SlowMist phát hiện Clawdbot gateway bị lộ, hàng trăm API khóa và nhật ký trò chuyện có thể truy cập công khai. Nhà nghiên cứu an ninh Jamieson O’Reilly chỉ mất vài giây để tìm ra hàng trăm máy chủ bị lộ qua Shodan, có thể truy cập toàn bộ chứng chỉ. CEO của Archestra AI đã thử nghiệm lấy khóa riêng trong vòng 5 phút. Chính thức thừa nhận “không có an toàn tuyệt đối”, đề xuất danh sách trắng IP nghiêm ngặt.
SlowMist phát hiện Clawdbot gateway lộ hàng trăm chứng chỉ
Các nhà nghiên cứu an ninh mạng cảnh báo về một trợ lý cá nhân trí tuệ nhân tạo mới tên là Clawdbot, cho rằng nó có thể vô tình để lộ dữ liệu cá nhân và API khóa cho công chúng. Vào thứ Ba, công ty an ninh blockchain SlowMist cho biết đã phát hiện ra “lỗ hổng lộ gateway” của Clawdbot, dẫn đến “hàng trăm API khóa và nhật ký trò chuyện riêng tư gặp nguy hiểm”. “Nhiều ví dụ không xác thực có thể truy cập công khai, và một số lỗi mã có thể dẫn đến mất chứng chỉ, thậm chí thực thi mã từ xa,” họ bổ sung.
Nhà nghiên cứu an ninh Jamieson O’Reilly ban đầu mô tả chi tiết kết quả điều tra vào Chủ Nhật, nói rằng trong vài ngày qua, “hàng trăm người đã để lộ máy chủ điều khiển Clawdbot của họ ra công chúng”. Clawdbot là trợ lý AI mã nguồn mở do nhà phát triển kiêm doanh nhân Peter Steinberger phát triển, có thể chạy cục bộ trên thiết bị người dùng. Theo Mashable vào thứ Ba, trong cuối tuần, các cuộc thảo luận trực tuyến về công cụ này “bất ngờ nổi bật”. Sự nổi bật này cùng với các lỗ hổng bảo mật khiến nhiều người mới dùng không hiểu rõ rủi ro đã để lộ thông tin nhạy cảm.
Gateway AI kết nối các mô hình ngôn ngữ lớn (LLM) với nền tảng nhắn tin, và thực thi lệnh thay mặt người dùng qua giao diện quản lý Web có tên “Clawdbot Control”. O’Reilly giải thích rằng lỗ hổng xác thực của Clawdbot là do gateway nằm sau một reverse proxy chưa cấu hình đúng. Cấu hình sai này khiến giao diện quản lý vốn được bảo vệ bằng mật khẩu trở thành trang công khai ai cũng có thể truy cập.
Các nhà nghiên cứu sử dụng các công cụ quét mạng như Shodan, tìm kiếm các dấu vết đặc biệt trong HTML để dễ dàng tìm ra các máy chủ bị lộ. Ông nói: “Tìm kiếm ‘Clawdbot Control’ — chỉ mất vài giây để truy vấn. Sau khi dùng nhiều công cụ, tôi có hàng trăm kết quả.” Shodan là một công cụ tìm kiếm quét các thiết bị Internet, thường được các nhà nghiên cứu an ninh dùng để phát hiện các máy chủ cấu hình sai. Khi hàng trăm ví dụ của Clawdbot đều dùng cùng thẻ HTML và tiêu đề trang, việc tìm kiếm các đặc điểm này qua Shodan dễ dàng phát hiện tất cả các máy chủ bị lộ.
Nhà nghiên cứu cho biết họ có thể truy cập toàn bộ chứng chỉ, như API khóa, token bot, khóa OAuth, khóa ký, toàn bộ lịch sử hội thoại trên các nền tảng chat, khả năng gửi tin nhắn dưới danh nghĩa người dùng, và khả năng thực thi lệnh. Mức độ truy cập này cực kỳ nguy hiểm. API khóa có thể bị dùng để giả mạo người dùng truy cập dịch vụ, token bot để kiểm soát bot Telegram hoặc WhatsApp của người dùng, khóa OAuth để truy cập tài khoản Google, GitHub, v.v.
Thử nghiệm lấy khóa riêng trong 5 phút
Trợ lý AI cũng có thể bị lợi dụng cho các mục đích xấu liên quan đến an toàn tài sản mã hóa. CEO của Archestra AI, Matvey Kukuy, đã thử lấy khóa riêng. Ông chia sẻ một bức ảnh chụp màn hình, cho thấy ông đã gửi một email chứa lệnh chèn prompt vào Clawdbot, yêu cầu nó kiểm tra email và nhận khóa riêng từ máy bị tấn công, và nói rằng “việc này mất 5 phút”.
