Clawdbot vulnérabilité de sécurité critique ! Des centaines de clés API exposées, clés privées volées en 5 minutes

SlowMist a découvert que la passerelle Clawdbot était exposée, avec des centaines de clés API et des conversations privées accessibles publiquement. Le chercheur en sécurité Jamieson O’Reilly a trouvé en quelques secondes via Shodan des centaines de serveurs exposés pouvant accéder à des certificats complets. Le PDG d’Archestra AI a testé lui-même en 5 minutes l’extraction de clés privées. L’officiel reconnaît qu’« il n’existe pas de sécurité absolue » et recommande une liste blanche IP stricte.

SlowMist découvre l’exposition de centaines de certificats via la passerelle Clawdbot

Les chercheurs en sécurité informatique ont lancé une alerte concernant un nouvel assistant personnel basé sur l’intelligence artificielle nommé Clawdbot, qui pourrait accidentellement exposer des données personnelles et des clés API au public. Mardi, la société de sécurité blockchain SlowMist a indiqué avoir découvert une « exposition de la passerelle » de Clawdbot, ce qui met en danger « des centaines de clés API et des conversations privées ». « Plusieurs instances non authentifiées sont accessibles publiquement, et certains défauts de code pourraient conduire au vol de certificats, voire à l’exécution de code à distance », a-t-elle ajouté.

Le chercheur Jamieson O’Reilly a initialement détaillé ses résultats dimanche, déclarant qu’au cours des derniers jours, « des centaines de personnes ont exposé leurs serveurs de contrôle Clawdbot au public ». Clawdbot est un assistant IA open source développé par l’entrepreneur et développeur Peter Steinberger, pouvant fonctionner localement sur l’appareil de l’utilisateur. Selon Mashable mardi, durant le week-end, les discussions en ligne autour de cet outil sont « rapidement devenues virales ». Cette popularité soudaine, couplée à des vulnérabilités de sécurité, a exposé de nombreux utilisateurs novices à des risques de fuite d’informations sensibles.

La passerelle IA connecte de grands modèles de langage (LLM) à des plateformes de messagerie, et exécute des commandes pour l’utilisateur via une interface web nommée « Clawdbot Control ». O’Reilly explique que la faille d’authentification de Clawdbot est due à sa passerelle située derrière un proxy inverse non configuré. Cette erreur de configuration rend l’interface de gestion, censée être protégée par mot de passe, accessible à tous.

Les chercheurs ont utilisé des outils de scan réseau comme Shodan, en recherchant des empreintes digitales uniques dans le HTML, pour repérer facilement ces serveurs exposés. Il a déclaré : « Recherchez ‘Clawdbot Control’ — cela ne prend que quelques secondes. Après avoir utilisé plusieurs outils, j’ai obtenu des centaines de résultats. » Shodan est un moteur de recherche spécialisé dans la détection d’appareils connectés à Internet, souvent utilisé par les chercheurs pour repérer des serveurs mal configurés. Lorsque des centaines d’instances de Clawdbot utilisent les mêmes balises HTML et titres de page, il devient facile de repérer tous les serveurs exposés via ces caractéristiques.

Le chercheur indique qu’il peut accéder à des certificats complets, tels que des clés API, des tokens de bot, des clés OAuth, des clés de signature, l’historique complet des conversations sur toutes les plateformes de messagerie, la capacité d’envoyer des messages en tant qu’utilisateur, ainsi que d’exécuter des commandes. Un tel niveau d’accès est extrêmement dangereux. Les clés API peuvent être utilisées pour usurper l’identité de l’utilisateur et accéder à divers services, les tokens de bot pour contrôler ses bots Telegram ou WhatsApp, et les clés OAuth pour accéder à ses comptes Google, GitHub, etc.

Test d’injection de prompt en 5 minutes pour voler des clés privées

Les assistants IA peuvent également être utilisés à des fins malveillantes liées à la sécurité des actifs cryptographiques. Le PDG d’Archestra AI, Matvey Kukuy, a poussé plus loin en tentant d’extraire des clés privées. Il a partagé une capture d’écran montrant qu’il avait envoyé un email avec injection de prompt à Clawdbot, lui demandant de vérifier l’email et de recevoir la clé privée du serveur compromis, en indiquant « cela a pris 5 minutes ».

