Clawdbot Bocorkan Kerentanan Keamanan! Ratusan API kunci bocor, 5 menit mencuri kunci pribadi

SlowMist menemukan Clawdbot gateway terbuka, ratusan API kunci dan riwayat obrolan dapat diakses secara publik. Peneliti keamanan Jamieson O’Reilly menemukan ratusan server yang terbuka dalam hitungan detik melalui Shodan, yang dapat mengakses kredensial lengkap. CEO Archestra AI melakukan pengujian langsung selama 5 menit untuk mengekstrak kunci pribadi. Pihak resmi mengakui “tidak ada keamanan mutlak”, menyarankan daftar putih IP yang ketat.

SlowMist Temukan Ratusan Kredensial Terbuka di Gateway Clawdbot

Peneliti keamanan siber memperingatkan tentang sebuah asisten pribadi berbasis AI bernama Clawdbot, yang berpotensi secara tidak sengaja mengekspos data pribadi dan API kunci ke publik. Pada hari Selasa, perusahaan keamanan blockchain SlowMist menyatakan telah menemukan “gateway Clawdbot terbuka”, yang menyebabkan “ratusan API kunci dan riwayat obrolan pribadi berisiko”. “Beberapa instance tanpa otentikasi dapat diakses secara publik, dan beberapa kerentanan kode dapat menyebabkan pencurian kredensial, bahkan eksekusi kode jarak jauh,” tambahnya.

Peneliti keamanan Jamieson O’Reilly awalnya merinci hasil investigasi pada hari Minggu, menyatakan bahwa selama beberapa hari terakhir, “ratusan orang telah mengekspos server kontrol Clawdbot mereka ke publik.” Clawdbot dikembangkan oleh pengembang sekaligus pengusaha Peter Steinberger, sebagai asisten AI sumber terbuka yang berjalan secara lokal di perangkat pengguna. Menurut Mashable pada hari Selasa, diskusi daring tentang alat ini “dengan cepat menjadi viral” selama akhir pekan. Kepopuleran ini bersamaan dengan munculnya kerentanan keamanan, menyebabkan banyak pengguna pemula tanpa pemahaman risiko mengungkapkan informasi sensitif.

AI gateway menghubungkan model bahasa besar (LLM) ke platform pesan dan menjalankan perintah atas nama pengguna melalui antarmuka web bernama “Clawdbot Control”. O’Reilly menjelaskan bahwa celah otentikasi Clawdbot disebabkan oleh gateway yang berada di belakang proxy terbalik yang tidak dikonfigurasi. Kesalahan konfigurasi ini membuat antarmuka manajemen yang seharusnya dilindungi password menjadi halaman publik yang dapat diakses siapa saja.

Para peneliti menggunakan alat pemindaian jaringan seperti Shodan, dan dengan mencari fingerprint unik di HTML, mereka dapat dengan mudah menemukan server yang terbuka. Ia mengatakan, “Cari ‘Clawdbot Control’—pencarian hanya memakan waktu beberapa detik. Setelah menggunakan beberapa alat, saya mendapatkan ratusan hasil.” Shodan adalah mesin pencari yang secara khusus memindai perangkat internet, dan sering digunakan oleh peneliti keamanan untuk menemukan server yang salah konfigurasi. Ketika ratusan instance Clawdbot menggunakan tag HTML dan judul halaman yang sama, pencarian dengan fitur ini di Shodan akan dengan mudah menemukan semua server yang terbuka.

Peneliti menyatakan bahwa mereka dapat mengakses kredensial lengkap, seperti API kunci, token bot, kunci OAuth, kunci tanda tangan, seluruh riwayat percakapan di berbagai platform chat, kemampuan mengirim pesan atas nama pengguna, dan kemampuan menjalankan perintah. Tingkat akses ini sangat berbahaya. API kunci dapat digunakan untuk menyamar sebagai pengguna dan mengakses berbagai layanan, token bot dapat digunakan untuk mengendalikan bot Telegram atau WhatsApp pengguna, kunci OAuth dapat mengakses akun Google, GitHub, dan lainnya.

Pengujian 5 Menit untuk Prompt Injection dan Pencurian Kunci Pribadi

Asisten AI juga bisa digunakan untuk tujuan yang lebih jahat terkait keamanan aset kripto. CEO Archestra AI, Matvey Kukuy, melakukan pengujian lebih jauh untuk mengekstrak kunci pribadi. Ia membagikan tangkapan layar yang menunjukkan bahwa ia mengirim email berisi prompt injection ke Clawdbot, meminta Clawdbot memeriksa email dan menerima kunci pribadi dari mesin yang diserang, dan menyatakan “ini memakan waktu 5 menit.”

