Clawdbot 爆資安漏洞!数百 API キー流出 5 分鐘で秘密鍵を盗む
SlowMistはClawdbotゲートウェイが露出していることを発見し、数百のAPIキーやチャットの書き起こしが公開されていることを知りました。 セキュリティ研究者のジェイミソン・オライリーは、Shodanを使って数百台の露出したサーバーを数秒で見つけ、完全な認証情報にアクセスできました。 Archestra AIのCEOは実際に秘密鍵を抽出するために5分間テストしました。 その関係者は「絶対的なセキュリティは存在しない」と認め、厳格なIPホワイトリストを推奨しています。
SlowMistはClawdbotゲートウェイが数百件の認証情報を漏らしていることを発見しました
サイバーセキュリティの研究者たちは、Clawdbotという新しいAI搭載のパーソナルアシスタントが、個人データやAPIキーを誤って一般に漏らす可能性があると警告を発しています。 火曜日、ブロックチェーンセキュリティ企業のSlowMistはClawdbotの「ゲートウェイ露出」を発見し、「数百のAPIキーとプライベートチャット記録がリスクにさらされている」と発表しました。 「複数の認証されていないインスタンスは公開されており、一部のコードの欠陥は認証情報の盗難やリモートコード実行につながる可能性がある」と付け加えました。
セキュリティ研究者のジェイミソン・オライリーは日曜日に調査結果を詳細に説明し、「ここ数日間で何百人もの人々がClawdbot制御サーバーを一般に露出させた」と述べました。 Clawdbotは、開発者で起業家のピーター・スタインバーガーによって開発されたオープンソースのAIアシスタントで、ユーザーのデバイス上でローカルに動作します。 Mashableは火曜日に報じた週末にこのツールに関するオンラインの議論が「バイラルになった」と報じました。 この人気はセキュリティの脆弱性と重なり、多くの初心者ユーザーがリスクを理解せずに機密情報を漏らす原因となっています。
AIエージェントゲートウェイは、大規模言語モデル(LLM)をメッセージングプラットフォームに接続し、「Clawdbot Control」と呼ばれるウェブ管理インターフェースを通じてユーザーを代表してコマンドを実行します。 O’Reillyは、Clawdbotの認証回避脆弱性は、ゲートウェイが未設定のリバースプロキシの背後にあることによるものだと説明しました。 この設定ミスにより、パスワード保護されているはずの管理インターフェースが、誰でもアクセスできる公開ページになってしまいます。
研究者たちはShodanのようなウェブスキャンツールを活用し、HTMLでユニークな指紋を検索することでこれらの露出したサーバーを簡単に特定しました。 彼はこう言いました。「『Clawdbot Control』を検索していますが、検索するのに数秒しかかかりませんでした。 複数のツールで調べて、何百もの結果が得られました。」Shodanはインターネット機器のスキャンを専門とする検索エンジンで、セキュリティ研究者が誤った設定のサーバーを見つけるためによく利用しています。 数百のClawdbotインスタンスがすべて同じHTMLタグやページタイトルを使用しているため、Shodanを通じてこれらの特徴を検索すれば、すべての公開サーバーを簡単に見つけることができます。
研究者は、APIキー、ボットトークン、OAuthキー、署名キー、すべてのチャットプラットフォームにおける完全な会話履歴、ユーザーとしてのメッセージ送信機能、コマンド実行機能などの完全な資格情報にアクセスできると述べました。 このレベルのアクセスは非常に危険です。 APIキーはユーザーになりすまして様々なサービスにアクセスし、ボットトークンはユーザーのTelegramやWhatsAppボットを制御し、OAuthキーはGoogleやGitHubなどのアカウントにアクセスできます。
秘密鍵の盗難を試すための5分間のプロンプト注入
AIアシスタントは、暗号資産のセキュリティに関わるより悪質な目的にも使われることがあります。 Archestra AIのCEOであるMatvey Kukuyはさらに一歩進み、秘密鍵の抽出を試みました。 彼は、プロンプトインジェクション付きのメールをClawdbotに送信し、Clawdbotにメールを確認し、攻撃されたマシンから秘密鍵を受け取るよう求めるスクリーンショットを共有し、「これには5分かかりました」と述べています。