Ce test est très révélateur. L’injection de prompt (Prompt Injection) est une technique d’attaque contre les systèmes IA, où un attaquant insère des instructions malveillantes dans l’entrée pour induire l’IA en erreur et lui faire exécuter des opérations non prévues. Dans ce cas, l’attaquant n’a qu’à envoyer un email spécialement conçu à l’utilisateur de Clawdbot, et lorsque celui-ci vérifie automatiquement ses emails, l’IA exécute la commande malveillante dissimulée dans le message. Si l’ordinateur de l’utilisateur contient un portefeuille de cryptomonnaies avec une clé privée, Clawdbot pourrait être induit à lire ces fichiers et à les transmettre à l’attaquant.

Le délai de 5 minutes montre à quel point cette attaque est réalisable rapidement. L’attaquant n’a pas besoin de techniques complexes ni de longues préparations, juste d’un email soigneusement conçu pour voler la clé privée. Pour un utilisateur détenant de grandes quantités d’actifs cryptographiques, ce risque est mortel. Une fois la clé privée compromise, l’attaquant peut prendre le contrôle total du portefeuille et transférer tous les fonds, et comme la transaction blockchain est irréversible, il est presque impossible de récupérer les fonds volés.

Ce cas met aussi en lumière le danger d’accorder des permissions excessives à l’IA. Clawdbot, dans sa vision d’un « assistant entièrement automatisé », demande aux utilisateurs de lui donner des accès très étendus au système. Mais ce compromis entre sécurité et commodité est trop radical, exposant l’utilisateur à des risques énormes. La fuite de données de Matcha Meta et la vulnérabilité de SwapNet, ayant causé une perte de 16,8 millions de dollars, illustrent bien ce problème de permissions excessives.

Risques liés aux droits root et à la reconnaissance de « l’absence de sécurité absolue »

Clawdbot se distingue d’autres assistants IA intelligents car il dispose d’un accès complet au système de l’utilisateur, ce qui lui permet de lire et écrire des fichiers, d’exécuter des commandes, de lancer des scripts et de contrôler le navigateur. Un tel accès de niveau root est extrêmement sensible en sécurité logicielle classique. En général, seuls les composants du noyau du système d’exploitation et certains outils d’administration strictement vérifiés disposent de telles permissions.

Dans la FAQ de Clawdbot, il est écrit : « Exécuter un agent IA avec accès shell sur votre machine… c’est dangereux. Il n’y a pas de configuration ‘sûre à 100%’ ». Cette reconnaissance franche des risques est louable, mais elle révèle aussi la nature même de l’outil. Beaucoup d’utilisateurs, après avoir vu des démonstrations impressionnantes de Clawdbot sur X, l’installent rapidement sans lire attentivement la FAQ, ignorant totalement les risques qu’ils prennent.

La FAQ insiste aussi sur le modèle de menace, indiquant que des acteurs malveillants peuvent « tenter de manipuler votre IA pour faire de mauvaises actions, en utilisant l’ingénierie sociale pour obtenir vos accès, ou en explorant votre infrastructure ». Ces trois menaces sont réelles et déjà vérifiées. L’injection de prompt peut faire exécuter des opérations malveillantes à l’IA, l’ingénierie sociale peut tromper l’utilisateur pour qu’il autorise l’IA à accéder à des données sensibles, et la reconnaissance de l’infrastructure peut fournir des renseignements pour de futures attaques.

O’Reilly recommande : « Si vous faites fonctionner un agent IA avec une infrastructure proxy, vérifiez immédiatement votre configuration. Identifiez ce qui est réellement exposé à Internet. Comprenez ce à quoi vous faites confiance dans cette déploiement, et ce que vous abandonnez. Un bon majordome, c’est celui qui se souvient de fermer la porte. » Cette métaphore résume bien le problème : Clawdbot, en tant que « majordome numérique » puissant, peut devenir une porte grande ouverte si mal configuré, laissant n’importe qui entrer chez vous.

SlowMist conseille : « Nous recommandons fortement d’appliquer une liste blanche IP stricte sur les ports exposés. » La liste blanche IP limite l’accès à un ensemble d’adresses IP autorisées, et refuse tout autre accès. Cette mesure peut efficacement empêcher des inconnus d’accéder à l’interface de gestion Clawdbot, même si la passerelle est mal configurée, en ajoutant une couche de protection supplémentaire.