Открытый ИИ-ассистент Clawdbot, набравший 60 000 звезд на GitHub за три дня, оказался в центре скандала с безопасностью. Исследователь Джеймисон О'Рейли обнаружил сотни публично доступных серверов без аутентификации — с API-ключами, токенами мессенджеров и историей переписок.

Проблема в архитектуре: gateway Clawdbot по умолчанию доверяет всем подключениям с localhost. Когда пользователи размещают его за reverse proxy (nginx, Caddy, Traefik), проксированный трафик выглядит локальным — и аутентификация просто не срабатывает. Разработчики уже выпустили патч: теперь gateway проверяет заголовки X-Forwarded-For и отклоняет подключения от недоверенных адресов. О'Рейли нашел такие серверы за секунды через Shodan, искав характерные отпечатки в HTML. В двух случаях WebSocket-подключение сразу выдало API-ключи Anthropic, токены Telegram-ботов, OAuth-креды Slack и месяцы переписок.

Clawdbot — не обычный чат-бот. Он работает локально и имеет полный доступ к системе: читает и пишет файлы, выполняет команды в терминале, управляет браузером. CEO Archestra AI Матвей Кукуй показал, как это использовать: он отправил письмо с вредоносным промптом внутри, попросил Clawdbot проверить почту — и через 5 минут получил приватный ключ со скомпрометированной машины.

Отдельная угроза — инфостилеры. Clawdbot хранит состояние в директориях ~/.clawdbot/ и ~/clawd/: API-ключи, токены, gateway-токен (дает удаленное выполнение кода), историю чатов. В отличие от браузерных хранилищ или системных keychain, эти файлы не зашифрованы и доступны любому процессу. По данным Hudson Rock, малвари RedLine, Lumma и Vidar уже адаптируется под эти пути. Риск не только в краже — если атакующий получит доступ на запись, он может "отравить память" агента и изменить его поведение.

Разработчики Clawdbot признают: "Запускать ИИ-агента с доступом к shell — рискованно. Идеально безопасной конфигурации не существует". SlowMist рекомендует строгий IP-whitelisting на открытых портах. В проекте есть команда clawdbot security audit, которая проверяет опасные настройки, — но судя по количеству открытых серверов, запускают ее далеко не все. Также рекомендуется регулярно обновлять Clawdbot: разработчики оперативно закрывают дыры в безопасности.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.