Thử nghiệm này mang tính cảnh báo cao. Chèn prompt (Prompt Injection) là một kỹ thuật tấn công nhắm vào hệ thống AI, kẻ tấn công chèn lệnh độc hại vào đầu vào để dẫn dụ AI thực hiện các thao tác không mong muốn. Trong trường hợp này, kẻ tấn công chỉ cần gửi một email đặc biệt tới người dùng Clawdbot, khi Clawdbot tự động kiểm tra email, nó sẽ thực thi lệnh độc hại ẩn trong email. Nếu máy của người dùng lưu khóa riêng của ví tiền mã hóa, Clawdbot có thể bị dụ đọc các tệp này và gửi cho kẻ tấn công.
Thời gian 5 phút cho thấy khả năng tấn công này cực kỳ cao. Kẻ tấn công không cần kỹ thuật phức tạp hay chuẩn bị lâu dài, chỉ cần thiết kế một email tinh vi là có thể lấy được khóa riêng. Đối với người dùng sở hữu lượng lớn tài sản mã hóa, rủi ro này là cực kỳ nguy hiểm. Một khi khóa riêng bị lấy cắp, kẻ tấn công có thể kiểm soát hoàn toàn ví và chuyển toàn bộ tài sản, trong khi các giao dịch blockchain là không thể hoàn tác, tài sản bị đánh cắp gần như không thể lấy lại.
Vụ việc này cũng làm nổi bật nguy cơ cấp quyền quá cao cho AI. Clawdbot nhằm mục đích trở thành trợ lý tự động toàn diện, yêu cầu người dùng cấp quyền truy cập hệ thống rộng lớn. Nhưng thiết kế này quá mạo hiểm về mặt an ninh và tiện lợi, khiến người dùng dễ bị tổn thương. Các vụ rò rỉ dữ liệu như của Matcha Meta và lỗ hổng SwapNet gây thiệt hại 1,68 triệu USD là những bài học đẫm máu về vấn đề cấp quyền quá lớn.
Quyền Root và thừa nhận “không có an toàn tuyệt đối”
Khác với các trợ lý AI thông minh khác, Clawdbot có quyền truy cập toàn bộ hệ thống của người dùng, nghĩa là nó có thể đọc, ghi tệp, thực thi lệnh, chạy script và kiểm soát trình duyệt. Quyền Root này cực kỳ nhạy cảm trong an ninh phần mềm truyền thống. Thông thường, chỉ các thành phần lõi của hệ điều hành và các công cụ quản trị hệ thống đã được kiểm duyệt chặt chẽ mới được cấp quyền cao như vậy.
Trong phần FAQ của Clawdbot, viết rằng: “Chạy AI agent có quyền shell trên máy của bạn… rất nguy hiểm. Không có ‘an toàn tuyệt đối’.” Sự thừa nhận rõ ràng này về rủi ro dù đáng trân trọng, nhưng cũng hé lộ bản chất nguy hiểm của công cụ. Nhiều người dùng xem các màn trình diễn ấn tượng của Clawdbot trên nền tảng X mà không đọc kỹ FAQ rồi vội vàng cài đặt, không biết mình đang chấp nhận rủi ro gì.
FAQ còn nhấn mạnh mô hình đe dọa, chỉ ra rằng kẻ xấu có thể “cố gắng dụ AI của bạn làm điều xấu, qua các kỹ thuật xã hội để lấy quyền truy cập dữ liệu của bạn, và dò tìm hạ tầng”. Ba mối đe dọa này đều có thật và đã được xác minh. Chèn prompt có thể dụ AI thực hiện hành động độc hại, xã hội kỹ thuật có thể lừa người dùng cấp quyền truy cập dữ liệu nhạy cảm, dò tìm hạ tầng để chuẩn bị cho các cuộc tấn công tiếp theo.
O’Reilly khuyên: “Nếu bạn đang chạy proxy, hãy kiểm tra cấu hình của bạn ngay lập tức. Xác định những gì thực sự bị lộ ra internet. Hiểu rõ những gì bạn tin tưởng qua triển khai này, và những gì bạn bỏ qua. Người quản gia rất tốt, chỉ cần đảm bảo ông ấy nhớ khóa cửa.” Cách ví này tóm tắt chính xác bản chất vấn đề: Clawdbot như một “người quản gia số” mạnh mẽ, nhưng nếu không cấu hình an toàn đúng cách, giống như để người quản gia quên khóa cửa, ai cũng có thể vào nhà bạn.
SlowMist đề xuất: “Chúng tôi khuyến nghị mạnh mẽ áp dụng danh sách trắng IP nghiêm ngặt cho các cổng bị lộ.” Danh sách trắng IP chỉ cho phép các địa chỉ IP nhất định truy cập dịch vụ, các truy cập khác bị từ chối. Biện pháp này có thể ngăn chặn người lạ truy cập giao diện quản lý của Clawdbot, ngay cả khi cấu hình gateway sai cũng tạo ra lớp bảo vệ bổ sung.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