Pengujian ini sangat mengingatkan. Prompt Injection adalah teknik serangan terhadap sistem AI, di mana penyerang menyisipkan perintah berbahaya dalam input untuk memancing AI melakukan operasi yang tidak diinginkan. Dalam kasus ini, penyerang cukup mengirim email yang dirancang khusus ke pengguna Clawdbot, dan saat Clawdbot secara otomatis memeriksa email tersebut, ia akan menjalankan perintah berbahaya yang tersembunyi di dalamnya. Jika komputer pengguna menyimpan kunci pribadi dompet kripto, Clawdbot bisa saja membaca file tersebut dan mengirimkannya ke penyerang.

Kerangka waktu 5 menit ini menunjukkan bahwa serangan semacam ini sangat memungkinkan. Penyerang tidak memerlukan teknik rumit atau persiapan lama, cukup mengirim email yang dirancang dengan cermat untuk mencuri kunci pribadi. Bagi pengguna yang memegang aset kripto dalam jumlah besar, risiko ini sangat fatal. Setelah kunci pribadi dicuri, penyerang dapat mengendalikan dompet sepenuhnya dan memindahkan semua aset, dan transaksi blockchain tidak dapat dibatalkan, aset yang dicuri hampir tidak dapat dikembalikan.

Kasus ini juga menyoroti bahaya memberi AI hak akses yang terlalu tinggi. Clawdbot, demi mewujudkan visi “asisten otomatis penuh”, meminta pengguna memberikan akses sistem yang sangat luas. Desain seperti ini, dalam keseimbangan antara keamanan dan kenyamanan, terlalu ekstrem dan mengekspos pengguna pada risiko besar. Insiden kebocoran data Matcha Meta dan kerentanan SwapNet yang menyebabkan kerugian sebesar 16 juta dolar adalah pelajaran nyata dari masalah hak akses yang terlalu besar ini.

Pengakuan Risiko Root Hak Akses dan “Tidak Ada Keamanan Mutlak”

Clawdbot berbeda dari robot AI cerdas lainnya karena memiliki akses penuh ke sistem pengguna, yang berarti dapat membaca dan menulis file, menjalankan perintah, menjalankan skrip, dan mengendalikan browser. Tingkat akses root ini sangat sensitif dalam keamanan perangkat lunak tradisional. Biasanya, hanya komponen inti sistem operasi dan alat manajemen sistem yang telah melalui pemeriksaan ketat yang diberikan hak istimewa setinggi ini.

Dalam FAQ-nya, Clawdbot menulis: “Menjalankan AI agent dengan akses shell di mesin Anda… sangat berbahaya. Tidak ada pengaturan ‘aman mutlak’.” Pengakuan risiko yang jujur ini patut diapresiasi, tetapi juga mengungkapkan esensi risiko dari alat ini. Banyak pengguna yang melihat demo keren Clawdbot di platform X dan buru-buru menginstal tanpa membaca FAQ, tanpa sadar bahwa mereka sedang menanggung risiko besar.

FAQ juga menyoroti model ancaman, menyatakan bahwa aktor jahat dapat “mencoba menipu AI Anda untuk melakukan hal buruk, melalui rekayasa sosial untuk mendapatkan akses data Anda, dan memetakan infrastruktur.” Ketiga ancaman ini nyata dan telah terbukti. Prompt injection dapat memancing AI melakukan operasi berbahaya, rekayasa sosial dapat menipu pengguna agar memberi izin akses data sensitif, dan pemetaan infrastruktur dapat digunakan untuk serangan berikutnya.

O’Reilly menyarankan, “Jika Anda menjalankan infrastruktur proxy, segera tinjau konfigurasi Anda. Periksa apa yang benar-benar terekspos ke internet. Pahami apa yang Anda percayai dari deployment ini, dan apa yang Anda lepaskan. Pengelola sangat bagus, selama dia ingat untuk mengunci pintu.” Perumpamaan ini secara tepat merangkum inti masalah: Clawdbot sebagai “pengelola digital” yang kuat, tetapi jika tidak dikonfigurasi dengan aman, sama saja membiarkan pengelola lupa mengunci pintu, sehingga siapa saja bisa masuk rumah Anda.

SlowMist menyarankan, “Kami sangat menyarankan penerapan daftar putih IP yang ketat untuk port yang terbuka.” Daftar putih IP berarti hanya mengizinkan alamat IP tertentu mengakses layanan, sementara semua akses lain ditolak. Langkah ini dapat secara efektif mencegah orang asing mengakses antarmuka manajemen Clawdbot, bahkan jika gateway salah konfigurasi, dan memberikan lapisan perlindungan tambahan.