🚨 Alerte urgente : Clawdbot AI Assistant révèle une grave vulnérabilité — vos clés API et clés privées sont en danger !
Récemment, l'assistant AI open source Clawdbot a été exposé pour une grave faille de sécurité. Des experts de SlowMist et d'Archestra AI ont émis des avertissements : en raison d'une mauvaise configuration, les données sensibles de centaines d'utilisateurs ont été exposées sur Internet.
Points de risque clés :
Fuite de clés API : les attaquants peuvent facilement scanner les panneaux de contrôle Clawdbot publics avec des outils comme Shodan pour obtenir vos clés API, Bot Token et identifiants OAuth. Vol de clés privées : le PDG d'Archestra AI a confirmé qu'avec une attaque par "injection de prompt", il suffit de 5 minutes pour obtenir les clés privées du portefeuille d'un utilisateur. Exécution de code à distance (RCE) : la vulnérabilité permet aux hackers de prendre le contrôle de votre serveur à distance et d'envoyer des messages en votre nom.
Causes de la vulnérabilité :
Clawdbot Gateway fonctionne sous un proxy inverse non configuré, ce qui contourne l'authentification. Les attaquants peuvent prendre le contrôle de toute votre infrastructure AI simplement en recherchant des empreintes HTML simples.
Agissez immédiatement :
Vérifiez la configuration du serveur : assurez-vous que votre panneau de contrôle Clawdbot n'est pas directement exposé sur Internet. Configurez une liste blanche d'IP : appliquez un contrôle d'accès strict aux ports ouverts. Changez les clés : si vous avez déjà utilisé cet outil, changez immédiatement toutes vos clés API et transférez vos actifs cryptographiques vers un nouveau portefeuille sécurisé.
Tout en profitant des commodités offertes par l'IA, n'oubliez pas que la sécurité est primordiale ! Surtout pour ce type de logiciel "expérimental" qui vient à peine de devenir populaire.🛡