この測定は非常に衝撃的です。 プロンプト注入は、AIシステムを標的にした攻撃手法であり、攻撃者が入力に悪意のある命令を埋め込み、AIに予期せぬ行動を起こさせる仕組みです。 この場合、攻撃者はClawdbotユーザーに特別に作成されたメールを送信し、Clawdbotが自動的にメッセージを確認すると、メッセージ内に隠された悪意あるコマンドを実行します。 ユーザーのコンピュータに暗号通貨ウォレットの秘密鍵が保管されている場合、Clawdbotはこれらのファイルを読み取って攻撃者に送信するよう騙される可能性があります。
5分間という時間枠は、この攻撃が非常に現実的であることを示しています。 攻撃者は複雑な技術的手段や長い準備を必要としず、秘密鍵を盗むために慎重にメールを設計すればよいのです。 大量の暗号資産を保有するユーザーにとって、このリスクは致命的です。 一度秘密鍵が盗まれると、攻撃者はウォレットを完全に掌握し、すべての資産を移転できます。このブロックチェーン取引は不可逆的となり、盗まれた資産の回収はほぼ不可能になります。
この事例はまた、AIに過度な権限を与えることの危険性も浮き彫りにしています。 「完全自動化アシスタント」というビジョンを実現するために、Clawdbotは非常に広範なシステムアクセス権をユーザーに付与する必要があります。 しかし、この設計はセキュリティと利便性のトレードオフがあまりにも強すぎて、ユーザーに大きなリスクをさらしています。 関連報告で言及された1,680万ドルの損失をもたらした抹茶メタデータ漏洩とSwapNetの脆弱性は、過剰な特権問題からの痛い教訓です。
ルート権限と「絶対的なセキュリティがない」リスクが認識されています
Clawdbotは他のインテリジェントAIボットと少し異なり、ユーザーのマシンに完全なシステムアクセス権を持ち、ファイルの読み書き、コマンドの実行、スクリプトの実行、ブラウザの制御が可能です。 このレベルのルートアクセスは、従来のソフトウェアセキュリティにおいて非常に機密性の高いものです。 通常、このような高い権限が与えられるのはオペレーティングシステムのコアコンポーネントや厳格に審査されたシステム管理ツールだけです。
ClawdbotのFAQには「あなたのマシンでシェルアクセスを持つAIエージェントを動かしてください… 危険だ。 「絶対的な安全設定」というものはありません。」この率直なリスクの承認は称賛に値しますが、同時にこのツールの本質的なリスクにも光を当てています。 多くのユーザーは、XプラットフォームでClawdbotのクールなデモを見て、FAQをよく読まずに急いでインストールしてしまうかもしれませんが、そのリスクに気づいていません。
FAQでは脅威モデルも強調されており、悪意のあるアクターは「AIを騙して悪事を働かせたり、ソーシャルエンジニアリングでデータにアクセスしたり、インフラの詳細を探ったりする」と述べています。 これら三つの脅威はすべて現実であり、検証済みです。 プロンプトインジェクションはAIを騙して悪意ある行動を取らせ、ソーシャルエンジニアリングはユーザーにAIに機密データへのアクセスを許可させ、インフラプロービングはその後の攻撃のためのインテリジェンスを提供します。
O’Reillyはこう助言しています。「エージェントインフラを運用しているなら、すぐに設定を監査してください。 実際にインターネットに公開されているコンテンツを確認してください。 派遣中に何を信じ、何を犠牲にしたのかを理解しましょう。 家政婦は素晴らしい人だから、ドアに鍵をかけるのを忘れないようにして。」この比喩は問題の本質を正確に表しています。Clawdbotは「デジタル執事」として強力ですが、セキュリティ対策が適切に設定されていなければ、執事がドアの施錠を忘れて誰でも家に入れてしまうのと同じです。
SlowMistはこう助言しています。「露出したポートには厳格なIPホワイトリスト機構を適用することを強く推奨します。」IPホワイトリストとは、特定のIPアドレスのみがサービスにアクセスでき、それ以外のアクセスはすべて拒否されることを意味します。 この措置により、見知らぬ人がClawdbot管理インターフェースにアクセスするのを効果的に防ぎ、たとえゲートウェイの設定が誤っても追加の保護層を提供します。