Investigadores de ciberseguridad han dado la voz de alarma sobre un nuevo asistente personal de inteligencia artificial llamado Clawdbot, advirtiendo que podría exponer inadvertidamente datos personales y claves API al público.
El martes, la empresa de seguridad blockchain SlowMist afirmó que se había identificado una “exposición de la puerta de enlace” de Clawdbot, lo que ponía “en riesgo cientos de claves API y registros de chats privados”.
“Hay múltiples instancias no autenticadas accesibles públicamente, y varios fallos en el código pueden dar lugar al robo de credenciales e incluso a la ejecución remota de código”, añadió.
El investigador de seguridad Jamieson O'Reilly detalló inicialmente los hallazgos el domingo, afirmando que “cientos de personas han configurado sus servidores de control de Clawdbot expuestos al público” en los últimos días.
Clawdbot es un asistente de IA de código abierto creado por el desarrollador y empresario Peter Steinberger que se ejecuta localmente en el dispositivo del usuario. Durante el fin de semana, las conversaciones en línea sobre la herramienta “alcanzaron un estatus viral”, informó Mashable el martes.
La búsqueda de “Clawdbot Control” expone las credenciales
La puerta de enlace del agente de inteligencia artificial conecta grandes modelos de lenguaje (LLM) a plataformas de mensajería y ejecuta comandos en nombre de los usuarios mediante una interfaz de administración web llamada “Clawdbot Control”.
La vulnerabilidad de omisión de autenticación en Clawdbot se produce cuando su puerta de enlace se coloca detrás de un proxy inverso no configurado, explicó O'Reilly.
Utilizando herramientas de escaneo de Internet como Shodan, el investigador pudo encontrar fácilmente estos servidores expuestos buscando huellas distintivas en el HTML.
“Buscar ‘Clawdbot Control’ fue cuestión de segundos. Obtuve cientos de resultados basados en múltiples herramientas”, afirmó.
El investigador afirmó que podía acceder a credenciales completas, como claves API, tokens de bot, secretos OAuth, claves de firma, historiales completos de conversaciones en todas las plataformas de chat, la capacidad de enviar mensajes como usuario y capacidades de ejecución de comandos.
“Si utilizas una infraestructura de agentes, revisa tu configuración hoy mismo. Comprueba qué está realmente expuesto a Internet. Comprende en qué estás confiando con esa implementación y qué estás sacrificando”, aconsejó O'Reilly.
“El mayordomo es brillante. Solo asegúrate de que se acuerde de cerrar la puerta con llave.”
Extraer una clave privada llevó cinco minutos
El asistente de IA también podría explotarse con fines más maliciosos en relación con la seguridad de los criptoactivos.
Matvey Kukuy, CEO de Archestra AI, fue un paso más allá en su intento de extraer una clave privada.
Compartió una captura de pantalla en la que enviaba un correo electrónico a Clawdbot con una inyección de comandos, pidiéndole que revisara el correo electrónico y recibiera la clave privada de la máquina explotada, y dijo que “tardó 5 minutos”.
Clawdbot es ligeramente diferente de otros bots de IA agenticos porque tiene acceso completo al sistema de las máquinas de los usuarios, lo que significa que puede leer y escribir archivos, ejecutar comandos, ejecutar scripts y controlar navegadores.
“Ejecutar un agente de IA con acceso al shell en tu máquina es... arriesgado”, se lee en las preguntas frecuentes de Clawdbot. “No existe una configuración ‘perfectamente segura’”.
Las preguntas frecuentes también destacaban el modelo de amenaza, afirmando que actores maliciosos pueden “intentar engañar a tu IA para que haga cosas malas, acceder a tus datos mediante ingeniería social y sondear los detalles de la infraestructura”.
“Recomendamos encarecidamente aplicar una lista blanca de IP estricta en los puertos expuestos”, aconsejó SlowMist.
Este artículo no contiene consejos ni recomendaciones de inversión. Toda inversión y operación conlleva riesgos, y los lectores deben realizar sus propias investigaciones antes de tomar una decisión. Aunque nos esforzamos por proporcionar información precisa y oportuna, Cointelegraph no garantiza la exactitud, integridad o fiabilidad de la información contenida en este artículo. Este artículo puede contener declaraciones prospectivas que están sujetas a riesgos e incertidumbres. Cointelegraph no se hace responsable de ninguna pérdida o daño que se derive de la confianza depositada en esta información.
