Публично доступные интерфейсы управления ClawdBot позволили получить учетные данные и выполнить команды
Оригинал: Exposed ClawdBot Control Interfaces Leads to Credential Access and Execution
Исследователь безопасности обнаружил сотни интерфейсов управления ClawdBot, открытых в публичном интернете. ClawdBot, ныне OpenClaw, описывается как «персональный ИИ-ассистент, который работает на ваших собственных устройствах. Он отвечает вам в уже используемых вами каналах … , а также в каналах расширений. … Он может говорить и слушать на macOS/iOS/Android и отображать интерактивный Canvas под вашим управлением».1 Исследователь смог получить доступ к учетным данным различных подключенных приложений через конфигурационный файл ClawdBot. Он также смог вызывать навыки ClawdBot, отправляя ему промпты через чат-интерфейс, что привело к root-доступу в контейнере.
Исследователь использовал Shodan2, чтобы найти экземпляры ClawdBot, доступные из публичного интернета, в том числе такие, где не была включена аутентификация. Он продемонстрировал, что механизм аутентификации ClawdBot можно обойти из-за ошибочной конфигурации прокси.
Получив доступ к интерфейсу управления ClawdBot, исследователь смог открыть конфигурацию ClawdBot, где хранились учетные данные для разных сервисов. В разных экземплярах ClawdBot, доступных из публичного интернета, он обнаружил Anthropic API Keys, Telegram Bot Tokens, Slack OAuth Credentials и Signal Device Linking URIs. Исследователь напрямую отправлял ClawdBot промпты через чат-интерфейс, что привело к раскрытию системного промпта. Он также смог заставить ClawdBot выполнять команды через навык bash, что как минимум в одном случае привело к root-доступу в контейнере ClawdBot.
Исследователь отметил широкий спектр других возможных последствий при таком уровне доступа, включая:
- манипулирование историей чатов пользователя с ИИ-агентом ClawdBot;
- эксфильтрацию историй переписок из любых подключенных мессенджеров;
- имперсонацию пользователей путем отправки сообщений от их имени через подключенные мессенджеры.
Процедура
- AML.TA0002 Разведка
AML.T0000 Поиск в открытых технических базах данных
Исследователь искал цели в Shodan по заголовку веб-интерфейса управления ClawdBot —Clawdbot Control— и обнаружил сотни интерфейсов ClawdBot, открытых в публичном интернете. - AML.TA0004 Первичный доступ
AML.T0049 Эксплуатация приложения, доступного из интернета
Исследователь воспользовался ошибочной конфигурацией прокси на сервере управления ClawdBot и получил доступ к интерфейсам управления с включенной аутентификацией. - AML.TA0013 Доступ к учетным данным
AML.T0083 Учетные данные из конфигурации ИИ-агента
Исследователь получил доступ к учетным данным разных сервисов, которые хранились в открытом виде в конфигурационном файле ClawdBot~/.clawdbot/clawdbot.json; этот файл виден в панели управления ClawdBot. В разных открытых экземплярах ClawdBot он обнаружил ключи API Anthropic, токены Telegram-ботов, учетные данные Slack OAuth и URI привязки устройств Signal. - AML.TA0005 Выполнение
AML.T0051.001 Косвенная промпт-инъекция
Исследователь смог напрямую отправлять промпты ClawdBot через интерфейс управления. - AML.TA0008 Выявление
AML.T0069.002 Системный промпт
Исследователь попросил ClawdBot выполнитьcat SOUL.md, гдеSOUL.md— файл с системным промптом ClawdBot; в ответ ClawdBot вернул содержимое файла. - AML.TA0013 Доступ к учетным данным
AML.T0098 Сбор учетных данных через инструменты ИИ-агента
Исследователь отправил ClawdBot промптenv; в ответ ClawdBot вызвал навыкbashи выполнил командуenv, вывод которой содержал дополнительные секреты для других сервисов. - AML.TA0012 Повышение привилегий
AML.T0053 Вызов инструментов ИИ-агента
Исследователь отправил ClawdBot промптroot; в ответ ClawdBot вызвал навыкbash, запущенный от имени пользователя root. - AML.TA0007 Уклонение от защиты
AML.T0092 Изменение истории чата пользователя с LLM
Исследователь мог бы использовать найденные ключи API Anthropic, чтобы манипулировать историей чата ClawdBot с пользователем, включая удаление или изменение сообщений. - AML.TA0010 Эксфильтрация
AML.T0025 Эксфильтрация киберсредствами
Исследователь мог бы использовать обнаруженные токены приложений, чтобы эксфильтрировать полные истории приватных переписок, включая переданные файлы, из любых подключенных мессенджеров: Telegram, Slack, Discord, Signal, WhatsApp и других. - AML.TA0011 Воздействие
AML.T0048.003 Ущерб пользователям
Исследователь мог бы использовать обнаруженные токены приложений для дальнейшего вреда пользователю, включая имперсонацию через отправку сообщений от имени пользователя в любом из подключенных мессенджеров.