🚨 Peringatan Darurat: Asisten AI Clawdbot Menghadapi Kerentanan Besar — Kunci API dan Kunci Pribadi Anda Berisiko!
Baru-baru ini, asisten AI sumber terbuka Clawdbot yang sedang tren di seluruh internet terungkap memiliki kerentanan keamanan serius. Para ahli dari SlowMist (Kabut Lambat) dan Archestra AI mengeluarkan peringatan: karena konfigurasi yang tidak tepat, data sensitif ratusan pengguna telah terekspos di publik.
Titik Risiko Utama:
Kunci API Bocor: Penyerang dapat dengan mudah memindai panel kontrol Clawdbot yang terbuka menggunakan alat seperti Shodan untuk mendapatkan kunci API, Bot Token, dan kredensial OAuth Anda. Kunci Pribadi Dicuri: CEO Archestra AI mengonfirmasi bahwa melalui serangan "injeksi prompt" (Prompt Injection), hanya dalam 5 menit, kunci pribadi dompet pengguna dapat diperoleh. Eksekusi Kode Jarak Jauh (RCE): Kerentanan memungkinkan peretas mengambil alih server Anda dari jarak jauh dan mengirim pesan atas nama Anda.
Penyebab Kerentanan:
Clawdbot Gateway berjalan di belakang proksi terbalik yang tidak dikonfigurasi dapat melewati otentikasi. Penyerang hanya perlu melakukan pencarian sidik jari HTML sederhana untuk menguasai seluruh infrastruktur AI Anda.
Ambil Tindakan Segera:
Periksa Konfigurasi Server: Pastikan panel kontrol Clawdbot Anda tidak langsung terekspos di internet. Atur Daftar Putih IP: Terapkan kontrol akses yang ketat pada port yang terbuka. Ganti Kunci: Jika Anda telah menggunakan alat ini, segera ganti semua kunci API Anda dan pindahkan aset terenkripsi ke dompet baru yang aman.
Saat menikmati kemudahan yang dibawa oleh AI, ingatlah bahwa keamanan adalah yang utama! Terutama untuk perangkat lunak "eksperimental" lokal yang baru saja terkenal ini.🛡