien.
Die Clawdbot-FAQ lautet: “Führe einen KI-Agenten mit Shell-Zugriff auf deinem Rechner aus… Es ist gefährlich. Es gibt keine ‘absolute Sicherheit’-Einstellung.” Dieses offene Risiko-Eingeständnis, obwohl lobenswert, wirft auch ein Licht auf die inhärenten Risiken des Instruments. Viele Nutzer überstürzen es, es zu installieren, ohne die FAQ sorgfältig zu lesen, nachdem sie Clawdbots coole Demo auf der X-Plattform gesehen haben, ohne sich der Risiken bewusst zu sein, die sie eingehen.
Die FAQ hebt außerdem Bedrohungsmodelle hervor und besagt, dass böswillige Akteure “versuchen können, Ihre KI dazu zu bringen, schlechte Dinge zu tun, durch Social Engineering Zugang zu Ihren Daten zu erhalten und Infrastrukturdetails zu untersuchen.” Alle drei Bedrohungen sind real und bestätigt. Prompt Injection kann KI zu böswilligen Handlungen führen, Social Engineering kann Nutzer dazu bringen, KI den Zugriff auf sensible Daten zu erlauben, und Infrastruktur-Probing kann Informationen für nachfolgende Angriffe liefern.
O’Reilly rät: “Wenn Sie eine Agenten-Infrastruktur betreiben, überprüfen Sie Ihre Konfiguration sofort. Überprüfen Sie, welche Inhalte tatsächlich im Internet verfügbar sind. Verstehen Sie, was Sie vertraut haben und worauf Sie während des Einsatzes verzichtet haben. Die Haushälterin ist großartig, aber achte darauf, dass er daran denkt, die Tür abzuschließen.” Diese Metapher fasst das Wesentliche des Problems treffend zusammen: Clawdbot ist als “digitaler Butler” mächtig, aber wenn die Sicherheitsmaßnahmen nicht richtig konfiguriert sind, entspricht das dem Verlassen des Butlers, die Tür abzuschließen, sodass jeder ins Haus eintreten kann.
SlowMist rät: “Wir empfehlen dringend, einen strikten IP-Whitelisting-Mechanismus für exponierte Ports anzuwenden.” IP-Whitelisting bedeutet, dass nur bestimmte IP-Adressen auf den Dienst zugreifen dürfen, und alle anderen Zugriffe werden verweigert. Diese Maßnahme verhindert effektiv, dass Fremde auf die Clawdbot-Management-Schnittstelle zugreifen können, und bietet eine zusätzliche Schutzschicht, selbst wenn das Gateway falsch konfiguriert ist.
