🚨 Aviso de emergência: Clawdbot AI Assistente revela uma grande vulnerabilidade - sua chave API e chave privada estão em risco!
Recentemente, o assistente de IA de código aberto Clawdbot, que se tornou popular na internet, foi exposto a uma grave vulnerabilidade de segurança. Especialistas da SlowMist (Nuvem Lenta) e da Archestra AI emitiram um alerta: devido a configurações inadequadas, os dados sensíveis de centenas de usuários foram expostos ao público.
Pontos de risco principais:
Vazamento de chave API: atacantes podem facilmente escanear o painel de controle público do Clawdbot usando ferramentas como Shodan, obtendo sua chave API, Token do Bot e credenciais OAuth. Chave privada roubada: o CEO da Archestra AI confirmou que, por meio de um ataque de "injeção de prompt", é possível obter a chave privada da carteira do usuário em apenas 5 minutos. Execução remota de código (RCE): a vulnerabilidade permite que hackers assumam remotamente seu servidor e enviem mensagens em seu nome.
Causas da vulnerabilidade:
O Clawdbot Gateway, quando executado sob um proxy reverso não configurado, contorna a autenticação. Os atacantes podem assumir todo o seu infraestrutura de IA apenas com uma simples busca por impressão digital HTML.
Aja imediatamente:
Verifique a configuração do servidor: certifique-se de que seu painel de controle do Clawdbot não esteja exposto diretamente na internet. Configure uma lista branca de IP: implemente controle de acesso rigoroso para portas abertas. Troque as chaves: se você já usou essa ferramenta, troque imediatamente todas as chaves API e transfira os ativos criptografados para uma nova carteira segura.
Ao desfrutar das comodidades trazidas pela IA, lembre-se de que a segurança vem em primeiro lugar! Especialmente com esse tipo de software "experimental" que acabou de se tornar popular.🛡